为绑定到 Active Directory 的 CentOS 系统启用 ssh?

为绑定到 Active Directory 的 CentOS 系统启用 ssh?

我有一个 CentOS 5.4 系统,已成功绑定到 Active Directory。“net ads testjoin”显示一切正常。我可以对 AD 用户运行“id username”并查看他们的帐户。但是,我无法通过 SSH 远程登录。/var/log/secure 显示密码不正确,但我知道它是正确的。

我怀疑我的 /etc/pam.d/sshd 不正确。它应该是什么样子?

/etc/security 中是否有任何内容需要更改?

答案1

我可以花 0.02 美元购买 Likewise Open 吗?它可免费获取http://www.powerbrokeropen.org/自从我实施了它,我发誓,它为我节省的时间比我用过的任何东西都多。我无法告诉足够多的人。

你基本上下载软件包,安装它,然后运行命令

domainjoin-cli join mydomain.com adminusername 

您可以在 /etc/likewise-open/ 中编辑配置并设置诸如“使用默认域”之类的内容,并将主目录和默认 shell 更改为您在站点上想要的任何内容,然后就完成了。所有身份验证都运行正常。PAM 运行良好。Samba 和 Apache 身份验证都很容易。它真的像黄油一样简单。

如果您在将 Linux 机器纳入域时遇到问题,我强烈推荐这个。

答案2

我认为这取决于您如何连接到域(winbind 或 ldap)。鉴于“net ads testjoin”,我假设您使用的是 winbind。在这种情况下,您需要

auth    sufficient  pam_winbind.so

在你的 /etc/pam.d/sshd 中。

您还需要

passwd:         files winbind
group:          files winbind

在 /etc/nsswitch.conf 中

您可以使用域帐户本地登录吗?

答案3

是否getent passwd返回 AD 帐户列表?

检查你的 /etc/pam.d/system-auth:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_winbind.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     required      /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

还要验证 winbind 是否已添加到 /etc/nsswitch.conf 中的 passwd、shadow 和 group。

相关内容