Instans Linux tidak dapat menggabungkan domain atau mengautentikasi Masalah autentikasi kepercayaan satu arah dengan penggabungan domain secara mulus.Solusi

Kesalahan menggabungkan domain Linux

Berikut ini dapat membantu Anda memecahkan masalah beberapa pesan kesalahan yang mungkin Anda alami ketika menggabungkan instans EC2 Linux ke direktori Microsoft AD yang Dikelola AWS.

Instans Linux tidak dapat menggabungkan domain atau mengautentikasi

Instans Ubuntu 14.04, 16.04, dan 18.04 harus reverse-resolvable di DNS sebelum ranah dapat bekerja dengan Microsoft Active Directory. Jika tidak, Anda mungkin akan menjumpai salah satu dari dua skenario berikut:

Skenario 1: Instans Ubuntu yang belum bergabung ke ranah

Untuk instans Ubuntu yang mencoba bergabung dengan ranah, perintah sudo realm join mungkin tidak memberikan izin yang diperlukan untuk menggabungkan domain dan mungkin menampilkan kesalahan berikut:

! Tidak dapat mengautentikasi ke direktori aktif: SASL (-1): kegagalan generik: GSSAPI Kesalahan: Nama yang tidak valid diberikan (Sukses) adcli: tidak dapat terhubung ke EXAMPLE.COM domain: Tidak dapat mengautentikasi ke direktori aktif: SASL (-1): kegagalan generik: GSSAPI Kesalahan: Nama yang tidak valid diberikan (Sukses)! Izin tidak mencukupi untuk bergabung dengan ranah domain: Tidak dapat bergabung dengan ranah: Izin tidak mencukupi untuk bergabung dengan domain

Skenario 2: Instans Ubuntu yang bergabung ke ranah

Untuk instance Ubuntu yang sudah bergabung dengan domain Microsoft Active Directory, upaya SSH ke instance menggunakan kredenal domain mungkin gagal dengan kesalahan berikut:

$ ssh admin@EXAMPLE.COM @198 .51.100

tidak ada identitas seperti itu: /Users/username/.ssh/id_ed25519: Tidak ada file atau direktori seperti itu

Kata sandi admin@EXAMPLE.COM @198 .51.100:

Izin ditolak, silakan coba lagi.

Kata sandi admin@EXAMPLE.COM @198 .51.100:

Jika Anda masuk ke instans dengan kunci publik dan mencentang /var/log/auth.log, Anda mungkin melihat kesalahan berikut tentang tidak dapat menemukan pengguna:

12 Mei 01:02:12 ip-192-0-2-0 sshd [2251]: pam_unix (sshd: auth): kegagalan otentikasi; nama log = uid = 0 euid = 0 tty = ssh ruser = rhost = 203.0.113.0

12 Mei 01:02:12 ip-192-0-2-0 sshd [2251]: pam_sss (sshd: auth): kegagalan otentikasi; nama log = uid = 0 euid = 0 tty = ssh ruser= rhost = 203.0.113.0 pengguna = admin@EXAMPLE.COM

12 Mei 01:02:12 ip-192-0-2-0 sshd [2251]: pam_sss (sshd:auth): diterima untuk pengguna admin@EXAMPLE.COM: 10 (Pengguna tidak diketahui modul otentikasi yang mendasarinya)

12 Mei 01:02:14 ip-192-0-2-0 sshd [2251]: Kata sandi gagal untuk pengguna yang tidak valid admin@EXAMPLE.COM dari 203.0.113.0 port 13344 ssh2

12 Mei 01:02:15 ip-192-0-2-0 sshd [2251]: Koneksi ditutup oleh 203.0.113.0 [preauth]

Namun, kinit untuk pengguna masih bekerja. Lihat contoh ini:

ubuntu @ip -192-0-2-0: ~$ kinit admin@EXAMPLE.COM Kata sandi untuk admin@EXAMPLE.COM: ubuntu @ip -192-0-2-0: ~$ klist Cache tiket: FILE: /tmp/krb5cc_1000 Prinsip default: admin@EXAMPLE.COM

Solusi

Solusi yang direkomendasikan saat ini untuk kedua skenario ini adalah untuk menonaktifkan DNS terbalik di /etc/krb5.conf di bagian [libdefaults] seperti yang ditunjukkan di bawah ini:


[libdefaults]
default_realm = EXAMPLE.COM
rdns = false

Masalah autentikasi kepercayaan satu arah dengan penggabungan domain secara mulus.

Jika Anda memiliki kepercayaan keluar satu arah yang dibuat antara iklan Microsoft AWS Terkelola dan Direktori Aktif lokal, Anda mungkin mengalami masalah autentikasi saat mencoba mengautentikasi terhadap instance Linux yang bergabung dengan domain menggunakan kredensi Direktori Aktif tepercaya Anda dengan Winbind.

Kesalahan

31 Juli 00:00:00 EC2amaz-LSMWQT sshd [23832]: Kata sandi gagal untuk user@corp.example.com dari xxx.xxx.xxx.xxx port 18309 ssh2

31 Jul 00:05:00 EC2amaz-LSMWqt sshd [23832]: pam_winbind (sshd: auth): mendapatkan kata sandi (0x00000390)

31 Jul 00:05:00 EC2amaz-LSMWqt sshd [23832]: pam_winbind (sshd:auth): pam_get_item mengembalikan kata sandi

31 Jul 00:05:00 EC2AMAZ-LSMWQT sshd [23832]: pam_winbind (sshd:auth): permintaan wbcLogonUser gagal: WBC_ERR_AUTH_ERROR, kesalahan PAM: PAM_SYSTEM_ERR (4), NTSTATUS: **NT_STATUS_OBJECT_NAME_NOT_FOUND**, Pesan kesalahan adalah: Nama objek tidak ditemukan.

31 Juli 00:05:00 EC2amaz-LSMWqt sshd [23832]: pam_winbind (sshd:auth): kesalahan modul internal (retval = PAM_SYSTEM_ERR (4), pengguna = 'CORP\ user')

Solusi

Untuk mengatasi masalah ini, Anda perlu untuk mengomentari atau menghapus direktif dari file konfigurasi modul PAM (/etc/security/pam_winbind.conf) menggunakan langkah-langkah berikut.

Buka file /etc/security/pam_winbind.conf di editor teks.
```
sudo vim /etc/security/pam_winbind.conf
```

Mengomentari atau menghapus direktif berikut krb5_auth = yes.


[global]

cached_login = yes
krb5_ccache_type = FILE
#krb5_auth = yes

Menghentikan layanan Winbind, dan kemudian mulai lagi.


service winbind stop or systemctl stop winbind
net cache flush 
service winbind start or systemctl start winbind

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memantau DNS Server dengan Microsoft Event Viewer

Ruang penyimpanan yang tersedia rendah