Проблемы во взаимодействии sssd, kerberos, active directory?

Здравствуйте!

Установил на сервер sssd, сконфигурировал его для работы с Active Directory 2008.

При попытке зайти по ssh под юзером alexwinner в логе получаю следующее:
(Fri May 11 18:56:03 2012) [[sssd[krb5_child[26281]]]] [get_and_save_tgt] (1): 523: [-1765328360][Preauthentication failed]


При этом при выполнении 'kinit alexwinner' всё ок, тикет получаю без проблем.

Пароль в обоих случаях ввожу точно правильно.

Ставил дамп, смотрел керберос-пакеты, различаются только поля padata. Может, так и должно быть.

Вот sssd.conf:
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam

domains = MYDOMAIN.COM

[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3

; entry_cache_timeout = 600
; entry_cache_nowait_timeout = 300

[pam]
reconnection_retries = 3


[domain/MYDOMAIN.COM]
description = LDAP domain with AD server
enumerate = true

min_id = 1000
cache_credentials = false

id_provider = ldap
auth_provider = krb5
chpass_provider = krb5

krb5_realm = MYDOMAIN.COM
krb5_kdcip = 172.27.250.141
krb5_kpasswd = 172.27.250.141
ldap_pwd_policy = none

ldap_id_use_start_tls = false
ldap_tls_reqcert = never

ldap_uri = ldap://172.27.250.141:3268/
ldap_schema = rfc2307bis
ldap_default_bind_dn = ECAAuthUser@mydomain.com
ldap_default_authtok_type = password
ldap_default_authtok = veryhardpassword


ldap_user_search_base = ou=linux,ou=users,ou=pro,dc=mydomain,DC=com
ldap_user_object_class = user
ldap_user_uid_number = uidNumber
ldap_user_gid_number = GIDNumber
ldap_user_home_directory = unixHomeDirectory
ldap_user_shell = loginShell
ldap_user_principal = userPrincipalName
ldap_user_name = sAMAccountName
ldap_user_gecos = displayName
ldap_user_uuid = objectGUID

ldap_group_search_base = OU=Linux,OU=Roles,DC=mydomain,DC=com
ldap_group_object_class = group
ldap_group_name = Name
ldap_group_gid_number = GidNumber
ldap_force_upper_case_realm = True



Вот krb5.conf:
[libdefaults]
    default_realm = MYDOMAIN.COM
    forwardable = true

[realms]
   MYDOMAIN.COM = {
        kdc = 172.27.250.141
        admin_server = 172.27.250.141
    }



Подскажите, пожалуйста, куда копать, на что смотреть?
  • Вопрос задан
  • 5380 просмотров
Пригласить эксперта
Ответы на вопрос 2
alexeym
@alexeym
если не ошибаюсь то эта ошибка свзяна с krb
попробуйте
/etc/init.d/sssd stop
kdestroy
kinit
klist # проверить получил ли тикет
/etc/init.d/sssd start
Ответ написан
Murz
@Murz
Разработка сайтов на Drupal, поисковая оптимизация
Испытываю в точности такие же проблемы, скажите пожалуйста - Вам удалось решить эту проблему? Или может хотя бы причину более точно удалось выяснить?
Устанавливаю на Ubuntu 13.10 авторизацию через Zentyal домен с помощью sssd и heimdal-clients - через libpam-krb5 тоже работает, а через sssd не проходит.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы