GNU/Linux >> Linux の 問題 >  >> Cent OS

Active Directory ユーザーが SSSD を使用して SSH 経由でログインできず、「許可が拒否されました。再試行してください」というメッセージが表示される [CentOS/RHEL]

Active Directory ユーザーが SSSD を使用して SSH 経由でログインできず、「許可が拒否されました。再試行してください」というメッセージが表示される [CentOS/RHEL]

問題

1. ssh を使用して接続しているときに、Linux ノードと Active Directory を認証用に統合すると、エラー「許可が拒否されました。再試行してください」で失敗します:

# ssh [hostname] -l [username]@[DOMAINNAME].com
The authenticity of host '[hostname] ([IP ADDRESS])' can't be established.
RSA key fingerprint is 4f:3b:ba:b2:b7:6e:d0:b7:dd:a6:4b:32:ac:e3:58:63.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[hostname],[IP ADDRESS]' (RSA) to the list of known hosts.
[username]@.com@[hostname]'s password:
Permission denied, please try again.
[username]@.com@[hostname]'s password:

2. ユーザー名とパスワードが正しいことを確認:

$ su - [username]
# su - [username]@[DOMAINNAME].com

3. 認証の失敗は /var/log/secure で確認できます 履歴:

Apr 3 23:20:24 [hostname] sshd[323944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:20:24 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 11, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:26 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:34 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 12, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:37 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:40 [hostname] sshd[323944]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_tally2(sshd:auth): user [username] (1494516080) tally 13, deny 5 <<<<<<<<<<<<<
Apr 3 23:24:39 [hostname] sshd[338364]: Failed password for [username] from [IP ADDRESS] port 51893 ssh2

根本原因

1 つ以上の構成ファイルに問題があります:system-auth-ac および password-auth-ac 、sssd モジュールは、以下の構成ファイルでコメント化されました:

$ grep sss /etc/pam.d/system-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so
$  grep sss /etc/pam.d/password-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so

pam_tally2 モジュールは sssd モジュールと競合します:

$ cat etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
##auth required pam_tally2.so deny=5 onerr=fail serialize >>>>
#auth required pam_tally2.so deny=5 onerr=fail lock_time=600 serialize
# EXADATA ACCESS CONTROL via /etc/exadata/security/exadata-access.conf
account required pam_nologin.so
account include password-auth
account required pam_tally2.so
password include password-auth
pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session required pam_limits.so
# cat /etc/pam.d/login
auth required pam_tally2.so deny=5 onerr=fail serialize
# cat/etc/pam.d/login
account required pam_tally2.so

解決策

注意 :/pam.d/ ディレクトリの下にあるすべてのバックアップ ファイルを削除するように注意してください。

1. pam_tally2 にコメントする /etc/pam.d/* の下のすべての認証ファイルの行 ディレクトリ。

2. 以下のように、原因セクションに記載されている [Enable sssd modules] の行をコメントアウトします。

$ grep sss /etc/pam.d/system-auth-ac 
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so 
$ grep sss /etc/pam.d/password-auth-ac
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so


Cent OS

  1. LinuxでPPKファイルをOpenSSHキーに変換し、SSHを使用してログインする方法は?

  2. サーバーへの SSH 経由の直接ルート ログインとユーザー アクセスを無効にする

  3. Linux Samba サーバーを Windows Active Directory ドメインに参加できない

  1. CentOS/RHEL 7 クライアントにログインする Active Directory ユーザーとグループを制限する方法

  2. Active Directory ユーザーが SSSD を使用して SSH 経由でログインできず、「許可が拒否されました。再試行してください」というメッセージが表示される [CentOS/RHEL]

  3. ファイル/ディレクトリおよびファイル システム ユーザー タイプの権限テーブル

  1. [CentOS 7 Apache]:アクセス許可が拒否されました:ファイルのアクセス許可がサーバーアクセスを拒否します

  2. Active Directory 認証済みユーザーのホーム ディレクトリとシェル

  3. 新しい vsftpd ユーザーを作成し、ホーム / ログイン ディレクトリに (指定して) ロックします。