accesso macOS Sierra SSH Active Directory non funzionante

Naviga le tue risposte
3

Ho un problema davvero strano con il mio macOS Sierra Server. È connesso al server Active Directory e ha accesso limitato alla finestra di accesso solo per poche persone. Questo funziona senza alcun problema. (In realtà solo a questi utenti è consentito accedere su Mac Server con le proprie credenziali di dominio)

Ora ho attivato SSH perché ho bisogno di questo per i repository GIT. Ho dato ai diritti di accesso degli utenti del dominio sull'uso di ssh ma ottengo sempre "Autorizzazione negata" quando provo a connettermi. Se utilizzo un account locale, funziona.

Nei log posso solo trovare:

com.openssh.sshd.... Service exited with abnormal status code 255
com.openssh.sshd.... Service exited with abnormal status code 1

Hai idea di cosa stia andando storto qui?

    
posta Bene 29.11.2016 - 13:41
fonte

2 risposte

1

La tua domanda è difficile da rispondere perché richiederebbe maggiori dettagli, i dettagli di configurazione di AD e OS X oltre alle impostazioni di Criteri di gruppo.

In un nuovo ambiente Active Directory con alcuni client OS X uniti e un server OS X, la configurazione funziona come previsto.

Dopo aver creato un gruppo di sicurezza globale SSH-OSXUsers e aggiunto alcuni utenti AD arbitrari, è necessario aggiungere questo gruppo di rete in macOS 'Sharing PrefPane > Login remoto > Solo questi utenti > + > Gruppi di rete > SSH-OSXUsers (o nelle rispettive impostazioni in Server.app).

Per connetterti a questo server ti consiglio di usare ssh user@hostname o ssh user@fqdn . Con un record PTR corretto per il server OS X nell'albero DNS inverso, dovrebbe funzionare anche con l'IP.

Collegandosi con un utente del gruppo SSH-OSXUsers che non ha mai effettuato l'accesso all'host del server, si otterrà l'errore Impossibile chdir nella directory home / Users / domainsshuser: Nessun file o directory perché manca la cartella home dell'utente, ma puoi eseguire i comandi.

Se ti connetti con un account di rete gestito o un utente di un account mobile con una cartella principale sull'host del server, questo messaggio non verrà visualizzato.

Un passo per ottenere un messaggio di errore ssh più dettagliato potrebbe cambiare il percorso di errore standard da / dev / null a /tmp/ssh.stderr nel daemon di avvio dopo aver disabilitato SIP.

    
risposta data 11.12.2016 - 04:25
fonte
0

Hai controllato se gli utenti di AD hanno una shell nominata? Senza una shell gli utenti non possono mai ssh nel mac.

Usando dscl puoi leggere 'UserShell'. Questo non è definito in AD e normalmente mappato su / bin / bash.

Per gli account locali il comando è dscl . list /Users UserShell , per AD devi usare qualcosa come questo dscl . list /Active\ Directory/domain/All\ Domains/Users UserShell ma non ho AD disponibile per controllare la mia sintassi.

Dovresti ottenere un elenco completo di tutti gli utenti con questo comando ma non riesco a controllare dscl localhost list /Search/Users UserShell

Se la shell non è definita per gli utenti di Active Directory, correggila. Nella GUI: Directory Utility - Active Directory, Advanced - User Experience in cli: dsconfigad (il comando dsconfigad -show può mostrare l'impostazione corrente)

Modifica: e controlla l'accesso di gruppo a ssh (predefinito solo per utenti specifici) in server.app.

    
risposta data 07.12.2016 - 23:23
fonte

Leggi altre domande sui tag

Come impedire alle app iOS 10 di "reimpostare" quando attivate dopo essere state inserite in background? Come fermare le foto scattate con le note salvate nella libreria di foto?