我最近更新了 Fedora 22 工作站,SSSD 登录开始失败。
日志看起来不错,直到 sss_send_pac 失败。奇怪的是,主要用户被添加了两次域。例如:
jgiotta\@[email protected]
我不确定此时要采取什么调试步骤。加入领域并执行 ldapsearch 命令均成功。
身份验证由较大的基于 Windows 的网络上的 Active Directory 系统提供。
当我将 sssd.conf 中的日志输出提升到级别 10 时,我可以查看 krb5_child.log。我在日志中发现以下故障:
(2015 年 12 月 3 日星期四 09:22:36)[[sssd[krb5_child[2158]]]] [sss_send_pac] (0x0040): sss_pac_make_request 失败 [-1][2]
(2015 年 12 月 3 日星期四 09:22:36)[[sssd[krb5_child[2158]]]] [validate_tgt] (0x0040): sss_send_pac 失败,主体为 [jgiotta\@] 的用户的组成员身份[电子邮件保护]]可能不正确。
发生这种情况时,我认为登录失败,但登录时终端只显示“系统错误”。此时,我基本上无法访问我的个人资料,只能通过 root 访问。
答案1
虽然晚了好几年,但对于互联网搜索者来说:
从现在起,在 CentOS 7 中(实际上可能已经持续了一段时间),有一个选项sssd.conf
:
use_fully_qualified_names (bool)
Use the full name and domain (as formatted by the domain's
full_name_format) as the user's login name reported to NSS.
我一直在为 xrdp 的 kerberos 请求中的重复域名而苦苦挣扎,经过一番努力后我发现,即使这是默认设置,明确将其设置为 false 也会有所不同。
sssd.conf
[domain/magic.local]
use_fully_qualified_names = false
答案2
我们遇到了类似的问题,在 sssd.conf 中添加此问题后修复了该问题:
[domain/foo.com]
...
access_provider = simple
simple_allow_groups = domain [email protected]