Ldap使用者無法登陸作業系統

我的機器的作業系統是redhat6.8，ip為：172.10.54.19 遠端有一台ldap服務，在這台機器上使用authconfig-tui命令配置ldap客戶端，

1 . 使用id命令，發現可以正常的找到ldap使用者 jiang

2 .使用root使用者su jiang 也能正常切換到jiang使用者

3. 使用ssh [email protected] 時，

報錯：permission denied, please try again.

4.系統中有個非ldap使用者，非root使用者，是作業系統的普通使用者xiao

使用ssh [email protected] 輸如密碼：正常登陸

4.在機器上，當普通使用者xiao使用：su jiang，輸入密碼：********

報錯：su:incorrect password 可以確保的是密碼是正確的。

分析問題：作業系統使用者可以正常ssh登陸，而ldap使用者不能正常登陸，

1. 有可能是ssh的配置問題，ssh配置檔案位置 /etc/ssh/sshd_config

2.ldap的問題，那就涉及到pam元件，pam的配置檔案在/etc/pam.d/system-auth

解決問題：1. 首先檢視/etc/ssh/sshd_config ,引數： passwordauthentication yes | usepam yes 這2個引數配置都是正確的，切無其他限制使用者的引數。

2.網上說新增alllowuser jiang，嘗試了一次，重啟sshd服務，發現問題依然存在

3.檢查pam元件，

a.命令：rpm -qa | grep nss-pam

b.返回資訊：nss-pam-ldapd-0.7.5-32.el6.x86_64（redhat是需要這個進行ldap的認證，所以必需要安裝）

4.檢查pam的配置檔案 system-auth

.....

auth sufficient pam_sss.so use_first_pas

....

account [default=bad success=ok user_unknown=ignore] pam_sss.so

發現系統的auth,account,password,session都只有pam_sss.so，這個是作業系統的認證，缺少ldap級別的認證，加上：auth sufficient pam_ldap.so use_first_pas這樣的配置，問題解決。這是進行ldap認證，沒有這一行，

同理後面的account,password,session也要加上pam_ldap.so，從而保證ldap使用者和作業系統使用者使用上具有同樣的許可權和感知。

account,password,session加上pam_ldap.so的相關配置

account [default=bad success=ok user_unknown=ignore] pam_ldap.so

password sufficient pam_ldap.so use_authtok

session optional pam_ldap.so

結論： 1. auth sufficient pam_sss.so use_first_pas 是作業系統的使用者這一層的認證，所以作業系統使用者xiao使用者可以ssh登陸，

2. 而缺少auth sufficient pam_ldap.so use_first_pas ，也就缺少了ldap層的使用者認證。jiang(ldap使用者)也就未進行ldap認證，可以理解為輸入的密碼沒有傳送到ldap服務端，作業系統接受不到來自ldap服務端有關這個使用者的認證資訊，所以認證不通過。

3. 而root具有超級許可權，所以可以不用認證，從而直接切換到任意的使用者。

4.redhat7 版本，以及redhat 6.6版本，當使用authconfig-tui的時候，是可以將以上的資訊自動寫入到對應的配置檔案的。

Ldap使用者無法登陸作業系統

使用者以sysdba許可權無法登陸

linux 使用者無法登陸或者忘記密碼

mysql 新建使用者無法登陸的問題

Ldap使用者無法登陸作業系統

使用者以sysdba許可權無法登陸

linux 使用者無法登陸或者忘記密碼

mysql 新建使用者無法登陸的問題

相關推薦