From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: To: devel@lists.altlinux.org References: <20171106164117.GA23901@lks.home> From: Andrey Cherepanov Message-ID: Date: Mon, 6 Nov 2017 22:02:53 +0300 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:52.0) Gecko/20100101 Thunderbird/52.4.0 MIME-Version: 1.0 In-Reply-To: <20171106164117.GA23901@lks.home> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: ru Subject: Re: [devel] Q: sssd + AD X-BeenThere: devel@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux Team development discussions List-Id: ALT Linux Team development discussions List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Mon, 06 Nov 2017 19:02:55 -0000 Archived-At: List-Archive: List-Post: 06.11.2017 19:41, Konstantin Lepikhov пишет: > Привет! > > А у нас есть какие-то специфические вещи которые нужно включать в sssd > чтобы использовать AD авторизацию? > > Спрашиваю, потому что весь день сегодня пытался это настроить используя > магические команды, которые работают в CentOS/RHEL, но не работают у нас: > > 1) realm join -U падает с ошибкой "невозможно создать > записи хоста", та же команда отрабатывает нормально в centos7. Да, я знаю, > что у меня возможно нет админских привилегий чтобы создать запись хоста в > AD, но мне это и не нужно, просто пусть создадутся конфиги для krb5/sssd. > > 2) Даже если скопировать конфигурацию /etc/krb5.conf и /etc/sssd/sssd.conf > из centos7, поменять system-auth на sss, проавторизоваться не получается, > в логах только странные записи вида > > nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]: > pam_keyinit(su:session): OPEN 1 > nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]: > pam_keyinit(su:session): Unable to look up user > "konstantin.lepikhov@" > nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]: > pam_systemd(su:session): Failed to get user data. > nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]: > pam_systemd(su:session): Failed to get user data. > nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]: > pam_mkhomedir(su:session): User unknown. > nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]: > pam_xauth(su:session): error determining target user's UID > > > В тоже время на тестовой машине с centos7 все работает: > > Nov 06 17:33:30 centos7.test.domain su[10525]: (to > konstantin.lepikhov@) root on pts/0 > Nov 06 17:33:30 centos7.test.domain su[10525]: pam_unix(su-l:session): > session opened for user konstantin.lepikhov@ by > konstantin.lepikhov@(uid=0) > Nov 06 17:33:30 centos7.test.domain su[10525]: pam_lastlog(su-l:session): > username too long, output might be inaccurate > > Из того что я заметил: > > - kinit/klist работают. > - sssd успешно отрабатывает запрос на авторизацию, падает что-то дальше. > - в altlinux realm использует --membership-software=adcli по-умолчанию, а > centos использует samba. > - в altlinux в sssd включен ad_gpo_access_control, в centos его нет (или > вывод от него заглушен). > > Я могу создать багу, но хотелось бы перед этим услышать еще отзывы от > пользователей этих продуктов в altlinux, как они все настраивали. > https://www.altlinux.org/ActiveDirectory/Login https://www.altlinux.org/SSSD/AD -- Andrey Cherepanov cas@altlinux.org