Le problème
Le système CentOS/RHEL 7.3 a été configuré avec succès pour rejoindre un domaine Active Directory. Un utilisateur du système OL ne peut pas se connecter et les entrées suivantes se trouvent dans le journal système /var/log/messages :
2017-06-28T11:28:41.404719-04:00 adclient sshd[10352]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=X.X.X.X user=test1 2017-06-28T11:28:41.573420-04:00 adclient sshd[10352]: pam_krb5[10352]: account checks fail for '[email protected]': user disallowed by .k5login file for 'test1'
La solution
La première ligne de la sortie /var/log/messages ci-dessus indique que le client Linux s'est connecté au serveur AD, à l'aide des informations d'identification de l'utilisateur test1. La deuxième ligne signale que l'utilisation du compte est bloquée localement par le pam_krb5 Vérification PAM (modules d'authentification enfichables). Ce module est contrôlé par le $(HOME)/.k5login fichier.
Remède
La solution préférée consiste à ajouter les principaux de serveur dans le fichier ${HOME}/.k5login par utilisateur. Consulter le K5LOGIN page man pour plus d'informations sur l'ajout d'éléments à ce fichier.
Solution
Si vous préférez ne pas utiliser la fonctionnalité de liste de contrôle d'accès (ACL), ces étapes désactiveront la fonctionnalité à l'échelle du système :
1. Assurez-vous de faire une sauvegarde de /etc/krb5.conf avant d'apporter des modifications.
2. Ajoutez les lignes suivantes au fichier /etc/krb5.conf :
# vi /etc/krb5.conf
[appdefaults]
pam = {
debug = false
TEST.ORACLE.COM = {
ignore_k5login = true
}
} 3. Enregistrez le fichier.