Авторизация в виртуальной машине через AD

Что в /etc/pam.d/login?

auth       optional   pam_faildelay.so  delay=3000000
auth [success=ok new_authtok_reqd=ok ignore=ignore user_unknown=bad default=die] pam_securetty.so
auth       requisite  pam_nologin.so
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session       required   pam_env.so readenv=1
session       required   pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth       optional   pam_group.so
session    required   pam_limits.so
session    optional   pam_lastlog.so
session    optional   pam_motd.so  motd=/run/motd.dynamic noupdate
session    optional   pam_motd.so
session    optional   pam_mail.so standard
@include common-account
@include common-session
@include common-password
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open

В /var/log/auth.log посмотрите, там может быть подсказка

Локальный вход:

Apr 17 15:25:41 ubuntu-host login[27012]: pam_krb5(login:auth): authentication failure; logname=USER uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
Apr 17 15:25:42 ubuntu-host login[27012]: pam_unix(login:auth): authentication failure; logname=USER uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=USER
Apr 17 15:25:42 ubuntu-host login[27012]: pam_winbind(login:auth): getting password (0x00000390)
Apr 17 15:25:42 ubuntu-host login[27012]: pam_winbind(login:auth): pam_get_item returned a password
Apr 17 15:25:42 ubuntu-host login[27012]: pam_winbind(login:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
Apr 17 15:25:47 ubuntu-host login[27012]: FAILED LOGIN (1) on '/dev/tty1' FOR 'USER', Authentication failure

Apr 17 15:27:32 ubuntu-host sshd[31022]: pam_krb5(sshd:auth): user USER authenticated as USER@DOMAIN.COM
Apr 17 15:27:32 ubuntu-host sshd[31022]: Accepted password for USER from 10.0.2.2 port 53364 ssh2
Apr 17 15:27:32 ubuntu-host sshd[31022]: pam_unix(sshd:session): session opened for user USER by (uid=0)
Apr 17 15:27:32 ubuntu-host nscd: nss_ldap: reconnecting to LDAP server...
Apr 17 15:27:32 ubuntu-host nscd: nss_ldap: reconnected to LDAP server ldap://dc.domain.com/ after 1 attempt

1. Выкинь самбу с винбиндом и настрой sssd

2. Чаще всего, забывают о pam_mkhomedir

При чём тут pam_mkhomedir? Юзер один. Пароль один. Удалённо - пускает, локально - не пускает.

Думаю локальный вход не работает из-за ненастроенного nss и наличия в /etc/pam.d/login этой строчки

auth [success=ok new_authtok_reqd=ok ignore=ignore user_unknown=bad default=die] pam_securetty.so

getent passwd

aptitude search libnss | grep ^i

При чём тут pam_mkhomedi

потому что так понятно объясняешь. Я решил, что пользователь по ssh логинится, а на десктоп — нет. Такое бывает от отсутствия домашнего каталога

В pam-auth-update выставлены все галочки
create home

Что именно нужно из getent passwd? Для юзера там

USER:x:1000:27:USER,,,:/home/USER:/bin/bash

$ aptitude search libnss | grep ^i
i A libnss-ldap                     - NSS module for using LDAP as a naming serv
i   libnss-winbind                  - Samba nameservice integration plugins

@include common-auth
account    required     pam_nologin.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
@include common-session
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate
session    optional     pam_mail.so standard noenv # [1]
session    required     pam_limits.so
session    required     pam_env.so # [1]
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open
@include common-password

passwd: files ldap
group: files ldap
shadow: files ldap
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup: nis

не видать winbind ни в одном конфиге

В посте приведён /etc/pam.d/common-auth.

Хм.. думаю дело в модуле pam_nologin.so, который присутствует в /etc/pam.d/login в секции auth. В /etc/pam.d/sshd этого модуля в секции auth нету, вот и разница. Он как раз отвечает за логин non-root пользователей

pam_nologin is a PAM module that prevents users from logging into the system when /etc/nologin exists. The contents of the /etc/nologin file are displayed to the user. The pam_nologin module has no effect on the root user's ability to log in.

Return Values .... PAM_USER_UNKNOWN User not known to the underlying authentication module.

а nsswitch чо? уверен, что у тебя лдап нужного пользователя добывает?

Закомментировал. Не спасло.

1. Выкинь самбу с винбиндом и настрой sssd

Нафига, если и так работает?

2. Чаще всего, забывают о pam_mkhomedir

Инкрементирую

/etc/nsswitch.conf

sed s/ldap/winbind/g

Глянь на кишки postinstall у моей скриптоты

как видишь, не работает, плюс, у sssd есть масса полезных фич, которых в самбовинбинде нет

А не работает, так как у ТС нет понимания, что он хочет сделать. На хой-то куй он в одной солянке собрал мух, говно и авторизацию. И sssd ему вряд ли поможет.

его настраивать проще, на мой взгляд, потому должно помочь. Хотя если и впрямь нет понимания...

Не в облом, глянь кишки пакета по моей ссылке. Если человеку трудно сделать руками то, что я заскриптил - может, ему не надо в админство?!

Я сейчас в винде. Ты не мог бы свой постинсталл выложить отдельно, на pastebin тот же*

А я не занимаюсь админством. Уже много лет как. У меня конкретная задача - авторизация через AD. Чтобы и локально, и удалённо логин шёл через AD. Ну и желательно, но необязательно, чтобы при этом самба знала, что я это я, и давала мне сетевые шары.

Так-то я тоже в венде. Если тебе именно скриптота нужна, то я покопаю в направлении. Но завтра. Кастани меня отдельно.

То есть 7zip у меня делает вид, что открывает его, но видит внутри только /usr/share/doc

У меня конкретная задача - авторизация через AD. Чтобы и локально, и удалённо логин шёл через AD. Ну и желательно, но необязательно, чтобы при этом самба знала, что я это я, и давала мне сетевые шары.

Чтобы сделать «что-то» надо знать «как». Если не знаешь - либо учиться, либо нанимать. Иных вариантов я не знаю. Говорят, что некоторые прокачанные начальники умудрялись заводить авторизацию в чём угодно силой служебной записки/приказа. При этом, оставляют за кадром тех, кто реально работал и тех, кто не вынес кретина в кресле и уволился.

Знаю. Я сам попробовал открыть на венде. Скачай на линуксы^Wубунты и открой там. Можешь даже ppa на тест подключить.

Завтра. Я не хочу сейчас логиниться на рабочую машину, у меня пятница, я в изменённом состоянии сознания.

Как толсто ты сказал «нажрался»...

Чтобы сделать «что-то» надо знать «как».

Шёл 21 век и рота красноармейцев.
Это такая сложная, требующая максимального интеллекта и высшего технического образования задача - авторизация через ldap? Я делал по убунтовому мануалу. У меня наполовину получилось. Да, меня несколько смущает, что функциональность ldap, kerberos и winbind частично перекрывается, как я понимаю, а у меня задействованы одновременно они все. Но я не хочу разбираться в кишках. Я хочу авторизоваться через AD, и больше ничего. А что такое kerberos и winbind, и как они относятся к виндовой инфраструктуре, нигде простыми словами, не для админов, не сказано.
То есть прямо вот сейчас меня всё устраивает, сабжевая машина - полигон для тестов, обкатки и прочего, но я хочу и на физический рабочий компьютер linux поставить. И я не хочу там тратить целый рабочий день, а то и не один, на настройку авторизации. У меня без того куча несделанной работы, и ещё большая куча работы, которую я хочу сделать, но мне не дают.

никогда не говори так - «с бубунтой»

Нажрался - это в говно. А я просто в изменённом состоянии сознания. Я откатал 35 км (четвёртая поездка за сезон), и сижу отмечаю это. Имею право, вот.

Ёжики размножаются в тишине и без посторонних глаз. В том числе, на сиденьях офицеров вермахта.

BTW, я обозначил, что у тебя лишнее. Тебе нужны модули кербероса и winbind. Выкинь к Айсману всё остальное - это не твой случай.

я не хочу разбираться в кишках. Я хочу авторизоваться через AD, и больше ничего.

Тогда изволь знать как. No exceptions.

я не хочу там тратить целый рабочий день, а то и не один, на настройку авторизации.

Обратись к системному администратору © же

Я откатал 35 км (четвёртая поездка за сезон), и сижу отмечаю это.

Тебе сколько лет и насколько пересечённая местность была?

Имею право, вот.

Да хоть лево, тут я не спорю.

Да, забыл обосрать:

Это такая сложная, требующая максимального интеллекта и высшего технического образования задача - авторизация через ldap?

Так через что ты авторизовываться и аутентифицироваться собрался? Я предлагаю Kerberos+Winbind. Эту связку даже я смог осилить.

Ты здесь раскидал пальцев на целую гоп-группировку, но так и не ответил на простой вопрос. Почему локальная и удалённая авторизация работают по-разному, и как добиться их одинаковой работы?

Это два вопроса.

Про нумлок: сколько времени в итоге у тебя заняли поиск и локализация проблемы?