Das Problem
Das CentOS/RHEL 7.3-System wurde erfolgreich für den Beitritt zu einer Active Directory-Domäne konfiguriert. Ein Benutzer auf dem OL-System kann sich nicht anmelden und die folgenden Einträge werden im Systemprotokoll /var/log/messages gefunden:
2017-06-28T11:28:41.404719-04:00 adclient sshd[10352]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=X.X.X.X user=test1 2017-06-28T11:28:41.573420-04:00 adclient sshd[10352]: pam_krb5[10352]: account checks fail for '[email protected]': user disallowed by .k5login file for 'test1'
Die Lösung
Die erste Zeile in der obigen /var/log/messages-Ausgabe gibt an, dass der Linux-Client sich mit dem AD-Server verbunden hat, wobei die Anmeldeinformationen des Benutzers test1 verwendet wurden. Die zweite Zeile meldet, dass die Kontonutzung lokal durch pam_krb5 blockiert wird Prüfung auf PAM (Pluggable Authentication Modules). Dieses Modul wird von $(HOME)/.k5login gesteuert Datei.
Abhilfe
Die bevorzugte Lösung besteht darin, die Server-Principals in die benutzerspezifische ${HOME}/.k5login-Datei einzufügen. Konsultieren Sie das K5LOGIN man-Seite für weitere Informationen zum Hinzufügen von Elementen zu dieser Datei.
Problemumgehung
Wenn Sie die Funktion der Zugriffskontrollliste (ACL) lieber nicht verwenden möchten, deaktivieren Sie die Funktion mit diesen Schritten systemweit:
1. Stellen Sie sicher, dass Sie eine Sicherungskopie von /etc/krb5.conf erstellen bevor Sie Änderungen vornehmen.
2. Fügen Sie der Datei /etc/krb5.conf die folgenden Zeilen hinzu:
# vi /etc/krb5.conf
[appdefaults]
pam = {
debug = false
TEST.ORACLE.COM = {
ignore_k5login = true
}
} 3. Speichern Sie die Datei.