Аспро: ЛайтШоп [тема: [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD.] http://proxmox.su Новое в теме [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Tue, 28 Apr 2026 23:45:20 +0300 [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Это произошло, потому что, похоже, в какой-то момент произошел переход к контейнерам с ограниченными правами по умолчанию, что вызывает проблемы с отображением uid/gid, поскольку sssd использует очень широкий диапазон чисел.
10.10.2019 19:37:00, starkruzr.]]> http://proxmox.su/forum/messages/forum63/message309717/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. http://proxmox.su/forum/messages/forum63/message309717/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. Thu, 10 Oct 2019 19:37:00 +0300 Proxmox Виртуальная Среда [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Есть ли решение для тех, кто хочет остаться с не привилегированными контейнерами? UIDs в AD довольно высокие, как показывает getent passwd user.joe@example.com.

user.joe@example.com:*:1333222111:1333222111:Joe User:/home/user.joe@example.com:/bin/bash
27.05.2022 12:18:00, pkcz.]]> http://proxmox.su/forum/messages/forum63/message309716/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. http://proxmox.su/forum/messages/forum63/message309716/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. Fri, 27 May 2022 12:18:00 +0300 Proxmox Виртуальная Среда [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Это воспроизводится в 8.3.3. Я смог обойти проблему, настроив свой сервер следующим образом:

Код:
root@hyv-host:~# cat /etc/subuid
root:100000:1000000000
root@hyv-host:~# cat /etc/subgid
root:100000:1000000000
root@hyv-host:~# cat /etc/pve/lxc/157.conf
....
lxc.idmap: u 0 100000 1000000000
lxc.idmap: g 0 100000 1000000000

Было много проб и ошибок, так что, думаю, я скопировал все изменения, которые сделал, с кучей ошибок, например: lxc 20250316003319.912 ERROR    idmap_utils - ../src/lxc/idmap_utils.c:lxc_map_ids:245 - newuidmap failed to write mapping "newuidmap: subuid overflow detected.": newuidmap

РЕДАКТИРОВКА 2025-04-19: В зависимости от диапазона отображения UID <-> RID, используемого SSSD для вашего домена, эти числа могут быть недостаточными и могут привести к исчерпанию UID/GID в контейнере – возможно, потребуется увеличить верхнее значение (во всех трех файлах) по мере необходимости.
16.03.2025 01:47:00, computergeek125.]]> http://proxmox.su/forum/messages/forum63/message309715/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. http://proxmox.su/forum/messages/forum63/message309715/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. Sun, 16 Mar 2025 01:47:00 +0300 Proxmox Виртуальная Среда [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. [РЕШЕНО]Не могу войти в контейнеры lxc с учетными данными AD после подключения к AD. Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Кажется, где-то во время релиза 5.4, думаю, я начал сталкиваться с такой проблемой: после подключения контейнеров к Active Directory через SSSD пользователи AD перестают иметь возможность входить в систему, ни в консоли, ни через SSH. Я надеялся, что обновление до 6.0-7 решит эту проблему, но, увы, не вышло. Странно, что в контейнерах, которые были подключены до возникновения этой проблемы, всё работает нормально. Я не могу понять, в чём может быть причина, и надеялся, что кто-то ещё использовал lxc-контейнеры, подключенные к службам каталогов через SSSD и сталкивался с подобными проблемами.

Вот что я получаю из /var/log/auth.log:

```
Oct  7 04:41:43 TestMe login[396]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=jtd
Oct  7 04:41:43 TestMe login[396]: pam_sss(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=jtd
Oct  7 04:41:43 TestMe login[396]: pam_sss(login:auth): received for user jtd: 4 (System error)
Oct  7 04:41:47 TestMe login[396]: FAILED LOGIN (1) on '/dev/tty1' FOR 'jtd', Authentication failure
```

А вот что я получаю из /var/log/sssd/sssd_RTECH.RTI.log после поднятия уровня отладки в sssd.conf:

```
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [dp_pam_handler] (0x0100): Got request with the following data
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): command: SSS_PAM_AUTHENTICATE
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): domain: RTECH.RTI
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): user: jtd@rtech.rti
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): service: login
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): tty: /dev/tty1
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): ruser:
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): rhost:
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): authtok type: 1
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): newauthtok type: 0
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): priv: 1
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): cli_pid: 396
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [pam_print_data] (0x0100): logon name: not set
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_send] (0x0100): Home directory for user [jtd@rtech.rti] not known.
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [fo_resolve_service_send] (0x0100): Trying to resolve service 'AD'
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [ad_resolve_callback] (0x0100): Constructed uri 'ldap://galactica.rtech.rti'
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [ad_resolve_callback] (0x0100): Constructed GC uri 'ldap://galactica.rtech.rti'
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [parse_krb5_child_response] (0x0020): message too short.
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_done] (0x0040): The krb5_child process returned an error. Please inspect the krb5_child.log file or the journal for more information
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_done] (0x0040): Could not parse child response [22]: Invalid argument
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [krb5_auth_queue_done] (0x0040): krb5_auth_recv failed with: 22
(Mon Oct  7 04:41:43 2019) [sssd[be[RTECH.RTI]]] [child_sig_handler] (0x0020): child [416] failed with status [255].
(Mon Oct  7 04:53:22 2019) [sssd[be[RTECH.RTI]]] [child_sig_handler] (0x0100): child [513] finished successfully. Not super helpful, I know.
```
07.10.2019 07:20:00, starkruzr.]]> http://proxmox.su/forum/messages/forum63/message309714/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. http://proxmox.su/forum/messages/forum63/message309714/75629-resheno_ne-mogu-voyti-v-konteynery-lxc-s-uchetnymi-dannymi-ad-posle-podklyucheniya-k-ad. Mon, 07 Oct 2019 07:20:00 +0300 Proxmox Виртуальная Среда