Назад | Перейти на главную страницу

Пользователям нужно несколько попыток подключения по SSH к системе

Пользователям требуется несколько попыток подключения по SSH к нескольким 64-битным машинам Ubuntu, которые используют sssd для аутентификации.

Следующее будет происходить от 0 до 6 раз подряд, прежде чем пользователю будет разрешено войти в систему:

ssh bob@system.example.com
bob@system.example.com's password:
Connection closed by 10.13.63.101

Для этого требуется несколько секунд Connection closed by 10.13.63.101 ошибка.

Вот образец из /var/log/auth.log который показывает неудачу, за которой следует успех:

sshd[7098]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x  user=User
sshd[7098]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=User
sshd[7098]: pam_sss(sshd:account): Access denied for user User: 4 (System error)
sshd[7098]: Failed password for bob from x.x.x.x port 54817 ssh2
sshd[7098]: fatal: Access denied for user bob by PAM account configuration [preauth]
sshd[7106]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x  user=bob
sshd[7106]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.x.x.x user=bob
sshd[7106]: Accepted password for bob from x.x.x.x port 54826 ssh2
sshd[7106]: pam_unix(sshd:session): session opened for user User by (uid=0)
systemd-logind[529]: Removed session 69.
systemd-logind[529]: New session 70 of user bob.

Кажется, что важная строка - третья из вышеприведенного вывода:

sshd[7098]: pam_sss(sshd:account): Access denied for user User: 4 (System error)

В соответствии с sssdофициальная вики (https://fedorahosted.org/sssd/wiki/Troubleshooting):

System Error is an "Unhandled Exception" during authentication. It can either be an SSSD bug or a fatal error during authentication.

В sssd пакет актуален:

$ sudo apt-get install sssd
sssd is already the newest version.

Пока это влияет только на очень небольшую выборку наших систем (~ 4 из десятков).

Обновить:

Похоже, sssd журналы либо пусты, либо им уже несколько месяцев.

bob@system:/var/log/sssd$ ls -l
total 16
-rw------- 1 root root   0 Jan 26  2015 ldap_child.log
-rw------- 1 root root   0 Jan 26  2015 sssd_LDAP.log
-rw------- 1 root root   0 Aug  5 06:49 sssd.log
-rw------- 1 root root 268 Aug  4 16:24 sssd.log.1
-rw------- 1 root root 158 Jun 15 11:47 sssd.log.2.gz
-rw------- 1 root root 139 May 25 13:17 sssd.log.3.gz
-rw------- 1 root root 139 May 11 11:08 sssd.log.4.gz
-rw------- 1 root root   0 Jan 26  2015 sssd_nss.log
-rw------- 1 root root   0 Jan 26  2015 sssd_pam.log