使用Kerberos通过SSH登录时，odmjob_mkhomedir不运行

debugcn 发表于 Dev

致命的芒果

我目前有一台具有Kerberos / SSSD / Samba的服务器，可以对Windows 2012 AD进行身份验证。

在/etc/pam.d/system-authodmjob_mkhomedir中设置如下：

session     optional      pam_oddjob_mkhomedir.so umask=0077 skel=/etc/skel

这是通过运行设置的authconfig --enablesssdauth --enablesssd --enablemkhomedir --update。

但是，当使用具有AD帐户的SSH通过SSH登录时，不会创建主目录，并且用户仅以/bin/sh而不是最终以root身份结束/bin/bash。

错误日志中没有任何内容表明sssd没有按预期运行，或者没有调用PAM模块。

配置复制如下：

/ etc / ssh / ssh_config

Port 22
ListenAddress x.x.x.x
Protocol 2
SyslogFacility AUTHPRIV
PermitRootLogin yes
PasswordAuthentication yes
ChallengeResponseAuthentication no
KerberosAuthentication yes
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM yes
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
X11Forwarding yes
Subsystem       sftp    /usr/libexec/openssh/sftp-server

/etc/sssd/sssd.conf

[sssd]
config_file_version = 2
debug_level = 7
domains = mydomain.co.uk
services = nss, pam

override_homedir = /home/%d/%u
default_shell = /bin/bash

[nss]

[pam]

[domain/mydomain.co.uk]
id_provider = ad
access_provider = ad
cache_credentials = true
debug_level = 7

文卡特

我会看几件事

  - is oddjobd running?
  - any messages related to this or PAM in authlog, messages
  - is SElinux enabled or enforced? check audit log for any AVC denial messages

再次查看您的sssd.conf，您可能需要转到override_homedir该DOMAIN部分，否则sssd似乎可以从ldap获取主目录信息。

本文收集自互联网，转载请注明来源。

如有侵权，请联系[email protected] 删除。