У нас есть проблема на некоторых из наших машин AWS, на которых работает взломанная Fedora / RHEL linux Amazon, где новые пользователи AD могут входить в систему с паролем, но не могут аутентифицироваться для sudo. У пользователей, которые были созданы в AD некоторое время назад, нет проблем, и это, похоже, не соответствует шаблону на серверах (например, мы создали сразу 3 сервера из одного и того же ami, 2 работают, один не работает). Ошибки в журналах имеют следующий формат, начиная с успешного входа в систему через пароль:
18 января 18:35:37 HOSTNAME sshd [24496]: pam_krb5 [24496]: аутентификация прошла успешно для «USERNAME» (USERNAME@AD.DOMAIN)
18 января 18:35:37 HOSTNAME sshd [24496]: принят пароль для USERNAME от порта local_ip 45236 ssh2
18 января 18:35:37 HOSTNAME sshd [24496]: pam_unix (sshd: session): сеанс открыт для пользователя USERNAME пользователем (uid = 0)
18 января 18:35:43 HOSTNAME sudo: pam_unix (sudo: auth): ошибка аутентификации; logname = USERNAME uid = 10764 euid = 0 tty = / dev / pts / 2 ruser = USERNAME rhost = user = USERNAME
18 января 18:35:43 HOSTNAME sudo: pam_krb5 [24526]: проверка учетной записи для «USERNAME@AD.DOMAIN» не выполняется: пользователь запрещен файлом .k5login для «USERNAME»
18 января 18:35:43 HOSTNAME sudo: pam_krb5 [24526]: аутентификация не удалась для «USERNAME» (USERNAME@AD.DOMAIN): Permission denied (Success)
Я дважды проверил, что у пользователя нет файла .k5login, его не было, и добавление файла только с «USERNAME@AD.DOMAIN» не повлияло на поведение или сообщения журнала. Я также убедился, насколько мог, что эти новые пользователи ничем не отличаются в AD, но я далек от эксперта в этой области, поэтому может быть что-то еще, что я могу проверить, если бы я знал, где искать
Спасибо
В /etc/krb5.conf добавьте эти строки:
[appdefaults]
pam = {
[....]
EXAMPLE.COM = {
ignore_k5login = true
}
}
где EXAMPLE.COM это ваша область AD.