Зарегистрированный в AD области, но не может разрешить AD пользователей с getent passwd
Ситуация: Windows SBS Server (AD контроллер, сервер DNS), сервер Proxmox 4.1, размещающий Ubuntu 14.04 lxc контейнер.
Чего я хочу достигнуть: Интегрируйте контейнер Ubuntu в AD, так, чтобы я смог войти в систему с AD учетными данными.
Что я сделал: Я следовал этому руководству:
http://koo.fi/blog/2015/06/16/ubuntu-14-04-active-directory-authentication/?replytocom=3415#respond
Это хорошо работало для меня в первый раз, когда кроме я должен был отредактировать nsswitch.conf. Затем я должен был закрыть оба физических сервера, чтобы установить новые вентиляторы и убрать их. После перезагрузки их я не могу больше входить в систему ни с каким AD пользователем в Ubuntua, разрешение их использующий getent ничего не возвращает.
Я настроил несколько новых контейнеров (с новым IP и другим именем, конечно) и следовал руководству снова. Я могу зарегистрироваться в области, но я все еще не могу разрешить AD пользователей.
Конфигурация является точно тем же во всех контейнерах.
Какой-либо tipps для меня? Какие-либо журналы я могу обеспечить?Заранее спасибо.
Редактирование (160421): После вышеупомянутых шагов с машиной KVM Ubuntu 14.04 работы. Я могу разрешить пользователей, использующих getent, я могу su AD пользователь, я могу войти в систему по ssh с AD пользователями.
Все контейнеры, которые были зарегистрированы в AD области, появляются в AD консоли управления на Windows Server в желаемом ou.
Вот конфигурация:
krb5.conf:
[libdefaults]
default_realm = MY.DOMAIN
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
MY.DOMAIN= {
kcd = domain-server
admin_server = domain-server
default_domain = my.domain
}
[domain_realm]
.my.domain= MY.DOMAIN
my.domain= MY.DOMAIN
[login]
krb4_convert = true
krb4_get_tickets = false
realmd.conf:
[service]
automatic-install = no
[users]
default-home = /home/%D/%U
default-shell = /bin/bash
[c4b.local]
computer-ou = OU=Linux_2,DC=my,DC=domain
automatic-id-mapping = yes
fully-qualified-names = no
nsswitch.conf:
passwd: compat sss
group: compat sss
shadow: compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis sss
sudoers: files sss
Рабочие возвраты списка области:
my.domain
type: kerberos
realm-name: MY.DOMAIN
domain-name: my.domain
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
login-formats: %U
login-policy: allow-realm-logins
1 ответ
Хорошо, было две проблемы:
1) я установил ntp и установил Windows Server как единственный timesource, но забыл устанавливать часовой пояс.
2) полномочия для/etc/sssd/sssd.conf были неправильными. Файл должен принадлежать root.root и должен иметь 0600 полномочий.
Теперь я могу разрешить AD пользователей и группы, и я могу войти в систему с AD пользователями. Только AD пользователь su doesnВґt работа, но это не важно для моей установки.
-
1Также удивительно, когда я проверил ключи дб there' s Каноническая подпись там. Возможно, этот Канонический ключ используется для проверки Личинки? И от то, что я понимаю из Вашего ответа, является этим, UFEI' s системные вызовы может возможно быть исправлен? – direprobs 31 August 2017 в 01:13