Назад | Перейти на главную страницу

Отказ доступа к AD в Linux EC2

У меня есть экземпляр EC2 под названием EC2-B и я настроил его на использование AD Connector.

Этот экземпляр находится в VPC B пока AD Connector EC2 находится в VPC A.

У меня есть другой экземпляр EC2-A в VPC-A и выполнил настройку, как в руководстве AWS https://docs.aws.amazon.com/directoryservice/latest/admin-guide/join_linux_instance.html#w129aab9c26c13c15b8b8b1

Экземпляр EC2-A отлично работает с конфигурациями, он присоединился к AD, и я могу войти в него с помощью входа в AD.

Я сделал те же настройки в экземпляре EC2-B, но он не работает, он только дает мне сообщение в журнале sssd Статус порта порта 0 для сервера domain.com «не работает»

Я тестировал telnet с портами 389 и 88, и он отлично работает.

Вот мой /etc/sssd/sssd.conf:

[sssd]
debug_level = 9
domains = DOMAIN.COM
config_file_version = 2
services = nss, pam

[domain/DOMAIN.COM]
debug_level = 9
ad_server = domain.com
ad_domain  = DOMAIN.COM
krb5_realm = DOMAIN.COM
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_sasl_authid = EC2-B$
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ad

И /etc/krb5.conf:

includedir /etc/krb5.conf.d/

includedir /var/lib/sss/pubconf/krb5.include.d/
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 pkinit_anchors = /etc/pki/tls/certs/ca-bundle.crt
 default_ccache_name = KEYRING:persistent:%{uid}

 default_realm = DOMAIN.COM
[realms]    
 DOMAIN.COM = {
   kdc = domain.com
   admin_server = domain.com
   default_domain = DOMAIN.COM
   rdns = false
 }

[domain_realm]
 domain.com = DOMAIN.COM
 .domain.com = DOMAIN.COM

Другая проблема заключается в том, что я могу протестировать kinit без проблем, но sssd, использующий конфигурацию Kerberos, не работает:

kinit -V user
Using existing cache: persistent:0:0
Using principal: user@DOMAIN.COM
Password for user@DOMAIN.COM: 
Authenticated to Kerberos v5

Проблема была решена на стороне Сервера.

Не было разрешено отправлять информацию обратно в экземпляр EC2-B