Назад | Перейти на главную страницу

Ошибка аутентификации Fedora 21 pam_sss - отказано в разрешении

Мы настроили сервер OpenLDAP, который работает нормально. FreeBSD, Debian и плагин WordPress проходят аутентификацию без проблем. Мы настраиваем Fedora 21 с pam_sss, но мы получаем следующую ошибку в /var/log/secure:

Mar  1 00:15:00 www sshd[1176]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39  user={REDACTED}
Mar  1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=199.100.16.39 user={REDACTED}
Mar  1 00:15:00 www sshd[1176]: pam_sss(sshd:auth): received for user {REDACTED}: 6 (Permission denied)

getent passwd {REDACTED} возвращается

{REDACTED}:*:1000:500:{REDACTED (full user name)}:/home/users/{REDACTED}:

Команда, которую я выполнил для настройки клиента, это

authconfig --enableldap --enableldapauth --ldapserver='ldap://{REDACTED (IP)}:389/' --ldapbasedn='dc={REDACTED},dc={REDACTED},dc=com' --enablemkhomedir --enableshadow  --update

Мы провели поиск в Интернете информации об этой конкретной ошибке (комбинация неудачной аутентификации и 6 (отказано в разрешении)), но не нашли ни одного случая, когда она была бы устранена.

Я нашел решение проблемы. Бегом sssd -i -d 4 и пытаясь войти в систему на другой консоли, я увидел, что START TLS был там, где не удалось войти в систему. Судя по всему, Red Hat и Fedora по умолчанию используют TLS. На сервере нет TLS (у нас сейчас мало времени). Чтобы отключить TLS, отредактируйте /etc/sysconfig/authconfig на клиентской машине и обновите FORCELEGACY=no к FORCELEGACY=yes.

Кредит на http://www.linuxquestions.org/questions/linux-enterprise-47/rhel-6-ldap-now-requires-tls-843917/

(Спасибо, Энди, за попытку помочь!)