Kerberos 5 将 Realm 两次添加到 Principal

tag-icon tag-icon fedora kerberos
Kerberos 5 将 Realm 两次添加到 Principal

我最近更新了 Fedora 22 工作站,SSSD 登录开始失败。

日志看起来不错,直到 sss_send_pac 失败。奇怪的是,主要用户被添加了两次域。例如:

jgiotta\@[email protected]

我不确定此时要采取什么调试步骤。加入领域并执行 ldapsearch 命令均成功。

身份验证由较大的基于 Windows 的网络上的 Active Directory 系统提供。

当我将 sssd.conf 中的日志输出提升到级别 10 时,我可以查看 krb5_child.log。我在日志中发现以下故障:

(2015 年 12 月 3 日星期四 09:22:36)[[sssd[krb5_child[2158]]]] [sss_send_pac] (0x0040): sss_pac_make_request 失败 [-1][2]

(2015 年 12 月 3 日星期四 09:22:36)[[sssd[krb5_child[2158]]]] [validate_tgt] (0x0040): sss_send_pac 失败,主体为 [jgiotta\@] 的用户的组成员身份[电子邮件保护]]可能不正确。

发生这种情况时,我认为登录失败,但登录时终端只显示“系统错误”。此时,我基本上无法访问我的个人资料,只能通过 root 访问。

答案1

虽然晚了好几年,但对于互联网搜索者来说:

从现在起,在 CentOS 7 中(实际上可能已经持续了一段时间),有一个选项sssd.conf

use_fully_qualified_names (bool)
   Use the full name and domain (as formatted by the domain's
   full_name_format) as the user's login name reported to NSS.

我一直在为 xrdp 的 kerberos 请求中的重复域名而苦苦挣扎,经过一番努力后我发现,即使这是默认设置,明确将其设置为 false 也会有所不同。

sssd.conf

[domain/magic.local]
use_fully_qualified_names = false

答案2

我们遇到了类似的问题,在 sssd.conf 中添加此问题后修复了该问题:

[domain/foo.com]
...
access_provider = simple
simple_allow_groups = domain [email protected]

相关内容