LINUX.ORG.RU
ФорумAdmin

Linux server, авторизация в AD - как дебажить?


0

1

Есть сервер с centos, есть server2008r2 с поднятым AD.

Нашел 100500 инструкций, как заставить одно авторизоваться в другом; как правило, они сводятся к куче конфигов со страшными dn и прочими заклинаниями.

Все это, конечно, освоить за пару дней нереально, но первый вопрос такой: как донести до системы, что пользователя нужно авторизовать уже в AD, и какие приложения это поймут сами, а каким (sshd, например, само же не поймет?) это нужно отдельно объяснять?

Я вот думал, что за это отвечает конфиг pam, но даже после закомменчивания в нем pam_unix и оставления pam_sss ssh-пользователи оставляют в логах (/var/log/secure) записи только вида «я знать не знаю, что это за пользователь».

Каким же конкретно механизмом определяется направление поиска пользователя, пытающегося авторизоваться?

Ответ на: комментарий от kernelpanic

Оставил sss - все равно работает только pam_unix. Убрал pam_unix, оставил pam_sss - в логах:

user unknown to underlying authentication module

pianolender ★★★
() автор топика
Ответ на: комментарий от fbiagent

Вопрос как раз в том, в каком конфиге это определяется. Если я это буду знать, то смогу ответить и на ваш вопрос.

Маны, которые я смотрел, предполагают именно настройку через openldap.

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

примерно так

/etc/nsswitch.conf passwd: files winbind shadow: files winbind group: files winbind

/etc/pam.d/password-auth auth sufficient pam_unix.so nullok try_first_pass auth sufficient pam_winbind.so

LonleyLockley
()

Почитайте теорию. Зачем нужен pam, nss, как они между собой взаимодействуют.

// winbind и правка nsswitch.conf тебя спасёт на первое время.

anonymous
()
Ответ на: комментарий от anonymous

почитайте

тебя

о_О

Теорию-то я читал, нужно было найти, где сыпятся сообщения об ошибках, когда что-то не так. Вроде вопрос пока решил.

pianolender ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.