Ubuntu 16 - Active Directory - может SSH - не может RDP

Question

Ubuntu 16 - Active Directory - может SSH - не может RDP

Я работал над созданием Linux-сервера, созданного для наших разработчиков, который присоединяется к нашему Active Directory Server. Используя комбинацию Realm и SSSD, у меня SSH работает нормально со всеми пользователями, но попытка удаленного рабочего стола в xrdp не удалась с

Nov  7 04:54:49 ip-10-10-100-177 xrdp-sesman: pam_unix(xrdp-sesman:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=ricktbaker
Nov  7 04:54:49 ip-10-10-100-177 xrdp-sesman: pam_sss(xrdp-sesman:auth): authentication success; logname= uid=0 euid=0 tty= ruser= rhost= user=ricktbaker
Nov  7 04:54:49 ip-10-10-100-177 xrdp-sesman: pam_sss(xrdp-sesman:account): Access denied for user ricktbaker: 6 (Permission denied)

Мой /etc/sssd/sssd.conf

[sssd]
domains = my.domain.com
config_file_version = 2
services = nss, pam

[domain/my.domain.com]
ad_domain = my.domain.com
krb5_realm = MY.DOMAIN.COM
realmd_tags = joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
simple_allow_users = $
access_provider = ad

Я попытался переключить access_provider на простой, но затем я не могу ssh. Не совсем уверен, что мне не хватает, но предоставит любые журналы или информацию, которая может помочь.

---- РЕДАКТИРОВАТЬ -----

Кажется, добавление следующей строки в доменную часть sssd.conf исправляет это, но я не уверен, что это правильное исправление:

ad_gpo_access_control = permissive

5

ubuntu ssh active-directory sssd

Источник

user1791660 07 ноя '17 в 04:59

1 ответ

Другие вопросы по тегам ubuntu ssh active-directory sssd

user8375417 08 ноя '17 в 08:31 2017-11-08 08:31 · Answer 1 · 2017-11-08 08:31

Чувак, я просто люблю тебя. Я боролся с этой проблемой в течение дня без решения.

В качестве дополнения, когда я использовал ваш конфиг, у меня все еще была проблема с X11, не позволяющим подключиться. Просто нужно было отредактировать /etc/X11/Xwrapper.config для allow_users=anybody

И теперь, это работает!

Большое спасибо за обновление!

user1791660 25 июл '19 в 16:26 2019-07-25 16:26 · Answer 2 · 2019-07-25 16:26

После запуска этой установки в течение более года исправление, которое я упомянул в моем первоначальном вопросе, определенно работает. Так что добавляем в качестве официального ответа. Просто нужно следующее в моем /etc/sssd/sssd.conf

ad_gpo_access_control = permissive

Также напишите об этом в блоге:

http://ricktbaker.com/2017/11/08/ubuntu-16-with-active-directory-connectivity/

user12516163 11 дек '19 в 09:12 2019-12-11 09:12 · Answer 3 · 2019-12-11 09:12

На странице руководства sssd-ad:

       ad_gpo_map_interactive (string)
       A comma-separated list of PAM service names for which GPO-based access control is evaluated based on the InteractiveLogonRight and DenyInteractiveLogonRight policy settings.

       Note: Using the Group Policy Management Editor this value is called "Allow log on locally" and "Deny log on locally".

       It is possible to add another PAM service name to the default set by using “+service_name” or to explicitly remove a PAM service name from the default set by using “-service_name”. For example,
       in order to replace a default PAM service name for this logon right (e.g.  “login”) with a custom pam service name (e.g.  “my_pam_service”), you would use the following configuration:

           ad_gpo_map_interactive = +my_pam_service, -login

      ....

Итак, вам просто нужно добавить:

           ad_gpo_map_interactive = +xrdp-sesman

в ваш файл sssd.conf.