У меня есть зона Solaris 11.1 с именем «AZone». У меня зона присоединена к домену Active Directory (Windows Server 2008), чтобы пользователи могли использовать свою учетную запись AD для входа в зону Solaris. После множества головных болей и экспериментов с Kerberos, LDAP и PAM, я действительно заработал! Однако у меня возникает проблема, когда вход в систему как пользователь AD иногда завершается ошибкой ...
У меня есть фиктивный пользователь, настроенный в AD, с именем "jpublic". Я знаю, что jpublic может успешно войти в AZone большую часть времени (я использую SSH). Однако после периода, в течение которого пользователи AD не входили в систему AZone, попытка входа с помощью jpublic не удастся с первого раза. Затем, если я сразу же попытаюсь снова войти в систему как jpublic, это сработает.
У меня включено ведение журнала PAM, что до сих пор дает мне единственное представление о проблеме. В журнале авторизации при неудачном входе в систему я получаю эти три сообщения, за которыми следуют обычные сообщения о загрузке PAM:
Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Illegal user jpublic from 192.168.160.161
Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] input_userauth_request: illegal user jpublic
Nov 11 10:29:02 azone sshd[2923]: [ID 800047 auth.info] Failed none for <invalid username> from 192.168.160.161 port 57148 ssh2
Nov 11 10:29:02 azone sshd[2923]: [ID 604530 auth.debug] PAM[2923]: pam_start(sshd-kbdint,jpublic,7178c:604e08) - debug = 1
Nov 11 10:29:02 azone sshd[2923]: [ID 713382 auth.debug] PAM[2923]: pam_set_item(604e08:service)
При успешном входе в систему я не вижу сообщений auth.info, но вижу только вызов pam_start, и в конечном итоге вход в систему выполняется успешно.
Есть идеи о том, что вызывает сбой входа в систему в первый раз? Похоже, что что-то не удается достичь кэшированного значения в первый раз, но процесс попытки входа в систему вызывает обновление кеша, поэтому необходимые данные доступны во второй раз. Может быть это что-то с обновлением билетов керберос? Что-то с демоном ldap_cachemgr? Признаюсь, я плохо понимаю, как все это работает, поэтому любые подсказки по устранению неполадок будут полезны. Кроме того, я могу публиковать файлы конфигурации PAM или выходные данные команд по чьему-то предложению, если они будут полезны.
На самом деле это вообще не проблема Kerberos. Это проблема кеширования всего, что вы используете для пользовательской базы данных в системе.
Если бы вы действительно придерживались старой школы и просто использовали записи в / etc / passwd, то сообщение о недопустимом пользователе означало бы, что этого пользователя не существует в файле паролей.
У меня нет доступа к Solaris 11, и я знаю, что он сильно отличается от Solaris 10. На машине с Linux или Solaris 10 я бы посоветовал вам заглянуть в /etc/nsswitch.conf и посмотреть, что поддерживает файл passwd. Понятия не имею, что это такое на Solaris 11.