ฉันมีตัวควบคุมโดเมน 3 ตัว
192.168.1.6 เซิร์ฟเวอร์ 2016 [เทียบเท่า PDC] ไซต์ 1
192.168.1.7 เซิร์ฟเวอร์ 2016 ไซต์ 1
192.168.31.10 เซิร์ฟเวอร์ 2016 ไซต์ 2
และเวิร์กสเตชันลินุกซ์ Windows10, Mac และ Debian 10 windows และ mac ไม่เคยมีปัญหา เมื่อเร็ว ๆ นี้ (วันพุธที่แล้ว) ในเวลาเดียวกัน ฉันได้ติดตั้งการอัปเดต windows เดือนตุลาคมบนตัวควบคุมโดเมน ผู้ใช้ไม่สามารถเข้าสู่ระบบเวิร์กสเตชันลินุกซ์ได้เป็นระยะ ๆ
การเข้าสู่ระบบจากเดสก์ท็อปทำให้ "รหัสผ่านไม่ถูกต้อง" การเข้าสู่ระบบผ่าน ssh จะปิดการเชื่อมต่อหลังจากนั้นไม่กี่วินาที (ตรงข้ามกับรหัสผ่านที่ไม่ถูกต้องซึ่งจะบอกว่า สิทธิ์ถูกปฏิเสธ โปรดลองอีกครั้ง:
ชื่อผู้ใช้@PC:~$ ssh [email protected]
รหัสผ่านของ [email protected]:
การเชื่อมต่อถูกปิดโดยพอร์ต 192.168.1.195 22
ปรากฎว่าบังคับให้เวิร์กสเตชัน (ผ่าน / etc / โฮสต์) เพื่อแก้ไขโดเมนของเรา (example.com) เป็น DC หลัก (192.168.1.6 example.com) ซ่อมมัน.
เห็นได้ชัดว่านี่เป็นเพียงวิธีแก้ปัญหา ฉันไม่พบเหตุการณ์การตรวจสอบสิทธิ์ที่ล้มเหลวในบันทึกเหตุการณ์ของ windows ใน DC ใดๆ ราวกับว่าความพยายามในการตรวจสอบสิทธิ์ไม่ถึง DC ฉันไม่พบผลลัพธ์ใด ๆ ทางออนไลน์
บันทึกการตรวจสอบสิทธิ์บนเวิร์กสเตชัน (192.168.1.125):
29 ต.ค. 10:09:45 น. exampleLXWS5 sshd[15065]: pam_unix(sshd:auth): การตรวจสอบสิทธิ์ล้มเหลว; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
29 ต.ค. 10:09:45 น. exampleLXWS5 sshd[15065]: pam_sss(sshd:auth): การตรวจสอบสิทธิ์ล้มเหลว; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
29 ต.ค. 10:09:45 น. exampleLXWS5 sshd[15065]: pam_sss(sshd:auth): ได้รับสำหรับผู้ใช้ john.smith: 17 (การตั้งค่าข้อมูลรับรองผู้ใช้ล้มเหลว)
29 ต.ค. 10:09:47 น. exampleLXWS5 sshd[15065]: รหัสผ่านล้มเหลวสำหรับ john.smith จากพอร์ต 192.168.1.125 54758 ssh2
29 ต.ค. 10:09:52 น. exampleLXWS5 sshd[15065]: pam_sss(sshd:auth): การตรวจสอบสิทธิ์สำเร็จ; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
29 ต.ค. 10:09:57 น. exampleLXWS5 sshd[15065]: pam_sss(sshd:account): การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ john.smith: 4 (ข้อผิดพลาดของระบบ)
29 ต.ค. 10:09:57 น. exampleLXWS5 sshd[15065]: รหัสผ่านล้มเหลวสำหรับ john.smith จากพอร์ต 192.168.1.125 54758 ssh2
29 ต.ค. 10:09:57 น. exampleLXWS5 sshd[15065]: ร้ายแรง: การเข้าถึงถูกปฏิเสธสำหรับผู้ใช้ john.smith โดยการกำหนดค่าบัญชี PAM [preauth]
29 ต.ค. 10:09:57 น. exampleLXWS5 sshd[15065]: PAM 1 การตรวจสอบสิทธิ์ล้มเหลวอีก logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.125 user=john.smith
นี่คือบันทึกเพิ่มเติมด้วย debug_level = 5 ใน sssd.conf สำหรับการพยายามเข้าสู่ระบบที่ล้มเหลว
==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [dp_get_account_info_handler] (0x0200): ได้รับคำขอสำหรับ [0x3][BE_REQ_INITGROUPS][[email protected]]
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): รายการ [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] ได้ตั้งค่า [ts_cache] attrs
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): รายการ [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] ได้ตั้งค่า [ts_cache] attrs
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [dp_pam_handler] (0x0100): ได้รับคำขอพร้อมข้อมูลต่อไปนี้
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): command: SSS_PAM_AUTHENTICATE
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): โดเมน: EXAMPLE.COM
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): user: [email protected]
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): บริการ: sshd
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tty: ssh
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ruser:
(ศ. 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): rhost: 192.168.1.116
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): authtok type: 1
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): newauthtok type: 0
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): priv: 1
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): cli_pid: 15728
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ชื่อเข้าสู่ระบบ: ไม่ได้ตั้งค่า
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [krb5_auth_send] (0x0100): ไม่รู้จักโฮมไดเร็กทอรีสำหรับผู้ใช้ [[email protected]]
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [fo_resolve_service_send] (0x0100): กำลังพยายามแก้ไขบริการ 'AD'
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [resolve_srv_send] (0x0200): สถานะของการค้นหา SRV ได้รับการแก้ไขแล้ว
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [be_resolve_server_process] (0x0200): Found address for server domaincontroller1.EXAMPLE.COM: [192.168.1.6] TTL 3600
==> /var/log/sssd/krb5_child.log <==
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [[sssd[krb5_child[15730]]]] [unpack_buffer] (0x0100): cmd [241] uid [1860816111] gid [1860800513] ตรวจสอบความถูกต้อง [จริง] หลักองค์กร [จริง] ออฟไลน์ [เท็จ] UPN [[email protected]]
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [unpack_buffer] (0x0100): ccname: [FILE:/tmp/krb5cc_1860816111_XXXXXX] old_ccname: [FILE:/tmp/krb5cc_1860816119]keytabXi : [/etc/krb5.keytab]
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [check_use_fast] (0x0100): ไม่ใช้ FAST
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): เปลี่ยนผู้ใช้เป็น [1860816111][1860800513]
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): เปลี่ยนผู้ใช้เป็น [0][0]
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [privileged_krb5_setup] (0x0080): ไม่สามารถเปิดซ็อกเก็ตตอบกลับ PAC
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [become_user] (0x0200): พยายามเป็นผู้ใช้ [1860816111][1860800513]
(ศุกร์ 29 ต.ค. 13:56:02 น. 2564) [[sssd[krb5_child[15730]]]] [try_open_krb5_conf] (0x0080): Cannot open /etc/krb5.conf [2]: No such file or directory
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [set_lifetime_options] (0x0100): ไม่มีการร้องขออายุการต่ออายุที่เฉพาะเจาะจง
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [set_lifetime_options] (0x0100): ไม่มีการร้องขออายุการใช้งานที่เฉพาะเจาะจง
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [set_canonicalize_option] (0x0100): Canonicalization ถูกตั้งค่าเป็น [จริง]
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. ปี 2021) [[sssd[krb5_child[15730]]]] [sss_send_pac] (0x0040): sss_pac_make_request ล้มเหลว [-1][2]
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. ปี 2021) [[sssd[krb5_child[15730]]]] [validate_tgt] (0x0040): sss_send_pac ล้มเหลว การเป็นสมาชิกกลุ่มสำหรับผู้ใช้ที่มีหลัก [john.smith\@EXAMPLE.COM@EXAMPLE COM] อาจไม่ถูกต้อง
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): เปลี่ยนผู้ใช้เป็น [1860816111][1860800513]
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [[sssd[krb5_child[15730]]]] [switch_creds] (0x0200): ผู้ใช้แล้ว [1860816111]
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [[sssd[krb5_child[15730]]]] [k5c_send_data] (0x0200): ได้รับรหัสข้อผิดพลาด 0
==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [child_sig_handler] (0x0100): child [15730] เสร็จสิ้นเรียบร้อยแล้ว
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [fo_set_port_status] (0x0100): ทำเครื่องหมายพอร์ต 389 ของเซิร์ฟเวอร์ 'domaincontroller1.EXAMPLE.COM' เป็น 'กำลังทำงาน'
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [set_server_common_status] (0x0100): ทำเครื่องหมายเซิร์ฟเวอร์ 'domaincontroller1.EXAMPLE.COM' เป็น 'กำลังทำงาน'
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): รายการ [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] ได้ตั้งค่า [แคช, ts_cache] attrs
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [sysdb_set_entry_attr] (0x0200): รายการ [[email protected],cn=users,cn=EXAMPLE.COM ,cn=sysdb] ได้ตั้งค่า [แคช, ts_cache] attrs
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [dp_pam_handler] (0x0100): ได้รับคำขอพร้อมข้อมูลต่อไปนี้
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): command: SSS_PAM_ACCT_MGMT
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): โดเมน: EXAMPLE.COM
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): user: [email protected]
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): บริการ: sshd
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): tty: ssh
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ruser:
(ศ. 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): rhost: 192.168.1.116
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): authtok type: 0
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2564) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): newauthtok type: 0
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): priv: 1
(วันศุกร์ที่ 29 ต.ค. เวลา 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): cli_pid: 15728
(วันศุกร์ที่ 29 ต.ค. 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [pam_print_data] (0x0100): ชื่อเข้าสู่ระบบ: ไม่ได้ตั้งค่า
(วันศุกร์ที่ 29 ตุลาคม 13:56:02 น. 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_get_som_attrs_done] (0x0040): ไม่พบ attrs สำหรับ SOM; ลอง SOM ถัดไป
==> /var/log/sssd/gpo_child.log <==
(วันศุกร์ที่ 29 ตุลาคม 13:56:08 น. 2021) [[sssd[gpo_child[15731]]]] [copy_smb_file_to_gpo_cache] (0x0020): smbc_getFunctionOpen ล้มเหลว [110][การเชื่อมต่อหมดเวลา]
(วันศุกร์ที่ 29 ตุลาคม 13:56:08 น. 2021) [[sssd[gpo_child[15731]]]] [perform_smb_operations] (0x0020): copy_smb_file_to_gpo_cache ล้มเหลว [110][หมดเวลาการเชื่อมต่อ]
(วันศุกร์ที่ 29 ต.ค. 13:56:08 น. 2564) [[sssd[gpo_child[15731]]]] [หลัก] (0x0020): perform_smb_operations ล้มเหลว[110][หมดเวลาการเชื่อมต่อ]
(วันศุกร์ที่ 29 ต.ค. 13:56:08 น. 2564) [[sssd[gpo_child[15731]]]] [หลัก] (0x0020): gpo_child ล้มเหลว!
==> /var/log/sssd/sssd_EXAMPLE.COM.log <==
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:08 น. 2021) [sssd[be[EXAMPLE.COM]]] [gpo_cse_done] (0x0020): ad_gpo_parse_gpo_child_response ล้มเหลว: [22][อาร์กิวเมนต์ไม่ถูกต้อง]
(วันศุกร์ที่ 29 ตุลาคม เวลา 13:56:08 น. 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_cse_done] (0x0040): ไม่สามารถดึงข้อมูลนโยบาย: [22](อาร์กิวเมนต์ไม่ถูกต้อง}
(วันศุกร์ที่ 29 ตุลาคม 13:56:08 น. 2021) [sssd[be[EXAMPLE.COM]]] [ad_gpo_access_done] (0x0040): การควบคุมการเข้าถึงตาม GPO ล้มเหลว
(วันศุกร์ที่ 29 ต.ค. 13:56:08 น. 2021) [sssd[be[EXAMPLE.COM]]] [child_sig_handler] (0x0020): child [15731] ล้มเหลวด้วยสถานะ [1]
หลังจากขุดค้นบันทึกมากขึ้น (ดีบักระดับ 7 บน sssd) และ googling ฉันก็ยังไม่รู้ว่าสาเหตุที่แท้จริงคืออะไร แต่ฉันพบว่ามันส่งข้อผิดพลาดในการเข้าถึงวัตถุนโยบายกลุ่มเฉพาะ ฉันตรวจสอบการอนุญาตวัตถุใน \domain.com\SYSVOL\.... และทุกอย่างก็ดูดี
การตั้งค่านี้ทำให้ปัญหาหายไปด้วยวิธีที่อร่อยกว่าการตรึงโดเมนไว้ที่ DC in เดียว / etc / โฮสต์:
ใน /etc/sssd/sssd.conf ภายใต้ [โดเมน/MYDOMAIN.COM] ส่วนฉันเพิ่ม:
ad_gpo_access_control = อนุญาต
เนื้อหาไฟล์แบบเต็ม:
# แมว /etc/sssd/sssd.conf
[sssd]
#debug_level = 7
โดเมน = MYDOMAIN.COM
config_file_version = 2
บริการ = nss, แพม
[โดเมน/MYDOMAIN.COM]
#debug_level = 7
# เพิ่ม ad_gpo_access_control = อนุญาตเมื่อ 2021-11-01 เพื่อแก้ไขปัญหาการเข้าสู่ระบบ AD
ad_gpo_access_control = อนุญาต
ad_domain = MYDOMAIN.COM
krb5_realm = MYDOMAIN.COM
realmd_tags = จัดการระบบที่เข้าร่วมกับ adcli
cache_credentials = จริง
id_provider = โฆษณา
krb5_store_password_if_offline = จริง
default_shell = /bin/ทุบตี
ldap_id_mapping = จริง
use_fully_qualified_names = เท็จ
fallback_homedir = /home/%u@%d
access_provider = โฆษณา
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
