我有一个名为的 EC2 实例EC2-B并且我将其配置为使用 AD 连接器。
这是实例在虚拟仿真平台当 AD Connector EC2 处于虚拟仿真平台。
我还有另一个例子EC2-A在 VPC-A 中,按照 AWS 手册进行配置https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html#w129aab9c26c13c15b8b8b1
实例 EC2-A 在配置下运行良好,它加入了 AD,我可以使用 AD 登录来登录它。
我在实例 EC2-B 中进行了相同的配置,但没有起作用,它只在 sssd 日志中显示消息服务器“domain.com”的端口 0 的端口状态为“不工作”
我使用端口 389 和 88 测试了 telnet,并且运行正常。
这是我的/etc/sssd/sssd.conf:
[sssd]
debug_level = 9
domains = DOMAIN.COM
config_file_version = 2
services = nss, pam
[domain/DOMAIN.COM]
debug_level = 9
ad_server = domain.com
ad_domain = DOMAIN.COM
krb5_realm = DOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_sasl_authid = EC2-B$
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad
还有/etc/krb5.conf:
includedir /etc/krb5.conf.d/
includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
default_ccache_name = KEYRING:persistent:%{uid}
default_realm = DOMAIN.COM
[realms]
DOMAIN.COM = {
kdc = domain.com
admin_server = domain.com
default_domain = DOMAIN.COM
rdns = false
}
[domain_realm]
domain.com = DOMAIN.COM
.domain.com = DOMAIN.COM
另一个问题是,我可以毫无问题地测试 kinit,但是使用 Kerberos 配置的 sssd 不起作用:
kinit -V user
Using existing cache: persistent:0:0
Using principal: [email protected]
Password for [email protected]:
Authenticated to Kerberos v5
答案1
该问题已在服务器端得到解决。
不允许将信息发送回实例 EC2-B