Kesalahan penggabungan domain instance Amazon EC2 Linux - AWS Directory Service
Instans Linux tidak dapat menggabungkan domain atau mengautentikasiMasalah autentikasi kepercayaan satu arah dengan penggabungan domain secara mulus.Solusi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kesalahan penggabungan domain instance Amazon EC2 Linux

Berikut ini dapat membantu Anda memecahkan masalah beberapa pesan galat yang mungkin Anda temui saat menggabungkan instans Amazon EC2 Linux ke direktori AD AWS Microsoft Terkelola.

Instans Linux tidak dapat menggabungkan domain atau mengautentikasi

Instans Ubuntu 14.04, 16.04, dan 18.04 harus dapat dipecahkan terbalik sebelum ranah dapat bekerja dengan Microsoft Active DNS Directory. Jika tidak, Anda mungkin akan menjumpai salah satu dari dua skenario berikut:

Skenario 1: Instans Ubuntu yang belum bergabung ke ranah

Untuk instans Ubuntu yang mencoba bergabung dengan ranah, perintah sudo realm join mungkin tidak memberikan izin yang diperlukan untuk menggabungkan domain dan mungkin menampilkan kesalahan berikut:

! Tidak dapat mengautentikasi ke direktori aktif: SASL (-1): kegagalan umum: GSSAPI Kesalahan: Nama tidak valid diberikan (Sukses) adcli: tidak dapat terhubung ke. EXAMPLE COMdomain: Tidak dapat mengautentikasi ke direktori aktif: SASL (-1): kegagalan umum: GSSAPI Kesalahan: Nama tidak valid diberikan (Sukses)! Izin tidak mencukupi untuk bergabung dengan ranah domain: Tidak dapat bergabung dengan ranah: Izin tidak mencukupi untuk bergabung dengan domain

Skenario 2: Instans Ubuntu yang bergabung ke ranah

Untuk instance Ubuntu yang sudah bergabung dengan domain Microsoft Active Directory, upaya untuk SSH masuk ke instance menggunakan kredenal domain mungkin gagal dengan kesalahan berikut:

$ ssh EXAMPLE admin@. COM@198 .51.100

tidak ada identitas seperti itu:/Users/username/.ssh/id_ed25519: Tidak ada file atau direktori seperti itu

admin@EXAMPLE. COMKata sandi @198 .51.100:

Izin ditolak, silakan coba lagi.

admin@EXAMPLE. COMKata sandi @198 .51.100:

Jika Anda masuk ke instans dengan kunci publik dan mencentang /var/log/auth.log, Anda mungkin melihat kesalahan berikut tentang tidak dapat menemukan pengguna:

12 Mei 01:02:12 ip-192-0-2-0 sshd [2251]: pam_unix (sshd: auth): kegagalan otentikasi; nama log = uid = 0 euid = 0 tty = ssh ruser = rhost = 203.0.113.0

12 Mei 01:02:12 ip-192-0-2-0 sshd [2251]: pam_sss (sshd: auth): kegagalan otentikasi; nama log = uid = 0 euid = 0 tty = ssh ruser= rhost = 203.0.113.0 pengguna = admin@. EXAMPLE COM

12 Mei 01:02:12 ip-192-0-2-0 sshd [2251]: pam_sss (sshd:auth): diterima untuk admin pengguna@. EXAMPLE COM: 10 (Pengguna tidak diketahui modul otentikasi yang mendasarinya)

12 Mei 01:02:14 ip-192-0-2-0 sshd [2251]: Kata sandi gagal untuk admin pengguna yang tidak valid @. EXAMPLE COMdari 203.0.113.0 port 13344 ssh2

12 Mei 01:02:15 ip-192-0-2-0 sshd [2251]: Koneksi ditutup oleh 203.0.113.0 [preauth]

Namun, kinit untuk pengguna masih bekerja. Lihat contoh ini:

ubuntu @ip -192-0-2-0: ~$ kinit admin@. EXAMPLE COMKata sandi untuk admin@EXAMPLE. COM: ubuntu @ip -192-0-2-0: ~$ klist Cache tiket: 5cc_1000 Prinsip default: admin@. FILE:/tmp/krb EXAMPLE COM

Solusi

Solusi yang direkomendasikan saat ini untuk kedua skenario ini adalah menonaktifkan reverse in DNS di bagian [libdefaults] seperti yang ditunjukkan /etc/krb5.conf di bawah ini:

[libdefaults]
default_realm = EXAMPLE.COM
rdns = false

Masalah autentikasi kepercayaan satu arah dengan penggabungan domain secara mulus.

Jika Anda memiliki kepercayaan keluar satu arah yang dibuat antara iklan Microsoft AWS Terkelola dan Direktori Aktif lokal, Anda mungkin mengalami masalah autentikasi saat mencoba mengautentikasi terhadap instance Linux yang bergabung dengan domain menggunakan kredensi Direktori Aktif tepercaya Anda dengan Winbind.

Kesalahan

31 Juli 00:00:00 EC2AMAZ - LSMWqT sshd [23832]: Kata sandi gagal untuk user@corp.example.com dari xxx.xxx.xxx.xxx port 18309 ssh2

31 Jul 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): mendapatkan kata sandi (0x00000390)

31 Jul 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): pam_get_item mengembalikan kata sandi

31 Jul 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): permintaan wbcLogonUser gagal: _ _ _, error: WBC _ _ ERR (4)ERROR,: ERR AUTH **NT_ PAM _ _ _ SYSTEM _ **, PAM Pesan kesalahan adalahNTSTATUS: Nama objek STATUS tidak ditemukan. OBJECT NAME NOT FOUND

31 Juli 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): kesalahan modul internal (retval = _ _ (4), pengguna = '\ user') PAM SYSTEM ERR CORP

Solusi

Untuk mengatasi masalah ini, Anda perlu mengomentari atau menghapus arahan dari file konfigurasi PAM modul (/etc/security/pam_winbind.conf) menggunakan langkah-langkah berikut.

  1. Buka file /etc/security/pam_winbind.conf di editor teks.

    sudo vim /etc/security/pam_winbind.conf

  2. Mengomentari atau menghapus direktif berikut krb5_auth = yes.

    [global]

cached_login = yes
krb5_ccache_type = FILE
#krb5_auth = yes

  3. Menghentikan layanan Winbind, dan kemudian mulai lagi.

    service winbind stop or systemctl stop winbind
net cache flush 
service winbind start or systemctl start winbind