Как настроить sssd для AD в Debian 9?

Question

[Sinot]

Приветствую!

Решил попробовать ввести ПК в домен по средствам relamd. Установил сам realmd и packagekit. Время синхронизировал с контроллером домена. Ввел в домен командой:

realm join --user=vt4 crb.local

Все прошло без ошибок. Еще добавил в конец файла /etc/pam.d/common-session (первые два разделителя - табуляция):

session required pam_mkhomedir.so skel=/etc/skel umask=0077

И в /etc/sssd/sssd.conf в секцию sssd добавил:

default_domain_suffix = crb.local

Итоговый sssd.conf

[sssd]
domains = crb.local
config_file_version = 2
services = nss, pam
default_domain_suffix = crb.local

[domain/crb.local]
ad_domain = crb.local
krb5_realm = CRB.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = ad

getent passwd не показывает доменных пользователей как это было при настройке winbind, но если указать пользователя:

getent passwd vt4
vt4@crb.local:*:542801353:542800513:Синотов Владимир Сергеевич:/home/vt4@crb.local:/bin/bash

С getent group та же история. Приводить вывод не буду там много пользователей в группах.

id vt4
uid=542801353(vt4@crb.local) gid=542800513(пользователи домена@crb.local) группы=542800513(пользователи домена@crb.local),<...>

Так же все эти команды работают с указанием домена vt4@crb.local, vt4@crb, crb.local\\vt4, crb\\vt4.

Но зайти под доменными пользователями в систему не удается. Если логиниться через su от root:

root@vt-linuxmail:/home/user# su vt4
su: Системная ошибка
(Игнорировано)
vt4@crb.local@vt-linuxmail:/home/user$

Даже домашний каталог создается.

От не привилегированного пользователя:

user@vt-linuxmail:~$ su vt4
Пароль:
su: Системная ошибка
user@vt-linuxmail:~$

По ssh ожидаемо тоже не зайти.

/var/log/auth.log

#Попытка подключиться по ssh
Sep 26 08:53:08 vt-linuxmail sshd[458]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.14 user=vt4
Sep 26 08:53:08 vt-linuxmail sshd[458]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.0.14 user=vt4
Sep 26 08:53:12 vt-linuxmail sshd[458]: pam_sss(sshd:account): Access denied for user vt4: 4 (System error)
Sep 26 08:53:12 vt-linuxmail sshd[458]: Failed password for vt4 from 192.168.0.14 port 33596 ssh2
Sep 26 08:53:12 vt-linuxmail sshd[458]: fatal: Access denied for user vt4 by PAM account configuration [preauth]

#Попытка su vt4 от пользователя user
Sep 26 09:03:59 vt-linuxmail su[486]: pam_unix(su:auth): authentication failure; logname=user uid=1000 euid=0 tty=/dev/pts/1 ruser=user rhost= user=vt4
Sep 26 09:03:59 vt-linuxmail su[486]: pam_sss(su:auth): authentication success; logname=user uid=1000 euid=0 tty=/dev/pts/1 ruser=user rhost= user=vt4
Sep 26 09:04:03 vt-linuxmail su[486]: pam_sss(su:account): Access denied for user vt4: 4 (Системная ошибка)
Sep 26 09:04:03 vt-linuxmail su[486]: pam_acct_mgmt: System error
Sep 26 09:04:03 vt-linuxmail su[486]: FAILED su for vt4 by user
Sep 26 09:04:03 vt-linuxmail su[486]: - /dev/pts/1 user:vt4

Что делать ума не приложу.

Спасибо.

Comments

[Sinot]

Если прописать права доступа, например для группы:

realm permit -g пользователи\ домена@crb.local

При этом в sssd.conf меняется параметр access_provider.

sssd.conf

[sssd]
domains = crb.local
config_file_version = 2
services = nss, pam
default_domain_suffix = crb.local

[domain/crb.local]
ad_domain = crb.local
krb5_realm = CRB.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = пользователи домена@crb.local

Все начинает работать и su, и ssh. А если открыть доступ всем успешно прошедшим аутентификацию:

realm permit --all

Все снова ломается.

Answer 1

[CityCat4]

Могу привести реально действующий, но немного изуродованный sssd.conf

[sssd]
config_file_version = 2
domains = domain.int
services = nss

[nss]
filter_users = root
shell_fallback = /sbin/nologin
fallback_homedir = /usr/share/smbusers/%u
default_shell = /bin/sh

[domain/domain.int]
id_provider = ldap
auth_provider = ad
access_provider = ldap
selinux_provider = none

ldap_referrals = false

ldap_uri = ldap://dc1.domain.int/
ldap_backup_uri = ldap://dc3.domain.int/

ad_server = dc1.domain.int
ad_backup_server = dc3.domain.int

ldap_sasl_mech = GSSAPI

ldap_id_mapping = true
ldap_schema = ad
ldap_idmap_default_domain_sid = S-1-5-21-xxx... (много-цифр)
lookup_family_order = ipv4_only
case_sensitive = false

ldap_user_search_base = dc=domain,dc=int
ldap_group_search_base = dc=domain,dc=int

ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = true

krb5_realm = DOMAIN.INT
krb5_canonicalize = false

ldap_user_object_class = user
ldap_user_name = sAMAccountName
ldap_user_gecos = displayName
ldap_user_principal = userPrincipalName
ldap_user_modify_timestamp = whenChanged
ldap_user_shadow_last_change = pwdLastSet
ldap_user_shadow_expire = accountExpires

ldap_group_object_class = group
ldap_group_name = cn

man sssd.conf, man sssd-ldap, man sssd-ad

Comments

[Sinot]

В общем я понял, что ничего не понял. =)

Не пускало в систему из-за неправильно (?) настроенного sssd-ad. В простейшем случае параметр access_provider либо устанавливаем значение permit, либо комментируем/удаляем (значение по умолчанию permit).

За конфигурационный файл спасибо, буду изучать.

[CityCat4]

Sinot, realmd не использовал, настраивал сугубо по манам

Answer 2

[Алексей Максимов]

Возможно Вам помогут несколько статей с практическими примерами и рекомендациями отсюда