У меня есть два сервера FreeIPA, работающих на Centos 7 - один мастер, другой реплика. Я могу создать новую учетную запись пользователя на главном сервере, например, графический интерфейс, отображаемый на обоих серверах, активен и не заблокирован. Я могу войти в систему с помощью графического интерфейса FreeIPA на любом сервере. Я могу войти с помощью ssh на главный сервер и любые клиенты домена, но когда я (пытаюсь) войти в систему ssh на реплике, я получаю следующее в / var / log / secure:
сервер даты и времени sshd [pid]: pam_sss (sshd: auth): успешная аутентификация; .... пользователь = testuser
сервер даты и времени sshd [pid]: pam_sss (sshd: account): доступ запрещен для пользователя testuser: 4 (системная ошибка)
дата время сервер sshd [pid]: ошибка: PAM: истек срок действия учетной записи пользователя testuser с ip
Конфигурация sssd логически эквивалентна, так как записи относятся к мастеру и реплике. Файлы krb5.conf логически эквивалентны в том смысле, что записи сервера относятся к мастеру и реплике. файлы password-auth в /etc/pam.d идентичны. И новые, и существующие учетные записи ведут себя одинаково. Файлы конфигурации sshd идентичны.
Я что-то упускаю .. есть идеи?