Kerberos 5 İki Katına Anavatan Üzerine Yapma

0

Geçenlerde bir Fedora 22 iş istasyonunu güncelledim ve SSSD girişleri başarısız olmaya başladı.

Sss_send_pac başarısız olana kadar günlükler iyi görünür. İşin garibi asıl kullanıcı etki alanı iki kez ekleniyor. Örneğin:

jgiotta\@magic.local@magic.local

Bu noktada hangi hata ayıklayıcının atılacağından emin değilim. Bölge'ye katılmak ve ldapsearch komutlarını uygulamak hepsi başarılı.

Kimlik doğrulama, daha büyük bir Windows tabanlı ağda bir Active Directory sistemi tarafından sağlanır.

Sssd.conf dosyasındaki günlük düzeyini 10. seviyeye çıkardığımda krb5_child.log dosyasını gözden geçirebilirim. Günlükte aşağıdaki hatayı buldum:

(Pzt 3 Aralık 09:22:36 2015) [[sssd [krb5_child [2158]]]] [sss_send_pac] (0x0040): sss_pac_make_request başarısız oldu [-1] [2]

(Pzt 3 Aralık 09:22:36 2015) [[sssd [krb5_child [2158]]]] [validate_tgt] (0x0040): sss_send_pac başarısız oldu, asıl [jgiotta \ @ magic.local @ magic.local] adlı kullanıcı için grup üyeliği doğru olmayabilir.

Bu olduğunda, oturum açma işleminin başarısız olduğuna inanıyorum, ancak terminal oturum açma sırasında yalnızca "Sistem hatası" diyor. Şu anda, esasen profilimin dışında kaldım ve yalnızca root yoluyla erişebiliyorum.

fedora  kerberos 
John Giotta
kaynak
Sss_send_pac tam olarak nasıl başarısız olur? Bir programın başarısız olması için sonsuz sayıda yol vardır (bilgisayarın patlatılması dahil); Lütfen durumunuzu açıklayın. Hangi alan adınız (AD, IPA, Krb5) var? Sistemi "yamaladığınızda" ne yapıldı? Hangi kesin başarısızlığı görmeye başladınız?
Grawity
Bunu Wireshark'ta gördüğünü varsayıyorum. İstekte hangi "ad türü" ayarlanmıştır? Gösterdiğiniz biçim , KDC'nin (istemciden değil) çeşitli "UPN soneklerini" çözmesi beklenen NT-ENTERPRISE-PRINCIPAL için normaldir .
Grawity
@grawity Daha fazla ayrıntı ekledim. Dürüst olmak gerekirse, bu mesajın bir uyarı mı yoksa bir hata mı olduğunu bilmiyorum, ancak gerçekten bir "başarısızlık" tanımlayabileceğim tek kayıt bu
John Giotta

Yanıtlar:

1

Yıllar geç, ancak İnternet arama yapanlar için:

Şu andan itibaren CentOS 7’de (ve muhtemelen bir süredir, gerçekten), içinde şu seçeneklerden biri vardır sssd.conf:

use_fully_qualified_names (bool)
   Use the full name and domain (as formatted by the domain's
   full_name_format) as the user's login name reported to NSS.

Kerberos'un xrdp isteğindeki çoğaltılmış etki alanı adıyla mücadele ediyordum ve çok çaba harcadıktan sonra bunu varsayılan olarak bir fark yaratmış olsa da açıkça yanlış ayarlamayı öğrendim.

sssd.conf

[domain/magic.local]
use_fully_qualified_names = false
bgStack15
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.