ต้องการความช่วยเหลือในการตรวจสอบเซิร์ฟเวอร์ linux (Ubuntu) ที่เข้าร่วมกับโดเมนลูก ฉันเห็นชื่อเซิร์ฟเวอร์บนตัวควบคุมโดเมนและสามารถเรียกใช้การทดสอบการรับรองความถูกต้องได้สำเร็จ แต่ฉันไม่สามารถเข้าสู่ระบบด้วยบัญชีโดเมนของฉันได้ ดูเหมือนว่าการตั้งค่าการกำหนดค่าบางแห่งสำหรับการกำหนดค่า SSSD หรือ KRB5 จำเป็นต้องระบุโดเมนย่อย นอกจากนี้ยังไม่ใช่ปัญหาความน่าเชื่อถือของโดเมนเนื่องจากเซิร์ฟเวอร์ Windows ที่เข้าร่วมกับโดเมนลูกกำลังรับข้อมูลรับรองจากบัญชีหลัก
kinit -V [email protected]
รับรองความถูกต้องกับ Kerberos v5
root@SERVER:/var/log/sssd# systemctl สถานะ sssd
22 ต.ค. 17:55:09 น. SERVER [sssd[ldap_child[27928]: ไม่สามารถเริ่มต้นข้อมูลประจำตัวโดยใช้แท็บคีย์ [MEMORY:/etc/krb5.keytab]: ไม่พบไคลเอ็นต์ '[email protected]' ในฐานข้อมูล Kerberos ไม่สามารถสร้างการเชื่อมต่อ LDAP ที่เข้ารหัสด้วย GSSAPI
ข้อผิดพลาดในล็อกไฟล์ SSSD
ศ. 22 ต.ค. 17:32:51 น. 2564) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): โดเมนที่ไม่รู้จัก [CHILD.DOMAIN.SYS]
(วันศุกร์ที่ 22 ตุลาคม เวลา 17:32:51 น. 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): ข้อผิดพลาด (2 [ไม่มีไฟล์หรือไดเรกทอรีดังกล่าว]) กำลังเรียกโดเมน [CHILD.DOMAIN.SYS], ข้าม!
การกำหนดค่า SSSD
root@SERVER:cat /etc/sssd/sssd.conf
[sssd]
บริการ = nss, แพม
config_file_version = 2
โดเมน = DOMAIN.SYS, CHILD.DOMAIN.SYS
[nss]
default_shell = /bin/ทุบตี
[โดเมน/DOMAIN.SYS]
id_provider = โฆษณา
access_provider = โฆษณา
override_homedir = /home/%d/%u
ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = DOMAIN.SYS
การกำหนดค่า KRB5
root@SERVER: cat /etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.SYS
Ticket_lifetime = 24 ชม. #
renew_lifetime = 7 วัน
rdns = เท็จ
ตัวแปร krb5.conf ต่อไปนี้ใช้สำหรับ MIT Kerberos เท่านั้น
kdc_timesync = 1
ccache_type = 4
ส่งต่อได้ = จริง
ใกล้เคียง = จริง
คุณตั้งค่า SSSD อย่างไร คุณทำ อาณาจักรค้นพบ แล้ว เข้าร่วมอาณาจักร? หากคุณไม่ทำเช่นนั้น นั่นคือวิธีที่แนะนำ ฉันขอแนะนำให้ทำอย่างนั้น
คุณได้ลองตรวจสอบสิทธิ์ในฐานะผู้ใช้ในโดเมนลูกแล้วหรือยัง *รับรหัสผ่าน [email protected]
จากสิ่งที่ฉันสามารถบอกได้ในข้อมูลที่จัดรูปแบบไม่ถูกต้อง คุณมีสองโดเมนใน sssd.conf
[sssd]
บริการ = nss, แพม
config_file_version = 2
โดเมน = DOMAIN.SYS, CHILD.DOMAIN.SYS
[nss]
default_shell = /bin/ทุบตี
[โดเมน/DOMAIN.SYS]
id_provider = โฆษณา
access_provider = โฆษณา
คุณมีส่วนสำหรับ [โดเมน/CHILD.DOMAIN.SYS]. จะเกิดอะไรขึ้นถ้าคุณทำ รายการอาณาจักร? ที่ควรแสดงให้คุณเห็นว่าการกำหนดค่าใดถูกต้องใน sssd.conf ของคุณ
ฉันไม่แน่ใจว่าคุณจำเป็นต้องให้ทั้งสองโดเมนอยู่ในรายการโดเมนหลัก-รองหรือไม่ แต่อาจลองกำหนดค่าโดเมนย่อยด้วยตัวเองก่อน หรืออย่างน้อยก็ใส่เด็กเป็นอันดับแรกในการ โดเมน รายการ.
โดเมน = CHILD.DOMAIN.SYS
...
[โดเมน/CHILD.DOMAIN.SYS]
id_provider = โฆษณา
access_provider = โฆษณา
คุณกำลังพยายามตรวจสอบผู้ใช้โดเมนหลักอย่างไร คุณกำลังพยายาม SSH หรือคุณกำลังพยายาม รับ ภายในเครื่องเซิร์ฟเวอร์? คุณใช้ชื่อที่มีคุณสมบัติครบถ้วนในการตรวจสอบผู้ใช้โดเมนหลักหรือไม่ เช่น. รับรหัสผ่าน wd [email protected]
ข้อผิดพลาดนี้บ่งชี้ว่ากำลังพยายามใช้แท็บคีย์ที่มีชื่อคอมพิวเตอร์ไม่ถูกต้อง ลูกค้า '[email protected]' . มันควรจะใช้ เซิร์ฟเวอร์[email protected] หากเข้าร่วมกับโดเมนลูก แท็บคีย์เซิร์ฟเวอร์มีชื่อเซิร์ฟเวอร์ที่ถูกต้องสำหรับโดเมนลูกหรือไม่
นั่นเป็นเหตุผลที่ฉันแนะนำให้ลดความซับซ้อนของปัญหาด้วยการตรวจสอบว่าคุณสามารถเข้าสู่ระบบด้วยข้อมูลประจำตัวของโดเมนลูกก่อนแม้ว่าฉันคิดว่าคุณควรเริ่มต้นใหม่กับ เข้าร่วมอาณาจักร ถ้าคุณไม่ได้ใช้วิธีนี้
ลองทำตามขั้นตอนการแก้ปัญหาที่นี่ โดยเฉพาะส่วน Basics, Backend และ Common AD Provider: https://sssd.io/troubleshooting/basics.html
(อย่างไรก็ตาม ฉันหวังว่าส่วนต่อท้ายโดเมนของคุณจะไม่ใช่ .SYS จริงๆ)
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
