El problema
El sistema CentOS/RHEL 7.3 se configuró correctamente para unirse a un dominio de Active Directory. Un usuario en el sistema OL no puede iniciar sesión y las siguientes entradas se encuentran en el registro del sistema /var/log/messages:
2017-06-28T11:28:41.404719-04:00 adclient sshd[10352]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=X.X.X.X user=test1 2017-06-28T11:28:41.573420-04:00 adclient sshd[10352]: pam_krb5[10352]: account checks fail for '[email protected]': user disallowed by .k5login file for 'test1'
La solución
La primera línea en el resultado de /var/log/messages anterior indica que el cliente de Linux se ha conectado con el servidor AD, utilizando las credenciales de usuario test1. La segunda línea informa que el uso de la cuenta está bloqueado localmente por pam_krb5 Comprobación de PAM (Módulos de autenticación conectables). Este módulo está controlado por $(HOME)/.k5login archivo.
Remedio
La solución preferida es agregar los principales del servidor en el archivo ${HOME}/.k5login por usuario. Consulta el K5LOGIN página del manual para obtener información adicional sobre cómo agregar elementos a este archivo.
Solución alternativa
Si prefiere no utilizar la función de lista de control de acceso (ACL), estos pasos desactivarán la función en todo el sistema:
1. Asegúrese de hacer una copia de seguridad de /etc/krb5.conf antes de hacer cualquier cambio.
2. Agregue las siguientes líneas al archivo /etc/krb5.conf:
# vi /etc/krb5.conf
[appdefaults]
pam = {
debug = false
TEST.ORACLE.COM = {
ignore_k5login = true
}
} 3. Guarde el archivo.