Precisa de ajuda para autenticar o servidor linux (Ubuntu) que ingressou no domínio filho. Posso ver o nome do servidor no controlador de domínio e executar o teste de autenticação com êxito, mas não consigo fazer login com minha conta de domínio. Parece que as configurações de configuração em algum lugar para a configuração do SSSD ou KRB5 precisam especificar o domínio filho. Além disso, não é um problema de confiança de domínio, pois os servidores Windows ingressados no domínio filho estão aceitando credenciais das contas pai.
kinit -V [email protected]
Authenticated to Kerberos v5
root@SERVER:/var/log/sssd# systemctl status sssd
Oct 22 17:55:09 SERVER [sssd[ldap_child[27928]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client '[email protected]' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.
ERRO no arquivo de log SSSD
Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): Unknown domain [CHILD.DOMAIN.SYS]
(Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [CHILD.DOMAIN.SYS], skipping!
CONFIGURAÇÃO DE SSSD
root@SERVER:cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = DOMAIN.SYS, CHILD.DOMAIN.SYS
[nss]
default_shell = /bin/bash
[domain/DOMAIN.SYS]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u
ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = DOMAIN.SYS
CONFIGURAÇÃO KRB5
root@SERVER: cat /etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.SYS
ticket_lifetime = 24h #
renew_lifetime = 7d
rdns = false
The following krb5.conf variables are only for MIT Kerberos.
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
Como você configurou o SSSD? Você fez
realm discovere depoisrealm join? Se não o fez, esse é o método recomendado. Eu recomendo simplesmente fazer isso.Você tentou se autenticar como usuário no domínio filho? *
getent passwd [email protected]Pelo que posso dizer nas informações mal formatadas que você forneceu, você tem dois domínios em sssd.conf
Você tem uma seção para
[domain/CHILD.DOMAIN.SYS]. O que acontece se você fizerrealm list? Isso deve mostrar o que está configurado corretamente em seu sssd.conf.Não tenho certeza se você precisa ter os dois domínios listados em uma situação de domínio pai-filho, mas talvez tente apenas configurar o domínio filho sozinho primeiro. Ou pelo menos coloque a criança em primeiro lugar na
domainslista.Como você está tentando autenticar o usuário do domínio pai? Você está tentando SSH ou está tentando
getentlocalmente no servidor? Você está usando um nome totalmente qualificado para autenticar o usuário do domínio pai? por exemplogetent passwd [email protected]Este erro indica que ele está tentando usar um keytab com o nome de computador incorreto
Client '[email protected]'. Ele deve estar usando[email protected]se estiver associado ao domínio filho. O keytab do servidor realmente contém o nome de servidor correto para o domínio filho?É por isso que recomendo simplificar o problema, garantindo que você possa fazer logon com a credencial de domínio filho primeiro. Embora eu realmente ache que você deveria começar de novo
realm joinse você não usou esse método.Tente seguir as etapas de solução de problemas aqui, especialmente as seções Basics, Backend e Common AD Provider: https://sssd.io/troubleshooting/basics.html
(a propósito, eu realmente espero que seu sufixo de domínio não seja realmente .SYS)