Freeipa + AD windows

0

1

Доброго здоровья! установлено доверие между Freeipa (альтлинукс) и AD. при входе пользователя AD на машину Freeipa выходит ошибка включаю journalctl -f. Выходит вот это:

pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.10 user=test@test.ru
авг 09 09:21:08 ldc02.test2.local sshd[4375]: pam_sss(sshd:auth): received for user test@test.ru: 6 (Permission denied)

и вот эта ошибка проскакивает:

check_winbind_security: winbindd not running - but required as DC with trusts: NT_STATUS_NO_LOGON_SERVERS

при этом при выполнении ipactl status: Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING pki-tomcatd Service: RUNNING smb Service: RUNNING winbind Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful

т.е. winbind есть и стартует!

люди добрые, подскажите, кто-нибудь смог настроить логин AD пользователей на компах, которые входят в freeipa?

←	nftables + masquerade

Prometheus Operator

→

Используй пожалуйста разметку https://www.linux.org.ru/help/markdown.md

А в разметке используй оформление для блока кода

И кнопку предпросмотр перед помещением комментария.

У тебя не настроено сопоставление пользователей через freeipa, а настроено через winbind.

kostik87 ★★★★★
(09.08.22 12:47:01 MSK)

Ответ на: комментарий от kostik87 09.08.22 12:47:01 MSK

по поводу разметки и кода - всё понял) исправлюсь)

не совсем понял, почему настроено через winbind?

ну хорошо… я взял другой дистрибутив вместо альта - астралинукс. Всё сделал по инструкции на их сайте. В итоге при попытке войти пользователем АD на сервер с Freeipa та же ошибка:

audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=‘unit=sssd-nss comm=«systemd» exe=«/usr/lib/systemd/systemd» hostname=? addr=? terminal=? res=success’ fly-dm[928]: :0[928]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test@win.ru audit[1]: SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=‘unit=sssd-pam comm=«systemd» exe=«/usr/lib/systemd/systemd» hostname=? addr=? terminal=? res=success’ fly-dm[928]: :0[928]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test@win.ru audit[928]: USER_AUTH pid=928 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=‘op=PAM:authentication grantors=? acct=«test@win.ru» exe=«/usr/bin/fly-dm» hostname=host.ipa.local addr=? terminal=/dev/tty7 res=failed’ fly-dm[928]: :0[928]: pam_sss(fly-dm:auth): received for user test@win.ru: 6 (Доступ запрещен)

может быть проблема в том, что тестовый домен FreeIPA имеет на конце .local ? Вообще просьба откликнуться тех, кто реализовал трастовые отношения freeipa и AD и смог подключиться пользователем AD))

tehn
(12.08.22 09:34:18 MSK) автор топика

Ответ на: комментарий от tehn 12.08.22 09:34:18 MSK

по поводу разметки и кода - всё понял) исправлюсь)

Судя по вываленной куче мусора - не понял и не исправился.

agentgoblin ★
(12.08.22 09:37:04 MSK)

Ответ на: комментарий от agentgoblin 12.08.22 09:37:04 MSK

Судя по вываленной куче мусора - не понял и не исправился. понял…

только сначала ответ забабахал, а потом обнаружил, что отредактировать можно только начальное сообщение… а свои ответы почему-то нельзя))

tehn
(12.08.22 09:38:48 MSK) автор топика

Ответ на: комментарий от tehn 12.08.22 09:38:48 MSK

Прикол, кстати, в этом разделе и правда редактировать нельзя. Использую кнопку предварительного просмотра перед отправкой сообщения - удобная и классная вещь.

Хотя конечно логи эти такие, что портянку всё равно пришлось руками довести до читабельного состояния:

audit[1]:
SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=‘unit=sssd-nss
    comm=«systemd» exe=«/usr/lib/systemd/systemd» hostname=? addr=? terminal=? res=success’
    fly-dm[928]: :0[928]: pam_unix(fly-dm:auth): authentication failure;
    logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test@win.ru

audit[1]:
SERVICE_START pid=1 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=‘unit=sssd-pam
    comm=«systemd» exe=«/usr/lib/systemd/systemd» hostname=? addr=? terminal=? res=success’
    fly-dm[928]: :0[928]: pam_sss(fly-dm:auth): authentication failure;
    logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test@win.ru

audit[928]:
USER_AUTH pid=928 uid=0 auid=4294967295 ses=4294967295 subj=0:0:0:0 msg=‘op=PAM:authentication
grantors=? acct=«test@win.ru» exe=«/usr/bin/fly-dm» hostname=host.ipa.local addr=?
terminal=/dev/tty7 res=failed’ fly-dm[928]: :0[928]: pam_sss(fly-dm:auth): received
for user test@win.ru: 6 (Доступ запрещен)

agentgoblin ★
(12.08.22 09:43:08 MSK)

Ответ на: комментарий от agentgoblin 12.08.22 09:43:08 MSK

ну вот… с разметкой вроде как разобрались… а по существу?

))))))))))))

tehn
(12.08.22 16:03:43 MSK) автор топика

Ответ на: комментарий от tehn 12.08.22 16:03:43 MSK

вопрос снимается - переустановил всё на астралинукс, всё норм заработало!

tehn
(15.08.22 16:33:06 MSK) автор топика

←	nftables + masquerade

Admin

Prometheus Operator

→

Похожие темы