我目前有一台具有Kerberos / SSSD / Samba的服务器,可以对Windows 2012 AD进行身份验证。
在/etc/pam.d/system-auth
odmjob_mkhomedir中设置如下:
session optional pam_oddjob_mkhomedir.so umask=0077 skel=/etc/skel
这是通过运行设置的authconfig --enablesssdauth --enablesssd --enablemkhomedir --update
。
但是,当使用具有AD帐户的SSH通过SSH登录时,不会创建主目录,并且用户仅以/bin/sh
而不是最终以root身份结束/bin/bash
。
错误日志中没有任何内容表明sssd没有按预期运行,或者没有调用PAM模块。
配置复制如下:
/ etc / ssh / ssh_config
Port 22
ListenAddress x.x.x.x
Protocol 2
SyslogFacility AUTHPRIV
PermitRootLogin yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
Subsystem sftp /usr/libexec/openssh/sftp-server
/etc/sssd/sssd.conf
[sssd]
config_file_version = 2
debug_level = 7
domains = mydomain.co.uk
services = nss, pam
override_homedir = /home/%d/%u
default_shell = /bin/bash
[nss]
[pam]
[domain/mydomain.co.uk]
id_provider = ad
access_provider = ad
cache_credentials = true
debug_level = 7
我会看几件事
- is oddjobd running?
- any messages related to this or PAM in authlog, messages
- is SElinux enabled or enforced? check audit log for any AVC denial messages
再次查看您的sssd.conf,您可能需要转到override_homedir
该DOMAIN
部分,否则sssd似乎可以从ldap获取主目录信息。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句