我们的 Debian 服务器不知为何与 AD 断开了连接,我正在尝试将其恢复。我尝试了不同的方法。似乎最有效的方法是 realm。至少它说它已加入该领域。当我尝试登录时,访问被拒绝。这是来自 /var/log/auth.log 的内容:
Aug 10 13:51:57 WD02 sshd[3876]: Received disconnect from 10.2.0.4: 13: Unable to authenticate [preauth] Aug 10 13:52:04 WD02 sshd[3878]: Invalid user **** from 10.2.0.4 Aug 10 13:52:04 WD02 sshd[3878]: input_userauth_request: invalid user ****[preauth] Aug 10 13:52:08 WD02 sshd[3878]: pam_krb5(sshd:auth): authentication failure; logname=**** uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 Aug 10 13:52:08 WD02 sshd[3878]: pam_unix(sshd:auth): check pass; user unknown Aug 10 13:52:08 WD02 sshd[3878]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 Aug 10 13:52:08 WD02 sshd[3878]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.2.0.4 user=ster Aug 10 13:52:08 WD02 sshd[3878]: pam_sss(sshd:auth): received for user ****: 10 (User not known to the underlying authentication module) Aug 10 13:52:10 WD02 sshd[3878]: Failed password for invalid user **** from 10.2.0.4 port 61928 ssh2
经过一段时间的尝试,现在我可以用我尝试过的用户登录,但前提是我输入用户名 ***@domain.name。这只适用于此用户,但其他所有人都会被拒绝,即使他们使用 @domain.name 登录
有人知道吗?我不确定我应该提供哪些配置文件或其他日志,但如果被要求的话,我会很乐意提供。
问候 Stoffe Eriksson
答案1
听起来您需要将主机重新加入域。我使用 Samba 而不是 SSSD,但我认为如果您可以转换此过程,它将起作用。在主机上发出的所有命令行、AD 工作都在具有这些角色的管理工作站或服务器上的 Active Directory 用户和计算机或 PowerShell 中。
- 在主机上,将主机从域中删除。
- 清除 Kerberos 密钥表。
- 确保主机已从 AD 中删除。
- 将主机添加到域。
- 确保 AD 中的位置正确。
- 重新创建密钥表。
我使用具有域加入者net ads leave -U <admin>权限的<admin>AD 帐户名称。
然后net ads keytab flush -U <admin>,,net ads join -U <admin>。net ads keytab create -U <admin