Доброго времени суток.
Вопрос у меня по маршрутизатору/межсетевому экрану Altell NEO, но там по факту vyatta, поэтому решил вопрос задать здесь (пока жду ответа от саппорта, они отвечают по месяцу). Пытаюсь настроить аутентификацию/авторизацию на устройстве по учетным записям из каталога Active Directory. На данный момент имею вот такую проблему (не обращайте внимание на адресное пространство):
2016-09-16 14:31:39 syslog auth notice 0 (pam_rsbac) could not authenticate user altadmin@guei.alt
2016-09-16 14:31:39 sshd auth err 0 error: PAM: User not known to the underlying authentication module for illegal user altadmin@guei.alt from 194.135.107.184
2016-09-16 14:31:39 sshd auth info 0 Failed keyboard-interactive/pam for invalid user altadmin@guei.alt from 194.135.107.184 port 50690 ssh2
2016-09-16 14:31:39 syslog authpr err 0 pam_tally2(sshd:auth): pam_get_uid; no such user
В справке указана необходимость использования определенных атрибутов:
При использовании AD (Active Directory) должны выполняться следующие условия:
─ В учетной записи пользователя должны присутствовать атрибуты uid (идентификатор пользователя), uidNumber (числовой идентификатор пользователя; рекомендуется использовать значения свыше 2000, для того чтобы избежать пересечения с идентификаторами системных пользователей), gidNumber (числовой идентификатор группы), homeDirectory;
─ В учетной записи группы (admin-group, op-group) должны присутствовать атрибуты posixGroup object class, gidNumber, memberUid (должен содержать список идентификаторов пользователей). ......................
Мне не ясно, какие все-таки атрибуты учетной записи следует использовать - стандартные или UNIX-атрибуты? В UNIX-атрибутах отсутствует uidNumber, но использование UNIX-атрибутов выглядит намного логичнее при использовании с vyatta.
Также есть сомнения по поводу pam_ldap.conf. Все изменения в систему должны вноситься с помощью команд Altell, а не с помощью команд linux, иначе они будут отброшены при следующей перезагрузке устройства. Так вот командами Altell все необходимые параметры узла я задал:
admin@Altell-NEO1# show system ldap-server
dn CN=altellsearch,OU=Users,OU=GUEI_Test,DC=guei,DC=alt
groupbasedn OU=Groups,OU=GUEI_Test,DC=guei,DC=alt
host sd.guei.alt
password Root123-
userbasedn OU=Users,OU=GUEI_Test,DC=guei,DC=alt
admin@Altell-NEO1# cat /etc/pam_ldap.conf
# generated by Ldap.pm, at 14:30:57 09/16/16
pam_login_attribute uid
pam_template_login_attribute uid
pam_filter objectclass=posixAccount
pam_admin_group_dn cn=altelladmin,OU=Groups,OU=GUEI_Test,DC=guei,DC=alt
pam_op_group_dn cn=altelloperator,OU=Groups,OU=GUEI_Test,DC=guei,DC=alt
pam_member_attribute memberUid
pam_user_base OU=Users,OU=GUEI_Test,DC=guei,DC=alt
pam_lookup_policy yes
pam_rsbac_uid 105