jupyter服务登录异常

jupyter服务登录异常

背景

周庆发搭建的jupyter服务登录异常，这个服务使用的pam认证的方式进行认证的。qingfa.zhou无法登录,jian.yang02可以登录。

排查过程

1. 查看认证日志secure，可以看到auth认证已经通过，但是account的认证没有通过。

jian.yang02通过日志
Dec 30 17:25:35 jupyter1 python: pam_sss(login:auth): authentication success; logname= uid=30081 euid=30081 tty= ruser= rhost= user=jian.yang02
qinfa.zhou拒绝日志
Dec 30 17:35:01 jupyter1 python: pam_sss(login:auth): authentication success; logname= uid=30081 euid=30081 tty= ruser= rhost= user=qingfa.zhou
Dec 30 17:35:01 jupyter1 python: pam_sss(login:account): Access denied for user qingfa.zhou: 6 (Permission denied)

2. 查看sssd的日志，发现qingfa.zhou被拒绝掉了

jian.yang02通过的日志
cat sssd_wormpex.com.log
(Mon Dec 30 17:36:55 2019) [sssd[be[wormpex.com]]] [ipa_hbac_evaluate_rules] (0x0080): Access granted by HBAC rule [hbac_ops]
qingfa.zhou的拒绝日志
(Mon Dec 30 17:35:01 2019) [sssd[be[wormpex.com]]] [ipa_hbac_evaluate_rules] (0x0080): Access denied by HBAC rules

3. 定位问题：应该是freeipa的策略进行拒绝的。
4. 分析jian.yang02和qingfa.zhou的策略异常，jian.yang02在组ops内，ops组的策略是可以登录任何服务和任何主机。而qingfa.zhou是data_platform组，data_platform（用户组）组的权限是可以登录data_platform（主机组）中的机器（注意：这里用户组和主机组的名称一样）和指定的一些服务。

解决问题

将data_platform（用户组）的权限设置为可以登录任何服务。解决

问题

问题：

• 为什么权限设置为可以登录任何服务可以解决？
  pam是应用级别的认证。而jupyter使用pam的认证的应用。freeipa中有对认证的应用权限限制。将权限修改为任何服务后，当收到jupyter这个服务的请求后就会放行。

• 为什么不指定jupyter服务放行，而放行全部?
  jupyter这个服务在freeipa中无法找到，因为jupyter没有向freeipa注册。而且公司对freeipa中的服务的认证没有运维和管理。方便起见直接放行全部