Score:0

ปัญหา sudoing โดยใช้โฮสต์ที่เชื่อมต่อกับ Active Directory (ไฟล์ sssd, kerberos local sudoers)

ธง pl

ฉันกำลังกำหนดค่าการรับรองความถูกต้อง Active Directory สำหรับกล่อง Alma 8 โดยใช้ SSSD, Kerberos และคีย์ SSH เริ่มต้นสำหรับการเข้าสู่ระบบที่จัดเก็บไว้ในวัตถุ Active Directory และไฟล์ sudoers ในเครื่องที่แสดงรายการกลุ่มที่ได้รับอนุญาตให้ทำ sudo

ฉันได้เชื่อมต่อเซิร์ฟเวอร์กับโดเมนและสามารถตรวจสอบสิทธิ์ในฐานะผู้ใช้โดเมนได้ โดยเข้าสู่ระบบโดยใช้คีย์ SSH ในตอนแรก รหัสผ่านโดเมน AD จะต้องระบุภายหลังเมื่อยกระดับขึ้นเป็นรูท และนี่คือจุดที่กระบวนการล้มเหลว ดูเหมือนว่ามีข้อผิดพลาดรหัสผ่านไม่ถูกต้อง

/etc/nsswitch.conf

passwd: ไฟล์ sss
กลุ่ม: ไฟล์ sss
sudoers: ไฟล์ sss

/etc/sssd/sssd.conf

[sssd]
บริการ = ssh, nss, แพม, sudo
config_file_version = 2
โดเมน = XXXXXXXXXX.COM

[โดเมน/XXXXXXXXXXXX.COM]
debug_level = 0x3ff0
ad_domain = xxxxxxx.com
krb5_realm = XXXXXXXXXX.COM

id_provider = โฆษณา
access_provider = โฆษณา
แจงนับ = เท็จ
cache_credentials = เท็จ
use_fully_qualified_names = เท็จ
ldap_user_ssh_public_key = sshPublicKey
ad_enable_gc = เท็จ
ad_gpo_access_control = ปิดใช้งาน
ad_server = dc1.xxxxxxx.com,dc2.xxxxxxx.com
debug_level = 9

dyndns_update = จริง
dyndns_update_ptr = จริง
ad_hostname = testbox.xxxxxxx.com

[nss]
default_shell = /bin/ทุบตี
fallback_homedir = /home/%d/%u

[ssh]

[ซูโดะ]
debug_level = 0x3ff0

/etc/sudoers.d/company_sudoers


"%ผู้ดูแลบริษัท" ALL=(ALL) ALL
"%ผู้ดูแลโดเมน" ALL=(ALL) ALL
"%gg-srvlocaladmin" ALL=(ทั้งหมด) ทั้งหมด

"%dl-linuxadministrator" ALL=(ALL) ทั้งหมด

ฉันตรวจสอบแล้วว่าฉันเข้าสู่ระบบในฐานะผู้ใช้โดเมน และเป็นสมาชิกของกลุ่มที่จำเป็นกลุ่มหนึ่ง (dl-linuxadministrators):

[me@testbox ~]$ กลุ่ม
ผู้ใช้โดเมน nonprod-zabbix-admins prod-zabbix-admins nonprod-glog-allstreams-users prod-glog-allstreams-users prod-glog-views-users gg-linuxadmins dl-linuxadministrators

เมื่อฉันใช้ sudo ถึง root รหัสผ่านของฉันดูเหมือนจะไม่ได้รับการยอมรับ:

[me@testbox ~]$ sudo -i
[sudo] รหัสผ่านสำหรับฉัน:
ขออภัย ลองอีกครั้ง
[sudo] รหัสผ่านสำหรับฉัน:
ขออภัย ลองอีกครั้ง
[sudo] รหัสผ่านสำหรับฉัน:
sudo: รหัสผ่านไม่ถูกต้อง 3 ครั้ง

ฉันได้เปิดใช้งาน sudo และ sssd debug logs แล้ว บันทึกของ sudo นั้นค่อนข้างละเอียด ฉันไม่พบสิ่งใดที่เห็นได้ชัดว่าเป็นข้อผิดพลาดหรือคล้ายกันในบันทึกเหล่านั้น (ฉันยินดีที่จะโพสต์ข้อความที่ตัดตอนมา อย่างไรก็ตาม หากผู้คนสามารถแนะนำสิ่งใดที่ฉันควรมองหาโดยเฉพาะได้) ฉันคิดว่าบันทึก sssd บ่งชี้ว่าส่วนนี้ของกระบวนการตรวจสอบสิทธิ์กำลังถูกส่งต่อไปยัง PAM

การกำหนดค่านี้ได้รับการย้ายจากเซิร์ฟเวอร์ Ubuntu ที่มีอยู่ ซึ่งใช้งานได้โดยไม่มีปัญหาใดๆ ฉันเห็นได้จากการดูไฟล์ใน /etc/pam.d/ ซึ่งมีหลายไฟล์ใน Ubuntu

กล่องอ้างอิงโมดูล pam_sss.so ในขณะที่สิ่งเหล่านี้ขาดหายไปในกล่อง Alma

root@otherbox:/etc/pam.d# grep sss * | grep -v เก่า
บัญชีทั่วไป: บัญชี [default=bad success=ok user_unknown=ignore] pam_sss.so
การตรวจสอบสิทธิ์ทั่วไป: การรับรองความถูกต้อง [success=1 default=ignore] pam_sss.so use_first_pass
รหัสผ่านทั่วไป: รหัสผ่านเพียงพอ pam_sss.so use_authtok
เซสชันทั่วไป: เซสชันที่เป็นทางเลือก pam_sss.so

ฉันได้ลองแปลและย้ายข้อมูลเหล่านี้บางส่วนแล้ว ดูเหมือนจะไม่มีผลใดๆ แต่ได้ผล อาจ อาจเป็นไปได้ว่าฉันไม่ได้ทำสิ่งนี้อย่างถูกต้องเนื่องจากความแตกต่างมากมายระหว่าง distros

อย่างไรก็ตาม Syslog แสดงข้อความแสดงข้อผิดพลาดที่กลับมาจากสิ่งที่ดูเหมือนจะเป็นกระบวนการลูกของ krb:

4 ก.พ. 16:08:45 กล่องทดสอบ krb5_child[2117]: การตรวจสอบสิทธิ์ล่วงหน้าล้มเหลว
4 ก.พ. 16:08:45 กล่องทดสอบ krb5_child[2117]: การตรวจสอบสิทธิ์ล่วงหน้าล้มเหลว
4 ก.พ. 16:08:45 กล่องทดสอบ krb5_child[2117]: การตรวจสอบสิทธิ์ล่วงหน้าล้มเหลว

ฉันยัง คิด ปัญหาน่าจะเกี่ยวข้องกับ PAM แต่ฉันไม่แน่ใจ 100%

มีใครสามารถให้คำแนะนำใด ๆ แก่ฉันได้หรือไม่?

ขอบคุณล่วงหน้า.

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา