Linux AD 集成，使用 Windows Server 2012 DC 时无法登录

我正在尝试将我的 CentOS 6.6 服务器集成到 Active Directory 中。我已关注这使用配置 3 (SSSD/Kerberos/LDAP) 的 Red Hat 指南。当使用 Windows Server 2008 R2 服务器作为启用 IMU 的域控制器时，一切都运行正常。

但是，当我使用启用了 IMU 的 Windows Server 2012 R2 服务器时，我能够获取 kerberos 票证、加入域、搜索 LDAP，但当我尝试从控制台以 AD 用户身份登录时，我会在 /var/log/messages 中收到此错误消息：

6 月 6 日 11:12:30 测试 [sssd[krb5_child[4760]]]: 预认证失败

/var/log/secure 显示以下错误消息：

6 月 6 日 11:12:15 测试登录：pam_sss（login：auth）：已为用户接收[电子邮件保护]：17（设置用户凭据失败）

6 月 6 日 11:12:17 测试登录：失败登录 1 FROM (null) FOR[电子邮件保护]， 验证失败

使用getent passwd aduser或getent group linuxgroup返回成功。

我已经尝试使用这个 sssd.conf 文件：

[sssd]
配置文件版本 = 2
服务 = nss，pam
域 = 域.本地
调试级别 = 5

[域/域.本地]
id_provider = 广告
auth_provider = 广告

广告服务器 = dc.domain.local

默认 shell = /bin/bash
fallback_homedir = /home/%d/%u

缓存凭据 = false
ldap_id_mapping = false

然后我读这错误报告。因此，我将 sssd.conf 文件更改为：

[sssd]
配置文件版本 = 2
重新连接重试次数 = 2
服务 = nss,pam
调试级别 = 5
域 = 域.本地

[国家安全局]
调试级别 = 5

[帕姆]
调试级别 = 5

[域/域.本地]
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
调试级别 = 5

ldap_uri = ldap://dc.domain.local/
ldap_sasl_mech = GSSAPI
ldap_schema = rfc2307bis

ldap_user_search_base = dc=域，dc=本地
ldap_user_object_class = 用户

ldap_user_home_directory = unixHomeDirectory
ldap_user_principal = 用户主体名称

ldap_group_search_base = dc=域,dc=本地
ldap_group_object_class = 组

ldap_access_order = 过期
ldap_account_expire_policy = 广告
ldap_force_upper_case_realm = true

ldap_referrals = false

krb5_server = dc.domain.local
krb5_realm = 域.本地
krb5_canonicalize = false

枚举=false
缓存凭据 = false

我已清除 SSSD 缓存并重启服务。但我仍无法登录。

我现在在 /var/log/messages 中收到此错误：

6月6日 11:21:43 测试 [sssd[krb5_child[1546]]]: 权限被拒绝

我在 /var/log/sssd/krb5_child.log 中看到此错误：

（2015 年 6 月 6 日星期六 11:21:43）[[sssd[krb5_child[1387]]]] [sss_get_ccache_name_for_principal]（0x2000）：krb5_cc_cache_match 失败：[-1765328243][找不到客户端主体[电子邮件保护]在缓存集合中]

（2015 年 6 月 6 日星期六 11:21:43）[[sssd[krb5_child[1387]]]] [create_ccache] (0x0020): 575: [13][权限被拒绝]

现在，事情变得奇怪了。作为 root，如果我 su 到任何 AD 域用户，它实际上可以工作并且主目录会自动创建。我即将认输并坚持使用 2k8 DC。