+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

[РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD., Proxmox Виртуальная Среда

starkruzr

Guest

07.10.2019 07:20:00

Кажется, где-то во время релиза 5.4, думаю, я начал сталкиваться с такой проблемой: после подключения контейнеров к Active Directory через SSSD пользователи AD перестают иметь возможность входить в систему, ни в консоли, ни через SSH. Я надеялся, что обновление до 6.0-7 решит эту проблему, но, увы, не вышло. Странно, что в контейнерах, которые были подключены до возникновения этой проблемы, всё работает нормально. Я не могу понять, в чём может быть причина, и надеялся, что кто-то ещё использовал lxc-контейнеры, подключенные к службам каталогов через SSSD и сталкивался с подобными проблемами.

Вот что я получаю из /var/log/auth.log:

```
Oct 7 04:41:43 TestMe login[396]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=jtd
Oct 7 04:41:43 TestMe login[396]: pam_sss(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=jtd
Oct 7 04:41:43 TestMe login[396]: pam_sss(login:auth): received for user jtd: 4 (System error)
Oct 7 04:41:47 TestMe login[396]: FAILED LOGIN (1) on '/dev/tty1' FOR 'jtd', Authentication failure
```

А вот что я получаю из /var/log/sssd/sssd_RTECH.RTI.log после поднятия уровня отладки в sssd.conf:

```
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [dp_pam_handler] (0x0100): Got request with the following data
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): command: SSS_PAM_AUTHENTICATE
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): domain: RTECH.RTI
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): user: jtd@rtech.rti
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): service: login
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): tty: /dev/tty1
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): ruser:
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): rhost:
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): authtok type: 1
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): newauthtok type: 0
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): priv: 1
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): cli_pid: 396
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): logon name: not set
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_send] (0x0100): Home directory for user [jtd@rtech.rti] not known.
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [fo_resolve_service_send] (0x0100): Trying to resolve service 'AD'
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [ad_resolve_callback] (0x0100): Constructed uri 'ldap://galactica.rtech.rti'
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [ad_resolve_callback] (0x0100): Constructed GC uri 'ldap://galactica.rtech.rti'
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [parse_krb5_child_response] (0x0020): message too short.
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_done] (0x0040): The krb5_child process returned an error. Please inspect the krb5_child.log file or the journal for more information
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_done] (0x0040): Could not parse child response [22]: Invalid argument
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_queue_done] (0x0040): krb5_auth_recv failed with: 22
(Mon Oct 7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [child_sig_handler] (0x0020): child [416] failed with status [255].
(Mon Oct 7 04:53:22 2019) [sssd[be[RTECH.RTI]]] [child_sig_handler] (0x0100): child [513] finished successfully. Not super helpful, I know.
```

computergeek125

Guest

16.03.2025 01:47:00

Это воспроизводится в 8.3.3. Я смог обойти проблему, настроив свой сервер следующим образом:

Код:
root@hyv-host:~# cat /etc/subuid
root:100000:1000000000
root@hyv-host:~# cat /etc/subgid
root:100000:1000000000
root@hyv-host:~# cat /etc/pve/lxc/157.conf
....
lxc.idmap: u 0 100000 1000000000
lxc.idmap: g 0 100000 1000000000

Было много проб и ошибок, так что, думаю, я скопировал все изменения, которые сделал, с кучей ошибок, например: lxc 20250316003319.912 ERROR idmap_utils - ../src/lxc/idmap_utils.c:lxc_map_ids:245 - newuidmap failed to write mapping "newuidmap: subuid overflow detected.": newuidmap

РЕДАКТИРОВКА 2025-04-19: В зависимости от диапазона отображения UID <-> RID, используемого SSSD для вашего домена, эти числа могут быть недостаточными и могут привести к исчерпанию UID/GID в контейнере – возможно, потребуется увеличить верхнее значение (во всех трех файлах) по мере необходимости.

pkcz Guest	#3 0 27.05.2022 12:18:00 Есть ли решение для тех, кто хочет остаться с не привилегированными контейнерами? UIDs в AD довольно высокие, как показывает getent passwd user.joe@example.com. user.joe@example.com:*:1333222111:1333222111:Joe User:/home/user.joe@example.com:/bin/bash

starkruzr Guest	#4 0 10.10.2019 19:37:00 Это произошло, потому что, похоже, в какой-то момент произошел переход к контейнерам с ограниченными правами по умолчанию, что вызывает проблемы с отображением uid/gid, поскольку sssd использует очень широкий диапазон чисел.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры