Я пытался настроить SSSD на машине CentOS 7, чтобы присоединиться к Windows AD для управления пользователями.
Мне удалось заставить Kerberos работать независимо от этой настройки, используя LDAPS в качестве транспортного протокола. Я также успешно присоединил машину к домену, используя соединение области.
Это автоматически настроило sssd.conf, но после запуска sssd я обнаружил, что серверная часть не запускается.
Единственное, что я вижу в журналах, что кажется мне актуальным, это:
(Thu Mar 21 19:45:43 2019) [sssd[be[SERC.LOCAL]]] [sasl_bind_send] (0x0080): Extended failure message: [SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)]
Я проверил, что rdns отключен для Kerberos на рассматриваемой машине. Я также убедился, что указанный сервер существует в домене. Время на обеих машинах также синхронизировано.
Похоже, нет проблем с получением TGT от контроллера домена для учетной записи сервера, хотя единственная проверка на стороне сервера - это событие 4768, которое, по-видимому, является ошибкой. Однако журналы SSSD предполагают, что это удалось:
(Fri Mar 22 01:29:44 2019) [[sssd[ldap_child[13180]]]] [ldap_child_get_tgt_sync] (0x2000): credentials initialized
(Fri Mar 22 01:29:44 2019) [[sssd[ldap_child[13180]]]] [ldap_child_get_tgt_sync] (0x2000): keytab ccname: [FILE:/var/lib/sss/db/ccache_MYDOMAIN.LOCAL_TUJGh8]
(Fri Mar 22 01:29:44 2019) [[sssd[ldap_child[13180]]]] [sss_child_krb5_trace_cb] (0x4000): [13180] 1553178584.546015: Initializing FILE:/var/lib/sss/db/ccache_MYDOMAIN.LOCAL_TUJGh8 with default princ SOME_COMPUTER$@MYDOMAIN.LOCAL
(Fri Mar 22 01:29:44 2019) [[sssd[ldap_child[13180]]]] [sss_child_krb5_trace_cb] (0x4000): [13180] 1553178584.546016: Storing SOME_COMPUTER$@MYDOMAIN.LOCAL -> krbtgt/MYDOMAIN.LOCAL@MYDOMAIN.LOCAL in FILE:/var/lib/sss/db/ccache_MYDOMAIN.LOCAL_TUJGh8
(Fri Mar 22 01:29:44 2019) [[sssd[ldap_child[13180]]]] [ldap_child_get_tgt_sync] (0x2000): credentials stored
(Fri Mar 22 01:29:44 2019) [[sssd[ldap_child[13180]]]] [ldap_child_get_tgt_sync] (0x2000): Got KDC time offset
Мне кажется, это проблема TLS. настройка sssd для AD, похоже, заставляет порт 389 с GSSAPI для шифрования. Я попытался настроить ldap_uri для явного подключения с помощью ldaps, но это игнорируется, если я не верну конфигурацию для использования ldap для всего, что работает нормально, но схема AD не распознается.
Я не уверен, что еще здесь попробовать. Все онлайн-решения указывают на проблему с DNS, но я уверен, что DNS настроен нормально.
Конфигурация SSSD, если это помогает (некоторые из них были добавлены для работы ldap, поэтому могут быть некоторые рудиментарные параметры):
[domain/MY_DOMAIN.LOCAL]
debug_level=10
# enumerate = true
ad_hostname = SOME_COMPUTER.F.Q.D.N
ad_server = DOMAIN_CONTROLLER
ad_domain = MY_DOMAIN.LOCAL
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_uri = ldaps://DOMAIN_CONTROLLER:636
ldap_tls_cacert = /etc/openldap/certs/mycert.cer
ldap_sasl_authid=SOME_COMPUTER$@MY_DOMAIN.LOCAL
ldap_sasl_canonicalize = false
ldap_schema = ad
# #krb5_realm = MY_DOMAIN.LOCAL
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
# #krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
access_provider = ldap
ldap_schema = rfc2307bis
Заранее спасибо.