Fedora 39 服务器配置为允许 ldap 用户登录(如果他们是特定 ldap 组的成员)。 sudoers 文件中存在相同的 ldap 组,因此登录后用户可以 sudo(设置为允许无密码 sudo)。
ldap 配置在 sssd.conf 文件中设置。
ssh 登录一切正常。
我的问题是,能够通过 ssh 登录的用户无法登录到 cockpit web gui。他们收到“权限被拒绝”错误。
登录 cockpit 缺少哪些权限以及如何将它们分配给 ldap 组成员?
当他们尝试登录时,安全日志文件显示以下行,因此身份验证本身没有问题:
cockpit-session[14744]: pam_sss(cockpit:auth): authentication success; logname= uid=0 euid=0 tty= ruser= rhost=::ffff:172.16.100.130 user=utest
cockpit-session[14744]: pam_unix(cockpit:session): session opened for user utest(uid=3001) by utest(uid=0)
这是 /etc/pam.d/cockpit 文件:
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth sufficient pam_unix.so nullok
auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_usertype.so issystem
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_pwquality.so local_users_only
password sufficient pam_unix.so yescrypt shadow nullok use_authtok
password [success=1 default=ignore] pam_localuser.so
password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so