web-dev-qa-db-fra.com

Débogage SSSD Connexion: Erreur système PAM_SSS [...]

Comment déboguer correctement la connexion Shell dans l'affaire suivante?

L'authentification est traitée via la configuration SSSD et un serveur d'authentification KRB5. Se connecter avec le même fichier .conf-fichier sur Ubuntu 16.04 LTS fonctionne parfaitement. Une fois que l'on l'utilise avec 17.04, vous connectez-vous avec tout ce que les résultats de la racine sont redémarrés -/var/log/syslog états

[email protected]: Service has no hold-off time, sheduling restert.
Stopped Getty on tty2.
Started Getty on tty2.

et dans Auth.Log Ce qui suit est noté:

pam_sss(login:account): Access denied for user <user>: 4 (System error)
System error

Exécuter login <user> résulte en

root@pctest# login <user>
password:

System error
root@pctest#

À l'aide de sssctl config-check n'entraîne aucune erreur comme prévu de la configuration de travail sur 16,04 lts.

Chaque test que j'ai mentionné a été effectué sur des systèmes automatiquement configurés et vérifiés manuellement, les systèmes fraîchement installés sur les entraînements formatés. Des paquets supplémentaires ont été installés via le ubuntu-standard METAPACKAGE (aucun environnement de bureau installé). Néanmoins, le problème a également été reproduit sur un système Working 16.04 LTS amélioré à 17.04.

Je n'ai pas trouvé de mode verbeux pour login ni un moyen raisonnable d'exécuter la partie défaillante du login en tant que autonome. Alors, que feriez-vous?

[modifier] Travail de travail

Une solution pour le problème donné est la suivante:

Solution de contournement pour nous devait définir ad_gpo_access_control = permissive dans la section [Domaine] de fichier /etc/sssd/sssd.conf ...

Source: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=8594445

5
2xB

Vous devez ajouter debug_level = 10 dans toutes les sections du fichier SSSD.CONF, redémarrez SSSD et réexécuter le login. Ensuite, regardez dans/var/journal/sssd. Veuillez également lire - https://docs.pagure.org/sssd.sssd/users/troubleShooooNoting.html

3
jhrozek

Il suffit de vous demander pourquoi certains systèmes de Systèmes de Linux (Debian 9) connectés de Fresh Active Directory ont rapporté system error sur su tandis que certains plus âgés n'ont pas montré ce comportement. Réglage ad_gpo_access_control = permissive effectivement fait fonctionner, mais la cause première était que les nouveaux systèmes ont des adresses IP dans un sous-réseau non enregistré dans Active Directory Sites et services. Une fois que le sous-réseau a été ajouté et attribué à un site (donner une annonce un peu de temps à reproduire) le system error n'était plus signalé.

1
Stephan

J'ai eu le même problème avec 16.04LTS aujourd'hui.

Je peux confirmer que votre solution de contournement a également travaillé pour moi.

À ma section de domaine, j'ai ajouté:

ad_gpo_access_control = permissive

Cela a fonctionné parfait après cela. On dirait qu'il y a un bug dans 16.04LTS et SSSD. Merci merci de vous remercier de poster cette solution de contournement. Je ne trouvais aucune information nulle part sur cette erreur.

0
ASG