Il problema
Il sistema CentOS/RHEL 7.3 è stato configurato correttamente per entrare a far parte di un dominio Active Directory. Un utente sul sistema OL non può accedere e le seguenti voci si trovano nel registro di sistema /var/log/messages:
2017-06-28T11:28:41.404719-04:00 adclient sshd[10352]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=X.X.X.X user=test1 2017-06-28T11:28:41.573420-04:00 adclient sshd[10352]: pam_krb5[10352]: account checks fail for 'test1@EXAMPLE.COM': user disallowed by .k5login file for 'test1'
La soluzione
La prima riga nell'output di /var/log/messages precedente indica che il client Linux si è connesso al server AD, utilizzando le credenziali utente test1. La seconda riga segnala che l'utilizzo dell'account è bloccato localmente da pam_krb5 Controllo PAM (Plugable Authentication Modules). Questo modulo è controllato da $(HOME)/.k5login file.
Rimedio
La soluzione preferita è aggiungere le entità server nel file ${HOME}/.k5login per utente. Consulta il K5LOGIN pagina man per ulteriori informazioni sull'aggiunta di elementi a questo file.
Soluzione alternativa
Se preferisci non utilizzare la funzione dell'elenco di controllo di accesso (ACL), questi passaggi disabiliteranno la funzione a livello di sistema:
1. Assicurati di eseguire un backup di /etc/krb5.conf prima di apportare modifiche.
2. Aggiungi le seguenti righe al file /etc/krb5.conf:
# vi /etc/krb5.conf [appdefaults] pam = { debug = false TEST.ORACLE.COM = { ignore_k5login = true } }
3. Salva il file.