У нас есть несколько экземпляров EC-2 в домене IPA с доверительными отношениями с нашим доменом Active Directory. В более старых экземплярах ssh не требует суффикса домена с машины Windows. Но в более новых экземплярах имя пользователя недействительно и работает только с доменом, добавленным вручную. Или если имя пользователя было кэшировано при входе в один из старых экземпляров через SSH. Проблема в том, что файлы sssd.conf и sshd_conf идентичны в обоих экземплярах, как и версия sssd. Также с использованием того же мастера IPA. В журналах sssd также нет информации о суффиксе домена, даже на уровне журнала 9. Безопасный журнал включает только следующее:
sshd[20356]: Invalid user jgrosse from ip port 1593
sshd[20356]: input_userauth_request: invalid user jgrosse [preauth]
sshd[20356]: Postponed keyboard-interactive for invalid user jgrosse from ip port 1593 ssh2 [preauth]
sshd[20366]: pam_unix(sshd:auth): check pass; user unknown
sshd[20366]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=host-ip
sshd[20356]: error: PAM: User not known to the underlying authentication module for illegal user jgrosse from host-ip
sshd[20356]: Failed keyboard-interactive/pam for invalid user jgrosse from ip port 1593 ssh2
sshd[20356]: Postponed keyboard-interactive for invalid user jgrosse from ip port 1593 ssh2 [preauth]
sshd[20356]: Connection closed by ip port 1593 [preauth]
И файл конфигурации sssd:
[domain/ipa-domain]
krb5_auth_timeout = 60
debug_level = 3
cache_credentials = True
krb5_store_password_if_offline = True
ipa_domain = ipa-domain
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = host.ipa-domain
chpass_provider = ipa
dyndns_update = True
ipa_server = _srv_, ipamaster1.ipa-domain
dyndns_iface = eth0
ldap_tls_cacert = /etc/ipa/ca.crt
realmd_tags = manages-system
default_shell = /bin/bash
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
[sssd]
default_domain_suffix = ad-domain
debug_level = 9
services = nss, sudo, pam, ssh
domains = ipa-domain
[nss]
filter_users = ec2-user,adm,postdrop,postfix,avahi,bin,daemon,dbus,haldaemon,halt,ldap,mail,named,news,nfsnobody,nobody,nscd,nslcd,ntp,operator,radiusd,root,rpc,rpcuser,saslauth,shutdown,smmsp,sshd,sync,tcpdump,vcsa
filter_groups = ec2-user,slocate,adm,audio,bin,cdrom,cgred,daemon,dbus,dialout,dip,disk,floppy,fuse,kmem,ldap,lock,lp,mail,man,mem,nfsnobody,nobody,nscd,ntp,root,rpc,rpcuser,saslauth,smmsp,sshd,sys,tape,tcpdump,tty,users,utempter,utmp,vcsa,video
homedir_substring = /home
[pam]
pam_id_timeout=60
[sudo]
[autofs]
[ssh]
[pac]
[ifp]
[secrets]
[session_recording]
Мне некуда было искать разницу в конфигурации.