B.3. 身份管理客户端
这部分论述了 Red Hat Enterprise Linux 中 IdM 的常见客户端问题。
其他资源:
- 要验证您的
/etc/sssd.conf
文件,请参阅 系统级身份验证指南 中的 SSSD 配置 验证。
B.3.1. 使用外部 DNS 时,客户端无法解决反向查找
外部 DNS 服务器为 IdM 服务器返回错误的主机名。以下与 IdM 服务器相关的错误会出现在 Kerberos 数据库中:
Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: NEEDED_PREAUTH: admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM, Additional pre-authentication required Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: ISSUE: authtime 1309425108, etypes {rep=18 tkt=18 ses=18}, admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM Jun 30 11:11:49 server1 krb5kdc[1279](info): TGS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: UNKNOWN_SERVER: authtime 0, admin EXAMPLE COM for HTTP/server1.wrong.example.com@EXAMPLE.COM, Server not found in Kerberos database
这意味着:
外部 DNS 名称服务器返回 IdM 服务器的主机名,或者返回 no 答案。
解决此问题:
- 验证您的 DNS 配置,并确保 IdM 使用的 DNS 域已正确委派。详情请查看 第 2.1.5 节 “主机名和 DNS 配置”。
- 验证您的反向(PTR)DNS 记录设置。详情请查看 第 33 章 管理 DNS。
B.3.2. 客户端未添加到 DNS 区域
在运行
ipa-client-install
工具时,nsupdate
工具无法将客户端添加到 DNS 区。
这意味着:
DNS 配置不正确。
解决此问题:
- 验证从父区域到 IdM 的 DNS 委派的配置。详情请查看 第 2.1.5 节 “主机名和 DNS 配置”。
- 确保 IdM 区域中允许动态更新。详情请查看 第 33.5.1 节 “启用动态 DNS 更新”。
有关在 IdM 中管理 DNS 的详情,请参考 第 33.7 节 “管理反向 DNS 区域”。有关在 Red Hat Enterprise Linux 中管理 DNS 的详情,请参考 《网络指南》 中的编辑区域文件。
B.3.3. 客户端连接问题
用户无法登录计算机。尝试访问用户和组信息(如使用 lsblk passwd admin 命令)失败。
这意味着:
客户端身份验证问题通常表示系统安全服务守护进程(SSSD)服务有问题。
解决此问题:
检查
/var/log/sssd/
目录中的 SSSD 日志。目录包含 DNS 域的日志文件,如 sssd_example.com.log
。
如果日志没有包含足够信息,请提高日志级别:
- 在
/etc/sssd/sssd.conf
文件中,查找[domain/example.com]
部分。调整debug_level
选项,以在日志中记录更多信息。debug_level = 9
- 重启
sssd
服务。# systemctl start sssd
- 再次检查
sssd_example.com.log
。文件现在包含更多错误消息。