Аутентификация sssd Samba4 AD при первом входе.

0

1

Есть небольшая проблема с аутентификацией пользователей через SSSD в AD на Samba4. При входе нового пользователя с установленным чекбоксом «требовать смену пароля при следующем входе», получаю Access Denited. Если чекбокс снять, пользователь логинится без проблем. Если после удачного входа опять поставить чекбокс, выдается сообщение о необходимости смены пароля.

Т. е. проблема появляется исключительно при первом входе пользователя у которого установлена смена пароля. Гугление результата не дало. Обсуждают, когда совсем не пускает, а не только первый раз, как у меня.

Логи выложить могу, но, там ничего интересного нет)

Клиент mint/ubuntu. Сервер CentOS 7 SAMBA 4.9.4

Ссылка

←	dockerized mailserver — mailcow

Еще одна почтовая тема: exim4 и localdomains

→

покажи активный профиль sssd в /etc/auth-client-config/profile.d/ на клиентской машине

у меня таких проблем нет

BASH

install_SSSD() {
	. /etc/univention/ucr_master

	DEBIAN_FRONTEND=noninteractive apt-get -y  install sssd libnss-sss libpam-sss libsss-sudo 
	DEBIAN_FRONTEND=noninteractive apt-get -y  install auth-client-config 

	cp ./includes/configs/sss /etc/auth-client-config/profile.d/sss
	auth-client-config -a -p sss

	cp ./includes/configs/ucs_mkhomedir /usr/share/pam-configs/ucs_mkhomedir
	echo '*;*;*;Al0000-2400;audio,cdrom,dialout,floppy,plugdev,adm' >>/etc/security/group.conf
	cp ./includes/configs/local_groups /usr/share/pam-configs/local_groups

	DEBIAN_FRONTEND=noninteractive pam-auth-update --force

}

/etc/auth-client-config/profile.d/sss

[sss]
nss_passwd=   passwd:   compat sss
nss_group=    group:    compat sss
nss_shadow=   shadow:   compat
nss_netgroup= netgroup: nis
 
pam_auth=
        auth [success=3 default=ignore] pam_unix.so nullok_secure try_first_pass
        auth requisite pam_succeed_if.so uid >= 500 quiet
        auth [success=1 default=ignore] pam_sss.so use_first_pass
        auth requisite pam_deny.so
        auth required pam_permit.so
 
pam_account=
        account required pam_unix.so
        account sufficient pam_localuser.so
        account sufficient pam_succeed_if.so uid < 500 quiet
        account [default=bad success=ok user_unknown=ignore] pam_sss.so
        account required pam_permit.so
 
pam_password=
        password requisite pam_pwquality.so retry=3
        password sufficient pam_unix.so obscure sha512
        password sufficient pam_sss.so use_authtok
        password required pam_deny.so
 
pam_session=
        session required pam_mkhomedir.so skel=/etc/skel umask=0077
        session optional pam_keyinit.so revoke
        session required pam_limits.so
        session [success=1 default=ignore] pam_sss.so
        session required pam_unix.so

constin ★★★★
(20.02.19 12:56:46 MSK)
Последнее исправление: constin 20.02.19 12:59:19 MSK (всего исправлений: 2)

Ответ на: комментарий от constin 20.02.19 12:56:46 MSK

Нет такого у меня...

Я забыл указать, что у доменных учеток настроен UPN Suffix. Если указать FQDN. Проблем нет.

В чем цимес использования отдельного скрипта для настройки pam?

Ну и такой момент. Группы из security/group.conf у меня к доменным учеткам в DE не мапяться. polkit не дает. В консоли без проблем. Пытался решить, так и не получилось. На данный момент запускается скрипт через pam_exec.so и добавляет пользователей в /etc/group. У тебя работает?

AndrK189100 ★
(20.02.19 14:19:46 MSK) автор топика

Ответ на: комментарий от AndrK189100 20.02.19 14:19:46 MSK

Честно говоря, это не совсем моя область, чтобы что-то уверенно отвечать. Но мне кажется, что проблема на стороне клиента. Поэтому я показал свой sssd профиль, на котором у меня все работает.

а что в /etc/sssd/sssd.conf на клиенте?

В чем цимес использования отдельного скрипта для настройки pam?

Это просто кусок из моей автоматической настройки PXE клиента.

И еще там же можно дебагов понаврубать и она тебе выдаст в логах что-нибудь дельное.

constin ★★★★
(20.02.19 15:36:49 MSK)

Ответ на: комментарий от constin 20.02.19 15:36:49 MSK

В логах ничего особо нет. KRB запускает процесс смены пароля и завершается по таймауту.Подозреваю, что, где-то в недрах PAM процесс останавливается. Попробую скопипастить твой конфиг. Спасибо).

AndrK189100 ★
(20.02.19 15:52:55 MSK) автор топика

Ссылка

Ответ на: комментарий от constin 20.02.19 15:36:49 MSK

Выложи, плиз, еще ./includes/configs/ucs_mkhomedir ./includes/configs/local_groups

Интересно глянуть.

AndrK189100 ★
(20.02.19 15:55:25 MSK) автор топика

Ответ на: комментарий от AndrK189100 20.02.19 15:55:25 MSK

ucs_mkhomedir

Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel

local_groups


Name: activate /etc/security/group.conf
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
required pam_group.so use_first_pass

constin ★★★★
(20.02.19 17:10:05 MSK)
Последнее исправление: constin 20.02.19 17:11:39 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	dockerized mailserver — mailcow

Admin

Еще одна почтовая тема: exim4 и localdomains

→

Похожие темы