目录或认证服务
1 前言
一个问题,一篇文章,一出故事。
笔者生产环境的SSSD服务器遇到用户无法登录,然后“/var/log/messages”可以发现大量的如下信息。
Feb 18 14:23:16 sftp02 ldap_child[3788777]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab.cmdschool.com]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection. Feb 18 14:23:20 sftp02 ldap_child[3788784]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab.cmdschool.com]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection. Feb 18 14:23:21 sftp02 ldap_child[3788785]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab.cmdschool.com]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.
经过分析,“/etc/krb5.keytab.cmdschool.com”文件密钥与AD服务器的不同步。
2 最佳实践
2.1 环境信息
注:以上配置表明该AD是以非同林AD域的方式加入
2.2 修复方法
2.2.1 重新加入AD
adcli join -U admin --host-keytab=/etc/krb5.keytab.cmdschool.com cmdschool.com
注:将服务器重新加入到非同林域并按原来的krb5.keytab路径指定。
2.2.2 重启服务使配置生效
systemctl restart sssd
没有评论