以上就是给各位分享centos–Directadmin:启用SSH访问的现有用户无法登录,其中也会对启用ssh命令进行解释,同时本文还将给你拓展active-directory–LinuxAD集成,使
以上就是给各位分享centos – Directadmin:启用SSH访问的现有用户无法登录,其中也会对启用ssh命令进行解释,同时本文还将给你拓展active-directory – Linux AD集成,使用Windows Server 2012 DC时无法登录、active-directory – SSSD Kerberos AD Centos故障排除、active-directory – 为什么我的用户帐户无法删除Powershell中的AD计算机?、active-directory – 允许用户更改文件夹的权限,但不能删除/更改Domain Admins访问权限?等相关知识,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
本文目录一览:- centos – Directadmin:启用SSH访问的现有用户无法登录(启用ssh命令)
- active-directory – Linux AD集成,使用Windows Server 2012 DC时无法登录
- active-directory – SSSD Kerberos AD Centos故障排除
- active-directory – 为什么我的用户帐户无法删除Powershell中的AD计算机?
- active-directory – 允许用户更改文件夹的权限,但不能删除/更改Domain Admins访问权限?
centos – Directadmin:启用SSH访问的现有用户无法登录(启用ssh命令)
今天,客户希望拥有SSH访问权限,因此我在用户登录FTP时启用了SSH访问权限.
我尝试使用SSH登录用户,但它无法正常工作.
尝试登录时,返回拒绝访问权限
所以我检查了/ var / log / secure,它显示了无效用户示例的失败密码来自1.2.3.4端口56789 ssh2因为它返回此错误我认为可能没有为用户设置密码,因为用户已经存在并且我通过修改用户权限启用SSH访问.我接下来尝试的是一个简单的passwd示例,只需重置密码并尝试登录.不幸的是它没有用.
之后我在一些论坛上读到,在调整正确的旧帐户时,Directadmin可能不在/ etc / ssh / sshd_config文件中创建AllowUsers.但它就像AllowUsers那样
重新启动sshd不起作用.
还有什么我可以查看为什么我无法登录?
操作系统:Centos 7
专家组:directadmin 1.53
UPDATE
从INFO中将sshd_config中的LogLevel更改为DEBUG后,我可以在/ var / log / secure中看到它返回1.2.3.4中不允许的用户示例,因为未在AllowUsers中列出
我试图手动重启它,但它总是失败.当我尝试使用systemctl status sshd时,它显示SSH服务器处于非活动状态.但我登录了?我手动杀死了ssh服务器进程并从directadmin面板启动它.之后我可以使用修改后的用户登录.
active-directory – Linux AD集成,使用Windows Server 2012 DC时无法登录
但是,当我使用启用了IMU的Windows Server 2012 R2服务器时,我能够获取kerberos票证,加入域,搜索LDAP,但是当我尝试从控制台以AD用户身份登录时,我在/ var / log / messages中收到此错误消息:
Jun 6 11:12:30 test [sssd[krb5_child[4760]]]: Preauthentication Failed
/ var / log / secure显示以下错误消息:
Jun 6 11:12:15 test login: pam_sss(login:auth): received for user aduser@domain.local: 17 (Failure setting user credentials)
Jun 6 11:12:17 test login: Failed LOGIN 1 FROM (null) FOR aduser@domain.local,Authentication failure
使用getent passwd aduser或getent group linuxgroup成功返回.
我试过这个sssd.conf文件:
[sssd] config_file_version = 2 services = nss,pam domains = domain.local debug_level = 5 [domain/domain.local] id_provider = ad auth_provider = ad ad_server = dc.domain.local default_shell = /bin/bash fallback_homedir = /home/%d/%u cache_credentials = false ldap_id_mapping = false
然后我读了this错误报告.所以,我将我的sssd.conf文件更改为:
[sssd] config_file_version = 2 reconnection_retries = 2 services = nss,pam debug_level = 5 domains = domain.local [nss] debug_level = 5 [pam] debug_level = 5 [domain/domain.local] id_provider = ldap auth_provider = krb5 chpass_provider = krb5 debug_level = 5 ldap_uri = ldap://dc.domain.local/ ldap_sasl_mech = GSSAPI ldap_schema = rfc2307bis ldap_user_search_base = dc=domain,dc=local ldap_user_object_class = user ldap_user_home_directory = unixHomeDirectory ldap_user_principal = userPrincipalName ldap_group_search_base = dc=domain,dc=local ldap_group_object_class = group ldap_access_order = expire ldap_account_expire_policy = ad ldap_force_upper_case_realm = true ldap_referrals = false krb5_server = dc.domain.local krb5_realm = DOMAIN.LOCAL krb5_canonicalize = false enumerate = false cache_credentials = false
我已经清除了我的SSSD缓存并重新启动了该服务.但我无法登录.
我现在在/ var / log / messages中收到此错误:
Jun 6 11:21:43 test [sssd[krb5_child[1546]]]: Permission denied
我在/var/log/sssd/krb5_child.log中看到了这个错误:
(Sat Jun 6 11:21:43 2015) [[sssd[krb5_child[1387]]]] [sss_get_ccache_name_for_principal] (0x2000): krb5_cc_cache_match Failed: [-1765328243][Can’t find client principal aduser@DOMAIN.LOCAL in cache collection]
(Sat Jun 6 11:21:43 2015) [[sssd[krb5_child[1387]]]] [create_ccache] (0x0020): 575: [13][Permission denied]
现在,这就是它变得奇怪的地方.作为root用户,如果我对任何AD域用户说它实际上是有效的,并且主目录是自动创建的.我即将承认失败并坚持使用2k8 DC.
解决方法
您能够从root访问该帐户的原因是PAM堆栈通常包含pam_rootok.so模块,该模块绕过使用pam_sss的身份验证.鉴于来自root工程的auth,我们至少知道检索身份信息是有效的,但不是auth.
我建议在这里或在sssd-users列表中为这个问题添加更多信息.最重要的是,sssd使用来自domain部分和krb5_child.log的高debug_level调试日志.
请在SSSD维基上的troubleshooting document中找到更多信息.
active-directory – SSSD Kerberos AD Centos故障排除
我在Centos 6.8上.
我有一个有效的AD连接:
service sssd stop rm -r /var/lib/sss/db/* rm -r /var/lib/sss/mc/* service sssd start getent passwd robau@MYNETWORK.LOCAL
这返回了一条明智的路线:
robau:*:102201201:102200513:Rob Audenaerde:/:
但是,当我尝试通过SSH连接时,我无法登录.我在sssd.conf中的所有组件级别5上启用了SSSD调试.
我看到的错误(在var / log / sssd / krb5_child.log中)是:
(Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [validate_tgt] (0x0020): TGT Failed verification using key for [host/server-new.mynetwork.nl@MYNETWORK.LOCAL]. (Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [get_and_save_tgt] (0x0020): 1240: [-1765328377][Server not found in Kerberos database] (Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [map_krb5_error] (0x0020): 1301: [-1765328377][Server not found in Kerberos database] (Fri Jun 17 17:23:18 2016) [[sssd[krb5_child[3561]]]] [k5c_send_data] (0x0200): Received error code 1432158209
服务器在DNS中,我可以使用nslookup找到它
nslookup server-new.mynetwork.nl Server: 192.168.110.56 Address: 192.168.110.56#53 Name: server-new.mynetwork.nl Address: 192.168.210.94
和
kvno host/server-new.mynetwork.nl@MYNETWORK.LOCAL kvno: Server not found in Kerberos database while getting credentials for host/server-new.mynetwork.nl@MYNETWORK.LOCAL
有关故障排除的任何提示/提示?
[编辑]
我用authconfig来设置必要的pam和nss东西:
authconfig --enablesssdauth --enablesssd --enablemkhomedir --update
输出klist -kte:
25 06/20/16 10:56:24 host/server-new.mynetwork.nl@MYNETWORK.LOCAL (des-cbc-crc) 25 06/20/16 10:56:24 host/server-new.mynetwork.nl@MYNETWORK.LOCAL (des-cbc-md5) 25 06/20/16 10:56:24 host/server-new.mynetwork.nl@MYNETWORK.LOCAL (aes128-cts-hmac-sha1-96) 25 06/20/16 10:56:24 host/server-new.mynetwork.nl@MYNETWORK.LOCAL (aes256-cts-hmac-sha1-96) 25 06/20/16 10:56:24 host/server-new.mynetwork.nl@MYNETWORK.LOCAL (arcfour-hmac) 25 06/20/16 10:56:24 host/server-new@MYNETWORK.LOCAL (des-cbc-crc) 25 06/20/16 10:56:24 host/server-new@MYNETWORK.LOCAL (des-cbc-md5) 25 06/20/16 10:56:25 host/server-new@MYNETWORK.LOCAL (aes128-cts-hmac-sha1-96) 25 06/20/16 10:56:25 host/server-new@MYNETWORK.LOCAL (aes256-cts-hmac-sha1-96) 25 06/20/16 10:56:25 host/server-new@MYNETWORK.LOCAL (arcfour-hmac) 25 06/20/16 10:56:25 SERVER-NEW$@MYNETWORK.LOCAL (des-cbc-crc) 25 06/20/16 10:56:25 SERVER-NEW$@MYNETWORK.LOCAL (des-cbc-md5) 25 06/20/16 10:56:25 SERVER-NEW$@MYNETWORK.LOCAL (aes128-cts-hmac-sha1-96) 25 06/20/16 10:56:25 SERVER-NEW$@MYNETWORK.LOCAL (aes256-cts-hmac-sha1-96) 25 06/20/16 10:56:26 SERVER-NEW$@MYNETWORK.LOCAL (arcfour-hmac)
输出klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: SERVER-NEW$@MYNETWORK.LOCAL
Valid starting Expires Service principal
06/20/16 10:56:41 06/20/16 20:56:41 krbtgt/MYNETWORK.LOCAL@MYNETWORK.LOCAL
renew until 06/27/16 10:56:41
06/20/16 11:36:07 06/20/16 20:56:41 ldap/my-ad.mynetwork.local@MYNETWORK.LOCAL
renew until 06/27/16 10:56:41
[编辑2]
如果我在sssd.conf部分[domain / mynetwork.local]的末尾添加krb5_validate,那么我就可以登录了.但是,我还设置了另一台不需要这个步骤的服务器,所以我不愿意这样做.
[编辑3]
在网络广告加入-k期间,我收到错误/警告:
DNS Update for Failed: ERROR_DNS_GSS_ERROR DNS update Failed!
[编辑4]
我看到网络广告信息的输出没有使用我在配置文件中指定的主域控制器(并且是2003R2而不是2008R2).有没有办法“强制”网络广告加入-k使用特定的域控制器?
安装:
yum -y --enablerepo=epel install msktutil
要运行它:
msktutil --auto-update --server my-ad --verbose
然后运行一个kinit:
kinit -k server-new$
此外,您应该每隔6个小时左右执行这两项工作.这样你的门票就不会过期.
回答EDIT4:你应该能够指定一个带有网络广告的服务器加入-k -S,但默认情况下它会在你的DNS中搜索SRV记录.哪个好.除非你不想那样.如果您希望特定站点使用不同的DC,请查看Active Directory站点&服务.
active-directory – 为什么我的用户帐户无法删除Powershell中的AD计算机?
我有一个名为svc_jenkins的帐户,并使其成为AD Group Join-Move-Delete VM的成员.
以svc_jenkins身份登录时,我无法从该OU中删除VM:
PS C:\> gci env:username
Name Value
---- -----
USERNAME svc_jenkins
PS C:\> Get-ADComputer test
distinguishedname : CN=test,OU=autocreatedVMs,OU=Computer,DC=duck,DC=loc
DNSHostName :
Enabled : True
Name : test
ObjectClass : computer
ObjectGUID : 7dd3b09a-d079-467a-b69f-90a2e30c363d
SamAccountName : TEST$
SID : S-1-5-21-1075642099-280362434-2919291742-3630
UserPrincipalName :
PS C:\> Get-ADComputer test|Remove-ADComputer -Confirm:$False
Remove-ADComputer : Access is denied
At line:1 char:21
+ Get-ADComputer test|Remove-ADComputer -Confirm:$False
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : PermissionDenied: (CN=test,OU=Auto...,DC=loc:ADComputer) [Remove-ADComputer],Un
authorizedAccessException
+ FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag
ement.Commands.RemoveADComputer
我做错了什么想法?域控制器是Windows Server 2012 R2.
更新我20分钟后再次尝试它并且它有效.没有其他改变.
active-directory – 允许用户更改文件夹的权限,但不能删除/更改Domain Admins访问权限?
我不希望他能够做的是添加/删除任何管理组或特殊帐户:SYstem,网络服务(该文件夹用于Web应用程序),Domain Admins,AthleticDeptAdmin等.
我是否可以授予他访问权限以更改某些安全选项而无需删除其他权限?
解决方法
Soccer组中的人将能够看到Soccer子文件夹.
今天关于centos – Directadmin:启用SSH访问的现有用户无法登录和启用ssh命令的分享就到这里,希望大家有所收获,若想了解更多关于active-directory – Linux AD集成,使用Windows Server 2012 DC时无法登录、active-directory – SSSD Kerberos AD Centos故障排除、active-directory – 为什么我的用户帐户无法删除Powershell中的AD计算机?、active-directory – 允许用户更改文件夹的权限,但不能删除/更改Domain Admins访问权限?等相关知识,可以在本站进行查询。
本文标签:
