Недавно я обновил рабочую станцию Fedora 22, и входы в систему SSSD начали давать сбой.

Журналы выглядят хорошими, пока sss_send_pac не терпит неудачу. Как ни странно, основной пользователь получает домен, добавленный дважды. Например:

jgiotta\@magic.local@magic.local

Я не уверен, какие шаги отладки предпринять в этот момент. Присоединение к области и выполнение команд ldapsearch - все успешно.

Аутентификация обеспечивается системой Active Directory в более крупной сети на базе Windows.

Когда я поднимаю вывод журнала в sssd.conf до уровня 10, я могу просмотреть krb5_child.log. Я нахожу следующую ошибку в журнале:

(Чт 3 декабря 09:22:36 2015) [[sssd [krb5_child [2158]]]] [sss_send_pac] (0x0040): ошибка sss_pac_make_request [-1] [2]

(Чт. 3 декабря 09:22:36 2015) [[sssd [krb5_child [2158]]]] [validate_tgt] (0x0040): сбой sss_send_pac, членство в группе для пользователя с принципалом [jgiotta\@ magic.local @ magic.local] может быть не правильно.

Когда это происходит, я считаю, что вход в систему не удается, но терминал только говорит "Системная ошибка" при входе в систему. На данный момент я по сути заблокирован из своего профиля и могу получить доступ только через root.

1 ответ1

1

Спустя годы, но для интернет-искателей:

В CentOS 7 на данный момент (и, возможно, на некоторое время, действительно), есть опция в sssd.conf:

use_fully_qualified_names (bool)
   Use the full name and domain (as formatted by the domain's
   full_name_format) as the user's login name reported to NSS.

Я боролся с дублированным доменным именем в моем запросе kerberos для xrdp, и после долгих усилий узнал, что явная установка этого значения в false, даже если это значение по умолчанию имеет значение.

sssd.conf

[domain/magic.local]
use_fully_qualified_names = false

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .