问题
CentOS/RHEL 7.3 系统已成功配置为加入 Active Directory 域。
OL系统上的用户无法登录,在/var/log/messages系统日志中发现以下条目:
2017-06-28T11:28:41.404719-04:00 adclient sshd[10352]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=X.X.X.X user=test1 2017-06-28T11:28:41.573420-04:00 adclient sshd[10352]: pam_krb5[10352]: account checks fail for 'test1@EXAMPLE.COM': user disallowed by .k5login file for 'test1'
欢迎来到之路教程(on itroad-com)
解决方案
上述 /var/log/messages 输出中的第一行表明 Linux 客户端已使用 test1 用户凭据连接到 AD 服务器。
第二行报告通过 pam_krb5 PAM(Pluggable Authentication Modules)检查在本地阻止帐户使用。
该模块由 $(HOME)/.k5login 文件控制。
补救
首选的解决方案是将服务器主体添加到每个用户的 ${HOME}/.k5login 文件中。
有关向此文件添加项目的其他信息,请参阅 K5LOGIN 手册页。
解决方法
如果我们不想使用访问控制列表 (ACL) 功能,这些步骤将在系统范围内禁用该功能:
在进行任何更改之前,请务必备份 /etc/krb5.conf。
将以下行添加到文件 /etc/krb5.conf 中:
# vi /etc/krb5.conf
[appdefaults]
pam = {
debug = false
TEST.ORACLE.COM = {
ignore_k5login = true
}
}
- 保存文件。
日期:2020-09-17 00:10:48 来源:oir作者:oir