macOS El inicio de sesión de Sierra SSH Active Directory no funciona

Navega tus respuestas
3

Tengo un problema realmente extraño con mi MacOS Sierra Server. Está conectado al servidor de Active Directory y el acceso limitado a la ventana de inicio de sesión solo para algunas personas. Esto está funcionando sin ningún problema. (Realmente solo estos usuarios pueden iniciar sesión en el servidor mac con sus credenciales de dominio)

Ahora activé SSH porque necesito esto para los repositorios GIT. Le di derechos de acceso de usuario de dominio al usar ssh pero siempre obtengo "Permiso denegado" cuando intento conectarme. Si utilizo una cuenta local, funciona.

En los registros que solo puedo encontrar:

  

com.openssh.sshd .... El servicio se cerró con un código de estado anormal 255
  com.openssh.sshd .... El servicio se cerró con el código de estado anormal 1

¿Tienes alguna idea de lo que está pasando aquí?

    
pregunta Bene 29.11.2016 - 13:41

2 respuestas

1

Su pregunta es difícil de responder porque necesitaría más detalles, detalles de configuración de AD y OS X así como configuraciones de la Política de grupo.

En un nuevo entorno de Active Directory con algunos clientes OS X unidos y un servidor OS X, la configuración funciona como se esperaba.

Después de crear un grupo de seguridad global SSH-OSXUsers y agregar algunos usuarios de AD arbitrarios, uno tiene que agregar este grupo de red en el PrefPane de Compartir de macOS > Inicio de sesión remoto > Solo estos usuarios > + > Grupos de red > SSH-OSXUsers (o en las configuraciones respectivas en Server.app).

Para conectarme a este servidor, recomiendo usar ssh user@hostname o ssh user@fqdn . Con un registro PTR adecuado para el servidor OS X en el árbol de DNS inverso, también debería funcionar con la IP.

Al conectarse con un usuario del grupo SSH-OSXUsers que nunca inició sesión en el servidor host, recibirá el error No se pudo enviar al directorio principal / Users / domainsshuser: no existe tal archivo o directorio porque falta la carpeta de inicio del usuario, pero puede ejecutar comandos.

Si se conecta con una cuenta de red administrada o un usuario de cuenta móvil con una carpeta de inicio en el servidor host, no verá este mensaje.

Un paso para obtener un mensaje de error ssh más detallado puede ser cambiar la ruta de error estándar de / dev / null a /tmp/ssh.stderr en el daemon de inicio después de deshabilitar SIP.

    
respondido por el klanomath 11.12.2016 - 04:25
0

¿Ha comprobado si los usuarios de AD tienen un shell designado? Sin un shell, los usuarios nunca pueden ssh en el mac.

Usando dscl puedes leer el 'UserShell'. Eso no está definido en AD y normalmente se asigna a / bin / bash.

Para las cuentas locales, el comando es dscl . list /Users UserShell , para AD debes usar algo como este dscl . list /Active\ Directory/domain/All\ Domains/Users UserShell pero no tengo AD disponible para verificar mi sintaxis.

Debería obtener una lista completa de todos los usuarios con este comando, pero no puedo verificar dscl localhost list /Search/Users UserShell

Si el shell no está definido para usuarios de AD, arregle esto. En GUI: Directory Utility - Active Directory, Advanced - User Experience en cli: dsconfigad (el comando dsconfigad -show puede mostrar la configuración actual)

Edite: y verifique el acceso de grupo a ssh (predeterminado solo para usuarios específicos) en server.app.

    
respondido por el Maurits 07.12.2016 - 23:23

Lea otras preguntas en las etiquetas

¿Cómo evitar que las fotos tomadas en Notes se guarden en la biblioteca de fotos? Con enlaces duros, ¿importa cuál es cuál?