GNU/Linux >> LINUX-Kenntnisse >  >> Cent OS

Active Directory-Benutzer können sich mit SSSD nicht über SSH anmelden und erhalten „Berechtigung verweigert, bitte erneut versuchen“ [CentOS/RHEL]

Active Directory-Benutzer können sich mit SSSD nicht über SSH anmelden und erhalten „Berechtigung verweigert, bitte versuchen Sie es erneut“ [CentOS/RHEL]

Das Problem

1. Die Integration eines Linux-Knotens mit Active Directory zur Authentifizierung schlägt mit dem Fehler „Zugriff verweigert, bitte erneut versuchen“ fehl, während eine Verbindung über ssh:

hergestellt wird 
# ssh [hostname] -l [username]@[DOMAINNAME].com
The authenticity of host '[hostname] ([IP ADDRESS])' can't be established.
RSA key fingerprint is 4f:3b:ba:b2:b7:6e:d0:b7:dd:a6:4b:32:ac:e3:58:63.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[hostname],[IP ADDRESS]' (RSA) to the list of known hosts.
[username]@.com@[hostname]'s password:
Permission denied, please try again.
[username]@.com@[hostname]'s password:

2. Überprüfen Sie, ob Benutzername und Passwort korrekt sind:

$ su - [username]
# su - [username]@[DOMAINNAME].com

3. Die Authentifizierungsfehler können in /var/log/secure beobachtet werden Geschichte:

Apr 3 23:20:24 [hostname] sshd[323944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:20:24 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 11, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:26 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:34 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 12, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:37 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:40 [hostname] sshd[323944]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_tally2(sshd:auth): user [username] (1494516080) tally 13, deny 5 <<<<<<<<<<<<<
Apr 3 23:24:39 [hostname] sshd[338364]: Failed password for [username] from [IP ADDRESS] port 51893 ssh2

Ursache

Problem mit einer oder mehreren Konfigurationsdateien:system-auth-ac und password-auth-ac , sssd-Modul wurden in der folgenden Konfigurationsdatei kommentiert:

$ grep sss /etc/pam.d/system-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so
$  grep sss /etc/pam.d/password-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so

Das pam_tally2-Modul steht in Konflikt mit sssd-Modulen:

$ cat etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
##auth required pam_tally2.so deny=5 onerr=fail serialize >>>>
#auth required pam_tally2.so deny=5 onerr=fail lock_time=600 serialize
# EXADATA ACCESS CONTROL via /etc/exadata/security/exadata-access.conf
account required pam_nologin.so
account include password-auth
account required pam_tally2.so
password include password-auth
pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session required pam_limits.so
# cat /etc/pam.d/login
auth required pam_tally2.so deny=5 onerr=fail serialize
# cat/etc/pam.d/login
account required pam_tally2.so

Die Lösung

Hinweis :Achten Sie darauf, alle Sicherungsdateien im Verzeichnis /pam.d/ zu entfernen.

1. Kommentiere pam_tally2 Zeilen in allen Authentifizierungsdateien unter /etc/pam.d/* Verzeichnis.

2. Kommentieren Sie die in den Ursachenabschnitten erwähnte Zeile [Sssd-Module aktivieren] wie folgt aus.

$ grep sss /etc/pam.d/system-auth-ac 
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so 
$ grep sss /etc/pam.d/password-auth-ac
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so


Cent OS

  1. [CentOS 7 Apache]:Berechtigung verweigert:Dateiberechtigungen verweigern den Serverzugriff

  2. Ssh – Versuch, per SSH in den Server zu gelangen und Key_load_public zu erhalten:Kein solcher Datei- oder Verzeichnisfehler?

  3. Deaktivieren Sie die direkte Root-Anmeldung und den Benutzerzugriff über SSH auf den Server

  4. Der Beitritt von Linux Samba Server zur Windows Active Directory-Domäne ist nicht möglich

  5. So beschränken Sie Active Directory-Benutzer und -Gruppen auf die Anmeldung beim CentOS/RHEL 7-Client

So ändern Sie die Berechtigung für Verzeichnisse und Dateien

Verwenden von Secure Shell (SSH) für die Anmeldung und Secure Copy (SCP) für die Datenübertragung unter Linux

SSH-Verbindung zum Server nach Integration in die Active Directory (AD)-Domäne nicht möglich [CentOS/RHEL 7]

Integrieren Sie Linux-Server mit Active Directory mit Samba, Winbind und Kerberos

Fehler „530:Berechtigung verweigert“, wenn sich der Benutzer über FTP beim vsftpd-Server anmeldet

Erstellen Sie einen neuen vsftpd-Benutzer und sperren Sie ihn auf das Home-/Login-Verzeichnis (geben Sie es an).