Hallo
ich habe Ubuntu Maschinen, welche via Virtualbox virtualisiert sind, und bei denen partout kein Passwort Caching im SSSD funktioniert.
Diese Maschinen fungieren als Host,um sich via VPN auf Kundenmaschinen zu verbinden.
Wenn man sich via VPN auf die Kundenmaschinen aufgeschaltet hat, ändern sich durch das VPN die Routen und der SSSD kommt nicht mehr zu unserem internen AD.
Wenn jetzt der Ubuntu Bildschirmschoner greift, und der AD-User sich wieder anmelden muss, bekommt er eine Fehlermeldung, dass er sich nicht mehr anmelden kann.
Der Parameter "cache_credentials = True" ist in der /etc/sssd.conf gegeben. Das "offline_credentials_expiration" ist auf "0" gesetzt.
Wenn ich via ldbsearch -H /var/lib/sss/db/cache_domain....ldb schaue, sehe ich alle Attribute jedoch kein "cachedPassword".
Ich konnte das auch ohne VPN Verbindung nachstellen, in dem ich über den Hypervisor auf den Ubuntu Host gehe, das Netzwerkinterface deaktiviere, mich auslogge, und versuche wieder einzuloggen.
Er will also aus irgendeinem Grund die Passwörter nicht in die ldb Datenbank schreiben.
SELinux ist aus, Apparmor ist an
Meine SSSD.config:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | ad_domain = domain.lan auto_private_groups = True cache_credentials = True default_shell = /bin/bash dyndns_update = False enumerate = True fallback_homedir = /home/%u id_provider = ad krb5_realm = DOMAIN.LAN krb5_store_password_if_offline = True ldap_access_order = expire ldap_account_expire_policy = ad ldap_force_upper_case_realm = True ldap_group_gid_number = gidNumber ldap_group_name = sAMAccountName ldap_group_object_class = group ldap_id_mapping = False ldap_user_fullname = displayName ldap_user_gecos = displayName ldap_user_home_directory = unixHomeDirectory ldap_user_name = sAMAccountName ldap_user_object_class = user ldap_user_principal = userPrincipalName ldap_user_shell = loginShell override_homedir = /home/%u realmd_tags = manages-system joined-with-adcli use_fully_qualified_names = False |
Hat dazu jemand eine Idee?
Moderiert von Berlin_1946:
Dieses Thema ist verschoben worden