环境:
- ~400 个服务器注册了 Prod IPA
- Prod IPA 设置为两个服务器之间的主/主复制
昨天下午 4:40 左右,用户开始报告无法通过 SSH 登录服务器。系统管理员可以通过 sshkey 登录。
客户端日志只说“验证失败,密码无效”或者“无法验证”
IPA 服务器日志除了针对用户和主机提供类似以下内容的信息外,没有显示任何其他信息:
Sep 28 17:51:24 hostname123 krb5kdc[2134](info): AS_REQ (4 etypes {18 17 16 23}) 192.111.1.111: NEEDED_PREAUTH: host/[email protected] for krbtgt/[email protected], Additional pre-authentication required
我们在两台机器上重启了 IPA,重启了虚拟机等,但都没有解决问题。唯一的解决办法是进入每台客户端机器,sss_cache -E;rm -rf /var/lib/sss/db/*;
此后用户就可以通过 puTTy 登录。
有人遇到过类似的问题吗?几年前建立此系统的主要系统管理员已不再与我们合作,这是我们遇到的第一个重大问题。
注意:此时 IPA 服务器上的所有 IPA 命令也都停止运行。例如:
ipa user-show xxxx ("ipa: 错误: 无法连接到 Gettext('任何配置的服务器', domain='ipa', localedir=None)