GNU/Linux >> Tutoriales Linux >  >> Cent OS

Usuarios de Active Directory que no pueden iniciar sesión a través de SSH usando SSSD y obtienen "Permiso denegado, inténtelo de nuevo" [CentOS/RHEL]

Usuarios de Active Directory que no pueden iniciar sesión a través de SSH usando SSSD y obtienen "Permiso denegado, inténtelo de nuevo" [CentOS/RHEL]

El problema

1. La integración de un nodo de Linux con Active Directory para la autenticación falla con el error "Permiso denegado, inténtelo de nuevo" mientras se conecta mediante ssh:

# ssh [hostname] -l [username]@[DOMAINNAME].com
The authenticity of host '[hostname] ([IP ADDRESS])' can't be established.
RSA key fingerprint is 4f:3b:ba:b2:b7:6e:d0:b7:dd:a6:4b:32:ac:e3:58:63.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[hostname],[IP ADDRESS]' (RSA) to the list of known hosts.
[username]@.com@[hostname]'s password:
Permission denied, please try again.
[username]@.com@[hostname]'s password:

2. Verificado que el nombre de usuario y la contraseña sean correctos:

$ su - [username]
# su - [username]@[DOMAINNAME].com

3. Las fallas de autenticación se pueden observar en el /var/log/secure historia:

Apr 3 23:20:24 [hostname] sshd[323944]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:20:24 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 11, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:26 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:34 [hostname] sshd[323944]: pam_tally2(sshd:auth): user [username] (1494516080) tally 12, deny 5 <<<<<<<<<<<<<
Apr 3 23:20:37 [hostname] sshd[323944]: Failed password for [username] from [IP ADDRESS] port 51803 ssh2
Apr 3 23:20:40 [hostname] sshd[323944]: PAM 1 more authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ittwhxh1n62.na.admworld.com user=[username]
Apr 3 23:24:37 [hostname] sshd[338364]: pam_tally2(sshd:auth): user [username] (1494516080) tally 13, deny 5 <<<<<<<<<<<<<
Apr 3 23:24:39 [hostname] sshd[338364]: Failed password for [username] from [IP ADDRESS] port 51893 ssh2

Causa raíz

Problema con uno o más archivos de configuración:system-auth-ac y contraseña-autorización-ac , el módulo sssd se comentó en el archivo de configuración a continuación:

$ grep sss /etc/pam.d/system-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so
$  grep sss /etc/pam.d/password-auth-ac 
# auth sufficient pam_sss.so use_first_pass
# account [default=bad success=ok user_unknown=ignore] pam_sss.so
# password sufficient pam_sss.so use_authtok
# session optional pam_sss.so

El módulo pam_tally2 entra en conflicto con los módulos sssd:

$ cat etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth include password-auth
##auth required pam_tally2.so deny=5 onerr=fail serialize >>>>
#auth required pam_tally2.so deny=5 onerr=fail lock_time=600 serialize
# EXADATA ACCESS CONTROL via /etc/exadata/security/exadata-access.conf
account required pam_nologin.so
account include password-auth
account required pam_tally2.so
password include password-auth
pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session required pam_limits.so
# cat /etc/pam.d/login
auth required pam_tally2.so deny=5 onerr=fail serialize
# cat/etc/pam.d/login
account required pam_tally2.so

La solución

Nota :Tenga cuidado de eliminar los archivos de copia de seguridad del directorio /pam.d/.

1. Comenta pam_tally2 líneas en todos los archivos de autenticación bajo /etc/pam.d/* directorio.

2. Comente la línea mencionada en las secciones de causa, [Habilitar módulos sssd] como se muestra a continuación.

$ grep sss /etc/pam.d/system-auth-ac 
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so 
$ grep sss /etc/pam.d/password-auth-ac
auth sufficient pam_sss.so use_first_pass
account [default=bad success=ok user_unknown=ignore] pam_sss.so
password sufficient pam_sss.so use_authtok
session optional pam_sss.so


Cent OS

  1. ¿Cómo convertir un archivo PPK a claves OpenSSH e iniciar sesión usando SSH en Linux?

  2. [CentOS 7 Apache]:Permiso denegado:los permisos de archivo niegan el acceso al servidor

  3. Ssh – Intentar Ssh en el servidor y obtener Key_load_public:¿No existe tal archivo o error de directorio?

  4. Cómo restringir usuarios y grupos de Active Directory para iniciar sesión en el cliente CentOS/RHEL 7

  5. Usuarios de Active Directory que no pueden iniciar sesión a través de SSH usando SSSD y obtienen "Permiso denegado, inténtelo de nuevo" [CentOS/RHEL]

Uso de shell seguro (SSH) para inicio de sesión y copia segura (SCP) para transferencia de datos en Linux

Crear, administrar y eliminar usuarios y grupos en Active Directory

Deshabilite el inicio de sesión raíz directo y el acceso de usuario a través de SSH al servidor

No se puede unir el servidor Linux Samba al dominio de Active Directory de Windows

Tabla de permisos para un archivo/directorio y tipos de usuarios del sistema de archivos

Cree un nuevo usuario de vsftpd y bloquéelo en (especifique) el directorio de inicio/inicio de sesión