Erreurs de jointure de domaine d'instance Amazon EC2 Linux - AWS Directory Service
Impossible d'effectuer la jonction de domaine ou l'authentification d'instances LinuxProblème d'authentification d'approbation unidirectionnelle associé à une jonction de domaine fluideSolution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Erreurs de jointure de domaine d'instance Amazon EC2 Linux

Ce qui suit peut vous aider à résoudre certains messages d'erreur que vous pourriez rencontrer lorsque vous joignez une instance Amazon EC2 Linux à votre répertoire AWS Managed Microsoft AD.

Impossible d'effectuer la jonction de domaine ou l'authentification d'instances Linux

Les instances d'Ubuntu 14.04, 16.04 et 18.04 doivent pouvoir être résolues à l'envers DNS avant qu'un domaine puisse fonctionner avec Microsoft Active Directory. Sinon, vous risquez de rencontrer l'un des deux scénarios suivants :

Scénario 1 : Instances Ubuntu qui ne sont pas encore jointes à un domaine

Pour les instances Ubuntu qui tentent de joindre un domaine, la commande sudo realm join peut ne pas fournir les autorisations requises pour joindre le domaine et afficher l'erreur suivante :

! Impossible de s'authentifier auprès d'Active Directory : SASL (-1) : échec générique : GSSAPI erreur : un nom non valide a été fourni (succès) adcli : impossible de se connecter à. EXAMPLE COMdomaine : Impossible de s'authentifier auprès d'Active Directory : SASL (-1) : échec générique : GSSAPI erreur : un nom non valide a été fourni (succès) ! Insufficient permissions to join the domain realm: Couldn't join realm: Insufficient permissions to join the domain

Scénario 2 : Instances Ubuntu qui sont jointes à un domaine

Pour les instances Ubuntu déjà jointes à un domaine Microsoft Active Directory, les tentatives d'accès à l'instance SSH à l'aide des informations d'identification du domaine peuvent échouer avec les erreurs suivantes :

$ ssh EXAMPLE admin@. COM@198 .51,100

aucune identité de ce type :/Users/username/.ssh/id_ed25519 : aucun fichier ou répertoire de ce type

administrateur@EXAMPLE. COMMot de passe de @198 .51.100 :

Permission denied, please try again.

administrateur@EXAMPLE. COMMot de passe de @198 .51.100 :

Si vous vous connectez à l'instance avec une clé publique et que vous vérifiez /var/log/auth.log, vous risquez de voir les erreurs suivantes d'utilisateur introuvable :

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

12 mai 01:02:12 ip-192-0-2-0 sshd [2251] : pam_sss (sshd:auth) : échec de l'authentification ; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@. EXAMPLE COM

12 mai 01:02:12 ip-192-0-2-0 sshd [2251] : pam_sss (sshd:auth) : reçu pour l'utilisateur admin@. EXAMPLE COM: 10 (utilisateur inconnu du module d'authentification sous-jacent)

12 mai 01:02:14 ip-192-0-2-0 sshd [2251] : échec du mot de passe pour un utilisateur admin@ non valide. EXAMPLE COMà partir du port 203.0.113.0 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

Par contre, kinit pour l'utilisateur continue de fonctionner. Veuillez consulter cet exemple :

ubuntu @ip -192-0-2-0 : ~$ kinit admin@. EXAMPLE COMMot de passe pour admin@EXAMPLE. COM: ubuntu @ip -192-0-2-0 : ~$ klist Cache de tickets : 5cc_1000 Principal par défaut : FILE:/tmp/krb admin@. EXAMPLE COM

Solution

La solution actuellement recommandée pour ces deux scénarios consiste à désactiver la fonction inverse DNS /etc/krb5.conf dans la section [libdefaults], comme indiqué ci-dessous :

[libdefaults]
default_realm = EXAMPLE.COM
rdns = false

Problème d'authentification d'approbation unidirectionnelle associé à une jonction de domaine fluide

Si une approbation sortante unidirectionnelle est établie entre votre Microsoft AD AWS géré et votre Active Directory local, vous pouvez rencontrer un problème d'authentification lorsque vous tentez de vous authentifier auprès de l'instance Linux jointe au domaine à l'aide de vos informations d'identification Active Directory fiables avec Winbind.

Erreurs

31 juillet 00:00:00 EC2AMAZ - LSMWqT sshd [23832] : échec du mot de passe pour user@corp.example.com depuis le port xxx.xxx.xxx.xxx 18309 ssh2

31 juillet 00:05:00 EC2AMAZ - LSMWqT sshd [23832] : pam_winbind (sshd:auth) : obtention du mot de passe (0x00000390)

31 juillet 00:05:00 EC2AMAZ - LSMWqT sshd [23832] : pam_winbind (sshd:auth) : pam_get_item a renvoyé un mot de passe

31 juillet 00:05:00 EC2AMAZ - LSMWqT sshd [23832] : pam_winbind (sshd:auth) : wbcLogonUser échec de la demande : _ _ _, erreur : _ _ ERR (4), WBC ERR :**NT_ AUTH _ _ _ _ **ERROR, le PAM message d'erreur était le suivant NTSTATUS : Le nom de l'objet est introuvableSTATUS. PAM SYSTEM OBJECT NAME NOT FOUND

31 juillet 00:05:00 EC2AMAZ - LSMWqT sshd [23832] : pam_winbind (sshd:auth) : erreur interne du module (retval = _ _ (4), user = '\ user') PAM SYSTEM ERR CORP

Solution

Pour résoudre ce problème, vous devez commenter ou supprimer une directive du fichier de configuration du PAM module (/etc/security/pam_winbind.conf) en procédant comme suit.

  1. Ouvrez le fichier /etc/security/pam_winbind.conf dans un éditeur de texte.

    sudo vim /etc/security/pam_winbind.conf

  2. Excluez ou supprimez la directive suivante krb5_auth = yes.

    [global]

cached_login = yes
krb5_ccache_type = FILE
#krb5_auth = yes

  3. Arrêtez le service Winbind, puis redémarrez-le.

    service winbind stop or systemctl stop winbind
net cache flush 
service winbind start or systemctl start winbind