Назад | Перейти на главную страницу

AWS Simple AD: «KDC не поддерживает тип шифрования» для пользователей, созданных с помощью adtool, но не с помощью консоли управления MS.

Задний план

Я пытаюсь войти (через SSH в инстанс Amazon Linux EC2, работающий sssd) в качестве пользователей, которых я создал в своем AWS Directory Services Simple AD. Я аутентифицируюсь с помощью kerberos и идентифицирую пользователя с помощью LDAP (все через sssd.)

Проблема

Я не могу войти в систему как пользователи, которых я создал с помощью adtool, что означает, что мне намного сложнее автоматизировать добавление новых пользователей в мой Simple AD. Когда я пытаюсь, KDC сообщает, что он не может поддерживать тип шифрования (я полагаю, это пароль пользователя?) См. Раздел «Сообщение об ошибке» ниже.

Тем не менее, я жестяная банка войдите в систему как встроенный администратор и как пользователи, созданные мной через консоль управления Microsoft на экземпляре Windows Server 2008 EC2, присоединенном к домену. Итак, моя установка работает или, по крайней мере, работает частично.

TL; требуется решение DR

Мне нужно знать, что я делаю не так adtool это не позволяет мне войти в систему как пользователи, созданные с их помощью. Непонятно, что я делаю неправильно, и я думаю, что это может быть полезно для людей, пытающихся сделать что-то похожее на меня. Подробности ниже.


Сообщение об ошибке

Это результат sssd при попытке войти в систему как пользователь, созданный с помощью adtool:

(Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446649: Response was from master KDC

(Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [sss_child_krb5_trace_cb] (0x4000): [5459] 1451576135.446788: Received error from KDC: -1765328370/KDC has no support for encryption type

(Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [get_and_save_tgt] (0x0020): 996: [-1765328370][KDC has no support for encryption type]
(Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [map_krb5_error] (0x0020): 1065: [-1765328370][KDC has no support for encryption type]
(Thu Dec 31 15:35:35 2015) [[sssd[krb5_child[5459]]]] [k5c_send_data] (0x0200): Received error code 1432158209

Со стороны клиента написано Permission denied, please try again.

Архитектура

Вот как выглядит моя архитектура вокруг Simple AD:

Эта настройка позволяет мне использовать LDAPS, хотя AWS Simple AD не поддерживает его.

Запись route53 для ELB: directory.myteam.mycompany.com, но домен, который я использовал для Simple AD, это myteam.mycompany.internal.

Конфигурация на машине с sssd

/etc/sssd/sssd.conf:

[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = myteam

[nss]
default_shell = /bin/bash
fallback_homedir = /home/%u
ldap_user_home_directory = unixHomeDirectory

[pam]
reconnection_retries = 3
offline_credentials_expiration = 2
offline_failed_login_attempts = 3
offline_failed_login_delay = 5

[domain/myteam]
enumerate = true
cache_credentials = TRUE

id_provider = ldap

ldap_uri = ldaps://directory.myteam.mycompany.com
ldap_tls_cacert = /etc/pki/tls/certs/ca-bundle.crt
ldap_default_bind_dn = CN=test-user,CN=users,DC=myteam,DC=mycompany,DC=internal
ldap_default_authtok = REDACTED_PASSWORD
ldap_id_use_start_tls = true
ldap_schema = AD
ldap_force_upper_case_realm = true
ldap_id_mapping = true
ldap_search_base = CN=users,DC=myteam,DC=mycompany,DC=internal

ldap_user_uuid = none
ldap_group_uuid = none

chpass_provider = krb5
auth_provider = krb5
krb5_server = directory.myteam.mycompany.com
krb5_realm = MYTEAM.MYCOMPANY.INTERNAL
krb5_changepw_principal = kadmin/changepw
krb5_ccachedir = /tmp
krb5_ccname_template = FILE:%d/krb5cc_%U_XXXXXX
krb5_auth_timeout = 15
krb5_canonicalize = True

/etc/sysconfig/authconfig:

IPADOMAINJOINED=no
USEMKHOMEDIR=yes
USEPAMACCESS=no
CACHECREDENTIALS=yes
USESSSDAUTH=yes
USESHADOW=yes
USEWINBIND=no
PASSWDALGORITHM=sha512
FORCELEGACY=yes
USEFPRINTD=no
FORCESMARTCARD=no
USEDB=no
USELDAPAUTH=no
USEPASSWDQC=no
IPAV2NONTP=no
WINBINDKRB5=no
USELOCAUTHORIZE=yes
USEECRYPTFS=no
USECRACKLIB=yes
USEIPAV2=no
USEWINBINDAUTH=no
USESMARTCARD=no
USELDAP=yes
USENIS=no
USEKERBEROS=no
USESYSNETAUTH=no
USESSSD=yes
USEPWQUALITY=yes
USEHESIOD=no

В дополнение к этим двум файлам я включил аутентификацию по паролю в sshd_config и включил sssd в модулях pam с sudo authconfig --updateall --enablesssd --enablesssdauth.

/etc/pam.d/system-auth:

auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet_success
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_sss.so

Версии программного обеспечения

Различия между пользователями

Чтобы показать, чем эти пользователи отличаются в моем каталоге, вот результат запроса к ним с помощью ldapsearch из запущенного экземпляра sssd.

Пользователь создан с помощью adtool (изменить: ниже вы увидите, что pwdLastSet значение присутствует, я считаю, что этого не было раньше, и его наличие является ключом к моему ответу):

$ ldapsearch -LLL  -H ldaps://directory.myteam.mycompany.com -D CN=Administrator,CN=users,DC=myteam,DC=mycompany,DC=internal -x -W '(cn=test-user)'
Enter LDAP Password:
dn: CN=test-user,CN=Users,DC=myteam,DC=mycompany,DC=internal
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: test-user
instanceType: 4
whenCreated: 20151230204358.0Z
displayName: Test user
uSNCreated: 3532
name: test-user
objectGUID:: ZhfGzcqLd06x2UBU3UNiZQ==
codePage: 0
countryCode: 0
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAHWfr9xoaXwKvEcuoUwQAAA==
accountExpires: 9223372036854775807
sAMAccountName: test-user
sAMAccountType: 805306368
userPrincipalName: test-user@myteam.mycompany.internal
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=myteam,DC=mycompany,DC
 =internal
userAccountControl: 512
lockoutTime: 0
whenChanged: 20151231150317.0Z
uSNChanged: 3619
pwdLastSet: 130960477970000000
distinguishedName: CN=test-user,CN=Users,DC=myteam,DC=mycompany,DC=internal

Пользователь, созданный через консоль управления Microsoft:

$ ldapsearch -LLL  -H ldaps://directory.myteam.mycompany.com -D CN=Administrator,CN=users,DC=myteam,DC=mycompany,DC=internal -x -W '(sAMAccountName=test-windows-2008)'
Enter LDAP Password:
dn: CN=Test User,CN=Users,DC=myteam,DC=mycompany,DC=internal
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Test User
sn: User
givenName: Test
instanceType: 4
whenCreated: 20151230223533.0Z
whenChanged: 20151230223534.0Z
displayName: Test User
uSNCreated: 3563
uSNChanged: 3563
name: Test User
objectGUID:: 2cuynP3/9EeRIm1fCUJ9jA==
userAccountControl: 512
codePage: 0
countryCode: 0
pwdLastSet: 130959885340000000
primaryGroupID: 513
objectSid:: AQUAAAAAAAUVAAAAHWfr9xoaXwKvEcuoVwQAAA==
accountExpires: 9223372036854775807
sAMAccountName: test-windows-2008
sAMAccountType: 805306368
userPrincipalName: test-windows-2008@myteam.mycompany.internal
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=myteam,DC=mycompany,DC
 =internal
distinguishedName: CN=Test User,CN=Users,DC=myteam,DC=mycompany,DC=internal

Разница между моим использованием adtool и MMC заключалась в том, что MMC побудила меня инициализировать пароль пользователя, но я забыл сделать то же самое с моим пользователем, созданным с помощью adtool. Следующие шаги разрешили это, и воспроизводимо так:

$ adtool userunlock -w REDACTED_PASSWORD 'test-user'
$ adtool setpass -w REDACTED_PASSWORD  test-user REDACTED_PASSWORD

В моем первоначальном вопросе я повторно запросил исходный test-user сегодня утром, после того, как коллега выполнил вышеуказанные шаги по установке пароля, поэтому выходные данные показывают, что пароль был установлен, но вчера вечером, когда я пытался войти в систему, он не был установлен, отсюда и проблема. Когда я сегодня снова попытался войти в систему, это сработало, и после некоторого расследования я выяснил, почему.

Теперь я могу только догадываться, почему появилось сообщение «KDC не поддерживает тип шифрования»: поскольку не было пароля, не было и типа шифрования. Если я ошибаюсь, я бы хотел, чтобы меня поправили.

TL; DR нужно помнить, чтобы разблокировать пользователя и установить его пароль при использовании adtool вместо MMC.

Я видел подобные ошибки и раньше, вызванные одним из заданных параметров учетной записи (в среде, отличной от AWS), но я не помню, какое именно свойство. Пользователи, созданные с помощью ADTool есть ли какие-либо дополнительные "параметры" по сравнению с пользователями, созданными с помощью MMC? Я не знаю, как показать эти параметры с помощью LDAPSearch. Показаны два метода, которые я знаю, как использовать. Вы также можете использовать -prop * с участием Get-Aduser показать ВСЕ свойства.

PS C:\temp> get-aduser mbe998 -prop DoesNotRequirePreAuth,UseDESKeyOnly

DistinguishedName     : CN=Mary Brown,OU=Junk,DC=acme,DC=com
DoesNotRequirePreAuth : True
Enabled               : False
GivenName             : Mary
Name                  : Mary Brown
ObjectClass           : user
ObjectGUID            : f7f30ebe-f91d-41de-b38e-ae29853b7291
SamAccountName        : mbe998
SID                   : S-1-5-21-3362165994-992225803-2260058754-129428
Surname               : Brown
UseDESKeyOnly         : True
UserPrincipalName     : mbe998@acme.com