成功将 Ubuntu 22.04 机器添加到域后登录失败

tag-icon tag-icon login 22.04 active-directory sssd
成功将 Ubuntu 22.04 机器添加到域后登录失败

我已成功将我的机器添加到公司域中。当我尝试在登录屏幕上或通过 su 使用我的域凭据登录时,我看到一条消息“正在应用机器设置”,几秒钟后出现“无法设置用户凭据”。

我可以使用sudo su - <domain username>登录 并且whoami输出id看起来正确。但这对日常使用没有什么帮助。

local@nick-precision-7560:~$ realm list
dom.mycompany.com
  type: kerberos
  realm-name: DOM.MYCOMPANY.COM
  domain-name: dom.mycompany.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %[email protected]
  login-policy: allow-permitted-logins
  permitted-logins: [email protected]
  permitted-groups: 

local@nick-precision-7560:~$ id [email protected]
uid=1666422094([email protected]) gid=1666400513(domain [email protected]) groups=1666400513(domain [email protected]), ... <many other groups from AD> ...

local@nick-precision-7560:~$ su - [email protected]
Password: 
Applying machine settings
ERROR Error from server: error while updating policy: can't get policies for "nick-precision-7560.dom.mycompany.com": one or more error while parsing downloaded elements: /var/cache/adsys/sysvol/Policies/{D8DF0C39-D713-439F-8C58-F041634FAD87}/Machine/Registry.pol :can't parse policy: invalid policy: item does not end with ']' 
su: cannot open session: Failure setting user credentials

我尝试打开这个 Registry.pol 文件,但它对我来说不太容易理解——它是二进制和 ASCII 字符串的混合。我删除了整个策略文件夹,以便再次下载,当我尝试再次登录时,相同的策略文件夹被重新创建,但结果是一样的。我重新启动了 pam 和 sssd,但这并没有改变一切。我重新启动了整个系统,但这并没有改变一切。

以下是我的 sssd.conf 的样子:

[sssd]
domains = dom.mycompany.com
config_file_version = 2
services = nss, pam

[domain/dom.mycompany.com]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = DOM.MYCOMPANY.COM
realmd_tags = manages-system joined-with-adcli 
id_provider = ad
ldap_sasl_authid = NICK-PRECISI$
fallback_homedir = /home/%u@%d
ad_domain = dom.mycompany.com
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_users = nick

编辑:我打开了 PAM TUI,sudo pam-auth-update然后取消选择了“ADSys 身份验证”。这样做之后,我能够使用我的域凭据登录sudo su -,而无需,我也可以在登录屏幕上登录。因此,SSSD 和 PAM 以及与 ADsys 相关的问题似乎一切正常。

由于 ADSys 是新推出的,我以前从未使用过,因此我不确定禁用它到底会错过什么。我是用户,而不是域管理员,所以也许它真的不会影响我。我不愿意将此称为答案,因为显然仍然存在问题。这个 Registry.pol 文件可能在 DC 上已损坏。

相关内容