GNU/Linux >> Tutoriels Linux >  >> Cent OS

Les utilisateurs d'Active Directory ne peuvent pas se connecter via SSH à l'aide de SSSD et obtiennent "Autorisation refusée, veuillez réessayer" [CentOS/RHEL]

Les utilisateurs d'Active Directory ne peuvent pas se connecter via SSH à l'aide de SSSD et obtiennent "Autorisation refusée, veuillez réessayer" [CentOS/RHEL]

Le problème

1. L'intégration d'un nœud Linux avec Active Directory pour l'authentification échoue avec l'erreur "Autorisation refusée, veuillez réessayer" lors de la connexion à l'aide de ssh :

# ssh [hostname] -l [username]@[DOMAINNAME].com
The authenticity of host '[hostname] ([IP ADDRESS])' can't be established.
RSA key fingerprint is 4f:3b:ba:b2:b7:6e:d0:b7:dd:a6:4b:32:ac:e3:58:63.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[hostname],[IP ADDRESS]' (RSA) to the list of known hosts.
[username]@.com@[hostname]'s password:
Permission denied, please try again.
[username]@.com@[hostname]'s password:

2. Vérifiez que le nom d'utilisateur et le mot de passe sont corrects :

$ su - [username]
# su - [username]@[DOMAINNAME].com

3. Les échecs d'authentification peuvent être observés dans le fichier /var/log/secure historique :

Apr 3 23:20:24 [hostname] sshd[323944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:20:24 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 11, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:26 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:34 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 12, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:37 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:40 [hostname] sshd[323944]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_tally2(sshd:auth): user [username] (1494516080) tally 13, deny 5 <<<<<<<<<<<<<
Apr 3 23:24:39 [hostname] sshd[338364]: Failed password for [username] from [IP ADDRESS] port 51893 ssh2

Cause fondamentale

Problème avec un ou plusieurs fichiers de configuration :system-auth-ac et password-auth-ac , module sssd ont été commentés dans le fichier de configuration ci-dessous :

$ grep sss /etc/pam.d/system-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so
$  grep sss /etc/pam.d/password-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so

Le module pam_tally2 est en conflit avec les modules sssd :

$ cat etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
##auth required pam_tally2.so deny=5 onerr=fail serialize >>>>
#auth required pam_tally2.so deny=5 onerr=fail lock_time=600 serialize
# EXADATA ACCESS CONTROL via /etc/exadata/security/exadata-access.conf
account required pam_nologin.so
account include password-auth
account required pam_tally2.so
password include password-auth
pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session required pam_limits.so
# cat /etc/pam.d/login
auth required pam_tally2.so deny=5 onerr=fail serialize
# cat/etc/pam.d/login
account required pam_tally2.so

La solution

Remarque :Veillez à supprimer tous les fichiers de sauvegarde sous le répertoire /pam.d/.

1. Commentez pam_tally2 lignes dans tous les fichiers d'authentification sous /etc/pam.d/* répertoire.

2. Commentez la ligne mentionnée dans les sections de cause, [Activer les modules sssd] comme ci-dessous.

$ grep sss /etc/pam.d/system-auth-ac 
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so 
$ grep sss /etc/pam.d/password-auth-ac
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so


Cent OS

  1. Pour modifier l'autorisation pour le répertoire et les fichiers

  2. [CentOS 7 Apache] :Autorisation refusée :les autorisations de fichier refusent l'accès au serveur

  3. Ssh - Essayer de se connecter au serveur et d'obtenir Key_load_public :aucune erreur de fichier ou de répertoire de ce type ?

  4. Serveur de messagerie avec des utilisateurs virtuels et des domaines utilisant Postfix et Dovecot sur un VPS CentOS 6

  5. Désactiver la connexion racine directe et l'accès utilisateur via SSH au serveur

Utilisation de Secure Shell (SSH) pour la connexion et la copie sécurisée (SCP) pour le transfert de données sous Linux

Désactiver ou activer la connexion racine SSH et l'accès SSH sécurisé dans CentOS 7

Créer, gérer et supprimer des utilisateurs et des groupes dans Active Directory

Intégrez des serveurs Linux à Active Directory à l'aide de Samba, Winbind et Kerberos

Erreur "530 :autorisation refusée" lorsque l'utilisateur se connecte au serveur vsftpd via ftp

Créez un nouvel utilisateur vsftpd et verrouillez-le sur (spécifiez) le répertoire home / login