Debian:向广告进行身份验证时出现问题

Debian:向广告进行身份验证时出现问题

我们的 Debian 服务器不知为何与 AD 断开了连接,我正在尝试将其恢复。我尝试了不同的方法。似乎最有效的方法是 realm。至少它说它已加入该领域。当我尝试登录时,访问被拒绝。这是来自 /var/log/auth.log 的内容:

Aug 10 13:51:57 WD02 sshd[3876]: Received disconnect from 10.2.0.4: 13: Unable to authenticate [preauth] Aug 10 13:52:04 WD02 sshd[3878]: Invalid user **** from 10.2.0.4 Aug 10 13:52:04 WD02 sshd[3878]: input_userauth_request: invalid user ****[preauth] Aug 10 13:52:08 WD02 sshd[3878]: pam_krb5(sshd:auth): authentication failure; logname=**** uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 Aug 10 13:52:08 WD02 sshd[3878]: pam_unix(sshd:auth): check pass; user unknown Aug 10 13:52:08 WD02 sshd[3878]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 Aug 10 13:52:08 WD02 sshd[3878]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 user=ster Aug 10 13:52:08 WD02 sshd[3878]: pam_sss(sshd:auth): received for user ****: 10 (User not known to the underlying authentication module) Aug 10 13:52:10 WD02 sshd[3878]: Failed password for invalid user **** from 10.2.0.4 port 61928 ssh2

经过一段时间的尝试,现在我可以用我尝试过的用户登录,但前提是我输入用户名 ***@domain.name。这只适用于此用户,但其他所有人都会被拒绝,即使他们使用 @domain.name 登录

有人知道吗?我不确定我应该提供哪些配置文件或其他日志,但如果被要求的话,我会很乐意提供。

问候 Stoffe Eriksson

答案1

听起来您需要将主机重新加入域。我使用 Samba 而不是 SSSD,但我认为如果您可以转换此过程,它将起作用。在主机上发出的所有命令行、AD 工作都在具有这些角色的管理工作站或服务器上的 Active Directory 用户和计算机或 PowerShell 中。

  1. 在主机上,将主机从域中删除。
  2. 清除 Kerberos 密钥表。
  3. 确保主机已从 AD 中删除。
  4. 将主机添加到域。
  5. 确保 AD 中的位置正确。
  6. 重新创建密钥表。

我使用具有域加入者net ads leave -U <admin>权限的<admin>AD 帐户名称。
然后net ads keytab flush -U <admin>,,net ads join -U <admin>net ads keytab create -U <admin

相关内容