ubuntuusers.de

via DuckDuckGo

SSSD Cache speichert keine AD Passwörter in die ldb-Datenbank

Status: Ungelöst | Ubuntu-Version: Ubuntu 22.04 (Jammy Jellyfish)
Antworten |

mri

Anmeldungsdatum:
5. Juli 2023

Beiträge: 3
Zitieren
18. Juli 2024 11:22 (zuletzt bearbeitet: 23. Juli 2024 17:40)

Hallo

ich habe Ubuntu Maschinen, welche via Virtualbox virtualisiert sind, und bei denen partout kein Passwort Caching im SSSD funktioniert.

Diese Maschinen fungieren als Host,um sich via VPN auf Kundenmaschinen zu verbinden.

Wenn man sich via VPN auf die Kundenmaschinen aufgeschaltet hat, ändern sich durch das VPN die Routen und der SSSD kommt nicht mehr zu unserem internen AD.

Wenn jetzt der Ubuntu Bildschirmschoner greift, und der AD-User sich wieder anmelden muss, bekommt er eine Fehlermeldung, dass er sich nicht mehr anmelden kann.

Der Parameter "cache_credentials = True" ist in der /etc/sssd.conf gegeben. Das "offline_credentials_expiration" ist auf "0" gesetzt.

Wenn ich via ldbsearch -H /var/lib/sss/db/cache_domain....ldb schaue, sehe ich alle Attribute jedoch kein "cachedPassword".

Ich konnte das auch ohne VPN Verbindung nachstellen, in dem ich über den Hypervisor auf den Ubuntu Host gehe, das Netzwerkinterface deaktiviere, mich auslogge, und versuche wieder einzuloggen.

Er will also aus irgendeinem Grund die Passwörter nicht in die ldb Datenbank schreiben.

SELinux ist aus, Apparmor ist an

Meine SSSD.config:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
ad_domain = domain.lan
auto_private_groups = True
cache_credentials = True
default_shell = /bin/bash
dyndns_update = False
enumerate = True
fallback_homedir = /home/%u
id_provider = ad
krb5_realm = DOMAIN.LAN
krb5_store_password_if_offline = True
ldap_access_order = expire
ldap_account_expire_policy = ad
ldap_force_upper_case_realm = True
ldap_group_gid_number = gidNumber
ldap_group_name = sAMAccountName
ldap_group_object_class = group
ldap_id_mapping = False
ldap_user_fullname = displayName
ldap_user_gecos = displayName
ldap_user_home_directory = unixHomeDirectory
ldap_user_name = sAMAccountName
ldap_user_object_class = user
ldap_user_principal = userPrincipalName
ldap_user_shell = loginShell
override_homedir = /home/%u
realmd_tags = manages-system joined-with-adcli
use_fully_qualified_names = False

Hat dazu jemand eine Idee?

Moderiert von Berlin_1946:

Dieses Thema ist verschoben worden
Antworten |