LINUX.ORG.RU
ФорумAdmin

PBIS PAM auth не работает

 , , ,


0

1

Всем привет, пару дней назад поставил pbis для возможности доменной аутентификации. domainjoin прошел отлично, без проблем, данные из домена подтягиваются тоже отлично. Единственная проблема - не могу зайти на linux сервер используя ssh, su под доменного пользователя так же не работает.

В обоих случаях - сообщение о неверном пароле, хотя пароль 100% верный.

Перерыл много форумов, нигде не нашел решения для моего случая. Перепробовал много вариантов.

Моя OS - Red Hat 6.

Все мои подозрения падают на - PAM. В логах, сообщения такого плана:
... myserver1 sudo: pam_unix(sudo:auth): auth could not identify password for [MYDOMAIN\user] ...
myserver1 sshd[14241]: error: PAM: Authentication failure for MYDOMAIN\\user from host1 ...
myserver1 su: pam_unix(su:auth): authentication failure; logname=root uid=5555 euid=0 tty=pts/0 ruser=MYDOMAIN\user rhost= user=root ...

Буду признателен любой помощи!



Последнее исправление: the1mc (всего исправлений: 1)
Не могу обновить Debian
$DISPLAY -> vnc server на headless debian

Не знаю, что такое pbis, но если локально войти удается, а ssh'нуться или su'чнуться — нет, а в логах ругань PAM'а, то имеет смысл посмотреть, чем /etc/pam.d/login отличается от /etc/pam.d/sshd и /etc/pam.d/su.

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

Спасибо за ответ. PowerBroker Identity Service (бывший likewise) позволяет использовать доменную аутентификацию на linux машинах.

К сожалению ,мои знания PAM малы, чтобы понять в каком направлении двигаться. Вижу, что pam.d/login использует system-auth для auth, как и pam.d/su, но вот pam.d/sshd использует password-auth. 

[root@myserver1 pam.d]# cat /etc/pam.d/login
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
-session   optional     pam_ck_connector.so

[root@myserver1 pam.d]# cat /etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_sepermit.so
auth       include      password-auth
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    optional     pam_keyinit.so force revoke
session    include      password-auth

[root@myserver1 pam.d]# cat /etc/pam.d/su
#%PAM-1.0
auth            sufficient      pam_rootok.so
# Uncomment the following line to implicitly trust users in the "wheel" group.
#auth           sufficient      pam_wheel.so trust use_uid
# Uncomment the following line to require a user to be in the "wheel" group.
#auth           required        pam_wheel.so use_uid
auth            include         system-auth
account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
account         include         system-auth
password        include         system-auth
session         include         system-auth
session         optional        pam_xauth.so
the1mc
() автор топика
Ответ на: комментарий от dexpl

На данный момент, не вижу никаких упоминаний. В интернете, примеры для pbis, которые я находил, насколько помню, так же не содержали каких-то других модулей. Единственное, есть модуль pam-lsass.so, который может быть связан с pbis, но никаких подтверждений, что всё из-за его отсутствия не работает, не нашел.

Вот содержимое system-auth: 

[root@myserver1 pam.d]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        required      pam_deny.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

the1mc
() автор топика
Ответ на: комментарий от anonymous

sorry for the late reply. Unfortunatelly,no.

Still try to figure it out.

I am thinking about using ldap or bind instead of pbis for domain authentication.

the1mc
() автор топика
28 мая 2015 г.

Такое происходит, когда скелет домашней папки не создан.

pbis. Пока вы не зайдёте через окно входа, чтобы создалась структура папок для этого пользоватля, вы не сможете под ним подключится по ssh.

Обнаружено экспериментальным путём.

Pro
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Не могу обновить Debian
Admin
$DISPLAY -> vnc server на headless debian