Dave's questions

主要问题是加入域后，我不能成为id域用户。请注意，我没有重新启动主机，我需要这样做吗？我想我不需要。

在做了一些基本的故障排除后，我意识到在我加入域后，我认为会创建一个 krb5.conf 文件，/etc/krb5.conf但它从来没有。

我正在将 Ubuntu20.04 主机加入 Windows 2019 AD 服务器。我已经使用我在加入之前创建的脚本确认了以下内容：

[PASS] Checking hostname FQDN has domain 'our.domain' configured
[PASS] Checking hosts file for correct entry of 127.0.1.1
[PASS] Checking DNS resolution.
[PASS] Checking DNS search domain.
[PASS] Checking Time Zone is set properly
[PASS] Checking NTP servers are set properly
[PASS] Checking NTP root distance
[PASS] Checking NTP is syncing properly

dcdiagDC 上的结果是干净的。 /var/log/auth.log看起来很干净。 /var/log/sssd/sssd.log提供的东西很少。 /var/log/sssd/sssd_our.domain.log提供的东西很少。 /var/log/sssd/krb5_child是空的。

我也不知道如何让调试日志为 sssd 或 Kerberos 工作。

这是 sssd.conf 文件

[sssd]
domains = our.domain
config_file_version = 2
services = nss, pam

[domain/our.domain]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = OUR.DOMAIN
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%u@%d
ad_domain = our.domain
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = simple
simple_allow_groups = Domain Users, Domain Admins, Administrators

这是/usr/share/pam-configs/mkhomedir

Name: activate-mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
        required                        pam_mkhomedir.so umask=0022 skel=/etc/skel

我也在执行以下操作，确认用户在“域用户”组中

$ sudo realm permit -g 'Domain Users'
$ sudo realm permit -g 'Domain Admins'
$ sudo realm permit -g 'Administrators'

谁能帮我在不使用环境变量的情况下更改调试日志，有没有我可以设置的设置？或者只是一些方向......

编辑：我终于弄清楚我们的设置有什么问题。问题是我们有一个多宿主 Active Directory 服务器配置了多个服务 DNS 的接口。这是一个很大的禁忌。当 SSSD LDAP 服务尝试为 DC 获取 IP 时，它被赋予了多个地址，并且从客户端的角度来看并非所有地址都是可路由的，因为它们位于不同的子网上。在移除 DC 上的其他接口并仅在一个接口上提供 DNS 服务后，我们不再遇到零星的领域加入问题。所以这从来都不是 Kerberos 问题，但下面建议的故障排除类型非常有帮助。

描述：

我正在学习如何使用 libreswan 配置 ipsec。我想在两台主机之间建立一个主机到主机的 vpn。我希望每个主机都为其 ipsec 隧道使用虚拟接口。

问题：

我用 RSA 设置了我的 ipsec 配置，并启动了隧道，但是没有构建虚拟接口。

系统：

(2) RHEL 8.2 虚拟机

我不清楚什么

• 如何启动隧道？我知道我运行了ipsec auto --up mytunnel，但是该命令需要同时在两个系统上运行还是先在右侧然后在左侧运行？
• 我的“左”和“右” ip 是在可以相互路由的接口上配置的 ip 地址。这个对吗？
• 我觉得我在这里错过了一步，比如配置接口并设置 libreswan 以使用它？

故障排除：

• 我按照这些说明如何设置 ipsec 隧道。
• 我用 netstat 确认，似乎所有接口都在监听 500 和 4500。
• 执行了一个ip a，我看到没有创建虚拟接口。
• 为了启动我运行的隧道systemctl restart ipsec.service，然后ipsec auto --up mytunnel，最后ipsec auto --up mytunnel，我看到了这个输出

181 "mytunnel" #1: initiating IKEv2 IKE SA
181 "mytunnel" #1: STATE_PARENT_I1: sent v2I1, expected v2R1
182 "mytunnel" #2: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=DH19}
002 "mytunnel" #2: IKEv2 mode peer ID is ID_FQDN: '@west'
003 "mytunnel" #2: Authenticated using RSA with IKEv2_AUTH_HASH_SHA1
002 "mytunnel" #2: negotiated connection [10.10.10.111-10.10.10.112:0-65535 0] -> [10.10.10.111-10.10.10.112:0-65535 0]
004 "mytunnel" #2: STATE_V2_IPSEC_I: IPsec SA established transport mode {ESP=>0xe25ebdee <0x3d8ac123 xfrm=AES_GCM_16_256-NONE NATOA=none NATD=none DPD=passive}

我的 ipsec 配置：

conn mytunnel
    auto=add
    leftid=@west
    left=10.10.10.111
    leftrsasigkey=0sAwEAAbqd ... blqu1K0=
    rightid=@east
    right=10.10.10.112
    rightrsasigkey=0sAwEAAboA ... NEJbLk=
    authby=rsasig

编辑 修复了我的日志输出。

EDIT2 我了解到 ipsec 不会自行设置虚拟接口。这需要通过 IPIP、GRE 或其他方法完成。

• 这是有关设置 VPN 路由的不同方式的有用链接。
• 这是关于如何设置 IPIP 的一个很好的链接。