Errori di aggiunta al dominio dell'istanza Amazon EC2 Linux - AWS Directory Service
Istanze Linux non in grado di eseguire l'unione di domini o l'autenticazioneProblema di autenticazione di trust unidirezionale con aggiunta ottimizzata del dominioSoluzione alternativa

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Errori di aggiunta al dominio dell'istanza Amazon EC2 Linux

Quanto segue può aiutarti a risolvere alcuni messaggi di errore che potresti incontrare quando unisci un'istanza Amazon EC2 Linux alla tua directory Managed AWS Microsoft AD.

Istanze Linux non in grado di eseguire l'unione di domini o l'autenticazione

Le istanze di Ubuntu 14.04, 16.04 e 18.04 devono essere risolvibili in senso inverso prima che DNS un realm possa funzionare con Microsoft Active Directory. In caso contrario, si potrebbe verificare uno dei seguenti due scenari:

Scenario 1: istanze Ubuntu non ancora aggiunte a un realm

Nel caso di istanze Ubuntu che stanno tentando di aggiungersi a un realm, il comando sudo realm join potrebbe non fornire le autorizzazioni necessarie per l'aggiunta al dominio e potrebbe venire visualizzato il seguente errore:

! Impossibile autenticarsi su active directory: SASL (-1): errore generico: GSSAPI Errore: è stato fornito un nome non valido (operazione riuscita) adcli: impossibile connettersi a. EXAMPLE COMdomain: Impossibile autenticarsi su Active Directory: SASL (-1): errore generico: GSSAPI Errore: è stato fornito un nome non valido (operazione riuscita)! Autorizzazioni insufficienti per aggiungere il realm del dominio: impossibile aggiungere il realm: autorizzazioni insufficienti per aggiungere il dominio

Scenario 2: istanze Ubuntu aggiunte a un realm

Per le istanze di Ubuntu che fanno già parte di un dominio Microsoft Active Directory, i tentativi di accesso SSH all'istanza utilizzando le credenziali del dominio potrebbero fallire con i seguenti errori:

$ ssh admin@. EXAMPLE COM@198 .51.100

nessuna identità di questo tipo:/Users/username/.ssh/id_ed25519: nessun file o directory di questo tipo

amministratore@. EXAMPLE COMLa password di @198 .51.100:

Permission denied, please try again.

amministratore@. EXAMPLE COMLa password di @198 .51.100:

Se esegui l'accesso all'istanza con una chiave pubblica e verifichi /var/log/auth.log, potresti visualizzare i seguenti errori sull'impossibilità di trovare l'utente:

May 12 01:02:12 ip-192-0-2-0 sshd[2251]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0

12 maggio 01:02:12 ip-192-0-2-0 sshd [2251]: pam_sss (sshd:auth): errore di autenticazione; logname= uid=0 euid=0 tty=ssh ruser= rhost=203.0.113.0 user=admin@. EXAMPLE COM

12 maggio 01:02:12 ip-192-0-2-0 sshd [2251]: pam_sss (sshd:auth): ricevuto per l'utente admin@. EXAMPLE COM: 10 (Utente sconosciuto al modulo di autenticazione sottostante)

12 maggio 01:02:14 ip-192-0-2-0 sshd [2251]: password non riuscita per l'utente non valido admin@. EXAMPLE COMdalla porta 203.0.113.0 13344 ssh2

May 12 01:02:15 ip-192-0-2-0 sshd[2251]: Connection closed by 203.0.113.0 [preauth]

Tuttavia, il kinit dell'utente continuerà a funzionare. Consulta questo esempio:

ubuntu @ip -192-2-0: ~$ kinit admin@. EXAMPLE COMPassword per EXAMPLE admin@. COM: ubuntu @ip -192-0-2-0: ~$ klist Ticket cache: 5cc_1000 Principal predefinito: admin@. FILE:/tmp/krb EXAMPLE COM

Soluzione alternativa

L'attuale soluzione alternativa consigliata per entrambi questi scenari consiste nel disabilitare l'inversione inversa DNS /etc/krb5.conf nella sezione [libdefaults] come mostrato di seguito:

[libdefaults]
default_realm = EXAMPLE.COM
rdns = false

Problema di autenticazione di trust unidirezionale con aggiunta ottimizzata del dominio

Se è stato stabilito un trust in uscita unidirezionale tra AWS Microsoft AD gestito e Active Directory locale, è possibile che si verifichi un problema di autenticazione quando si tenta di autenticarsi sull'istanza Linux aggiunta al dominio utilizzando le credenziali attendibili di Active Directory con Winbind.

Errori

31 luglio 00:00:00 EC2AMAZ - LSMWqT sshd [23832]: password non riuscita per user@corp.example.com dalla porta xxx.xxx.xxx.xxx 18309 ssh2

31 luglio EC2AMAZ 00:05:00 - sshd [23832]: pam_winbind (sshd:auth): acquisizione della password (0x00000390) LSMWqT

31 luglio 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): pam_get_item ha restituito una password

31 luglio 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): richiesta wbcLogonUser fallita: WBC _ _ ERR _ERROR, PAM errore: AUTH _ PAM SYSTEM _ ERR (4),NTSTATUS: **NT_ _ _ _ STATUS OBJECT NAME NOT _ FOUND **, Il messaggio di errore era: Il nome dell'oggetto non è stato trovato.

31 luglio 00:05:00 EC2AMAZ - LSMWqT sshd [23832]: pam_winbind (sshd:auth): errore interno del modulo (retval = PAM _ SYSTEM _ ERR (4), user = 'CORP\ user')

Soluzione alternativa

Per risolvere questo problema, è necessario commentare o rimuovere una direttiva dal file di configurazione del modulo () utilizzando la procedura seguente. PAM /etc/security/pam_winbind.conf

  1. Apri il file /etc/security/pam_winbind.conf in un editor di testo.

    sudo vim /etc/security/pam_winbind.conf

  2. Commenta o rimuovi la seguente direttiva: krb5_auth = yes.

    [global]

cached_login = yes
krb5_ccache_type = FILE
#krb5_auth = yes

  3. Arresta il servizio Winbind, quindi riavvialo.

    service winbind stop or systemctl stop winbind
net cache flush 
service winbind start or systemctl start winbind