Tag: active directory
与cron的pam / ad问题
/etc/crontab中属于非本地用户的作业现在失败。 这对我们来说有点问题: May 26 13:05:01 machineXYZ CRON[26927]: pam_sss(cron:account): \ Access denied for user abcdef: 6 (Permission denied) 还有其他人看到这个吗?
编辑/ etc / sudoers以允许Winbind Group成员仅向一个本地用户sudo
我有多个需要连接到Active Directory进行用户管理的Ubuntu Linux主机(不幸的是,实际的LDAP服务器不是这里的选项……)并且已配置Winbind来处理身份validation,我的%sudoers组条目工作正常: ## Allow AD members of the service group restricted user access to that account %sudoers ALL=(ALL:ALL) NOPASSWD:ALL 我在ssh配置中允许密码validation,并在帐户的sudoers文件中添加了以下条目: %service ALL=(service:service) NOPASSWD:ALL 即使sudoers组和service组在AD服务器上的目录树中处于同一级别,这甚至都找不到该组。 我这样做的时候: %domain.local\\service ALL=(ALL:ALL) NOPASSWD:ALL … service组的成员能够登录并拥有完整的sudo权限,包括root,这是不可接受的,并且已经被sudoers组和条目覆盖。 或者当我这样做时: %domain.local\\service ALL=(service:service) NOPASSWD:ALL …成员无法向任何用户sudo。 对于服务用户,这里是服务用户的/ etc / passwd条目: service:x:1001:16777230::/opt/service:/bin/bash 根据Sudoers Man Page,这最后一个条目应该可行,但由于某种原因它不会。 此外, %service还应该涵盖本地和AD提供的成员资格,但似乎没有。 当我创建此用户时,因为目录服务器中已有一个名为service的组,这里是我创建service用户帐户的方式: useradd -d /opt/service -g service service 以下是该组成员的sudo -l输出: […]
PowerBroker(同样打开)+ Ubuntu 13.04 – > 13.10升级
我刚刚将Ubuntu从13.04升级到13.10,现在我无法登录到Active Directory; 我的系统使用PowerBroker身份服务 (PBIS)进行集成,以前称为同样开放。 到目前为止,我已经确定了以下症状: 我可以通过ssh使用我的凭据登录。 尝试通过登录屏幕登录我的帐户时,屏幕变黑。 我已经尝试离开域,清除PBIS,并重新安装最新版本的PBIS。 我一直在尝试我在这里找到的故障排除部分,但我没有取得任何成功。 auth.log的相关部分 Oct 22 09:30:26 mypc lightdm: pam_succeed_if(lightdm:auth): requirement “user ingroup nopasswdlogin” not met by user “myusername” Oct 22 09:30:29 mypc lightdm: pam_unix(lightdm-greeter:session): session closed for user lightdm Oct 22 09:30:29 mypc lightdm: pam_unix(lightdm:session): session opened for user myusername by (uid=0) Oct 22 09:30:29 mypc lightdm: pam_unix(lightdm:session): […]
Windows子系统Linux有哪些限制?
我去年玩过WSL,但当时它无法运行我想尝试的神经网络项目。 显然与它有一个过时的内核或类似的东西有关。 从那时起,WSL就有了很多更新。 在WSL上运行适用于Ubuntu的程序有什么限制? 它们基本相同吗? 是否有一些信息可以用来提前确定?
同样加入域的身份validation方法
我同样安装并加入了我的活动目录域。 我发现默认身份validation的工作原理有点不清楚。 我是否必须进行任何额外配置才能启用kerberos? 如果我这样做,那么默认的身份validation方法是什么?
基于服务器的应用程序的pam / ad问题
在16.04升级之后,我们遇到了一些基于社区答案(即锁屏,身份validation)解决的pam / ad问题。 我们现在有一个新的和关键的。 我们运行了很多RStudio Server实例。 但是我们现在被诸如此类的消息所锁定 May 24 16:10:10 serverXYZ rserver-pam[3632]: ERROR pam_acct_mgmt failed: \ Permission denied; LOGGED FROM: \ virtual int rstudio::core::system::PAM::login(const string&, const string&) \ /home/ubuntu/rstudio/src/cpp/core/system/Pam.cpp:196 这显然是应用程序,但随后应用程序已运行了几年,并使用此pam / ad设置进行了几次Ubuntu升级。 任何想法我可能需要添加到pam和/或sssd配置文件类似于 ad_gpo_map_interactive = +unity, +polkit-1 我们添加了一行? 编辑2016-05-27:根据Ian的建议,这里是pamtester输出: xyz@serverXYZ:~$ sudo pamtester –verbose rstudio someuser authenticate acct_mgmt pamtester: invoking pam_start(rstudio, someuser, …) pamtester: performing operation […]
如何让17.10服务器上的netplan与使用MAC地址预留的Windows Server DHCP服务器一起工作?
要在最近的Fedora和Arch上执行此操作,必须设置dhcp-client-identifier = hardware以使DHCP正常工作。 我怀疑17.10也是如此。 但是,Artful使用netplan和systemd-networkd。 对于后者,我可以设置[DHCP] ClientIdentifier=mac在/ etc / systemd / network /(接口名称).network中,它覆盖/run/systemd/network/10-netplan-(ifname).network。 我更喜欢在/etc/netplan/01-netcfg.yaml文件中设置它,或者在/ etc / netplan /中设置它。 然而,这些是如何解决上述问题的具体细节。 总体问题是如何使用netplan使用带有Ubuntu 17.10服务器的MAC预留的MS Windows Server 2012 DHCP服务器。 我可以请求重新配置DHCP服务器,如果它不会对其他客户端产生重大影响,或者可以按预留以某种方式完成。 (我已经使用了标签windows-server,但由于某些原因它不存在)
从命令行将AD域用户添加到sudoers
我正在设置一个Ubuntu 11.04服务器VM用作数据库服务器。 如果我们可以让人们使用Windows凭证登录,甚至可以使机器与我们在其他地方获得的当前AD驱动的安全性一起工作,这将使每个人的生活更轻松。 这个的第一站非常容易实现 – apt-get install likewise-open ,我几乎在做生意。 我遇到的问题是让我们的管理员进入sudoers组 – 我似乎无法得到任何东西。 我试过了: a) usermod -aG sudoers [username] b)将多种格式的用户名(DOMAIN \ user,user @ domain)添加到sudoers文件中。 似乎没有采取任何措施,我仍然被告知“DOMAIN \用户不在sudoers文件中。此事件将被报告。” 那么,如何将非本地用户添加到sudoers?
同样开放| 14.04 | 连接AD的其他简单方法?
我们使用许多具有活动目录成员资格的Linux服务器进行用户身份validation。 这是用同样打开的包进行的。 我们测试了ubuntu Server 14.04 LTS的beta版本。 一分钟后一切正常(安装,域名加入,导入注册表,编辑sudoers,完成)。 现在,从beta到production-release同样,open从存储库中删除。 是否有任何等效的简单方法进行AD域加入和(AD-)基于组的登录管理(无需手动安装和编辑samba,winbind,nsswitch,pam等的配置文件….? 非常感谢西尔维奥
