Не могу войти под доменным пользователем

0

2

Настраиваю интеграцию с доменом AD в Gentoo. Компьютер к домену присоединился, тесты проходят нормально (вижу локальных и доменных пользователей и группы) - даже Nautilus при переходе по адресу smb://доменный_сервер после «kinit пользователь@домен» всё показывает без дополнительных усилий. Но! С доменным пользователем зайти в систему не удаётся. В /var/log/messages это выглядит так:

Sep  6 16:01:46 PC login[18642]: pam_unix(login:auth): check pass; user unknown
Sep  6 16:01:46 PC login[18642]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= 
Sep  6 16:01:46 PC login[18642]: pam_winbind(login:auth): getting password (0x00000010)
Sep  6 16:01:46 PC login[18642]: pam_winbind(login:auth): pam_get_item returned a password
Sep  6 16:01:46 PC login[18642]: pam_winbind(login:auth): user 'user' granted access
Sep  6 16:01:46 PC login[18642]: pam_krb5(login:auth): user user authenticated as user@DOMAIN.RU
Sep  6 16:01:46 PC login[18642]: gkr-pam: error looking up user information
Sep  6 16:01:50 PC login[18642]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure

Странно в этом то, что в строчке «pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=» не хватает последней части: «user=user». Да и строчки «Sep 6 16:01:46 PC login[18642]: pam_unix(login:auth): check pass; user unknown», по-хорошему, быть не должно.

/etc/pam.d/system-auth выглядит так:

auth		sufficient	pam_unix.so try_first_pass broken_shadow
auth		sufficient	pam_winbind.so use_first_pass 
auth		sufficient	pam_krb5.so use_first_pass
auth		required	pam_env.so

account		required	pam_unix.so broken_shadow
account		sufficient	pam_localuser.so
account		[default=bad success=ok user_unknown=ignore]	pam_winbind.so cached_login
account		required	pam_permit.so

password	required	pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 
password	sufficient	pam_unix.so try_first_pass use_authtok nullok sha512 shadow 
password	optional	pam_permit.so
password	sufficient	pam_krb5.so
password	required	pam_deny.so

session		required	pam_limits.so  
session		optional	pam_mkhomedir.so
session		required	pam_unix.so

Что этой мерзкой пакости не нравится?!

Ссылка

←	proftpd не работает разделение VirtualHost + Limit

Sendmail не отправляет письма на один адрес

→

Есть мнение, что оно валится на required pam_unix.so

Ну и в NSS там все ок?

vasily_pupkin ★★★★★
(06.09.12 16:35:00 MSK)

Ответ на: комментарий от vasily_pupkin 06.09.12 16:35:00 MSK

У меня тоже есть мнение, что валится на pam_unix - но вот насчёт «required» не уверен. Во-первых, на другой машине (правда, там Fedora) всё отлично именно с такими параметрами, во-вторых - если «required» поменять на «sufficient», картина не меняется.

Про NSS не совсем понял - имеется в виду /etc/nsswitch.conf? Да, там везде, где надо, после «files» добавлено «winbind» - впрочем, полагаю, что это и из записей журнала видно (аутентификация по winbind проходит); или это не вполне связанные вещи?

Cyril ★★
(06.09.12 16:40:54 MSK) автор топика

Ответ на: комментарий от Cyril 06.09.12 16:40:54 MSK

По хорошему должны быть несвязанными :) В данном конкретном случае - хз.

Просто error looking up user information наталкивает на соображения. В getent passwd / getent group юзер есть же?

vasily_pupkin ★★★★★
(06.09.12 16:49:46 MSK)

Ответ на: комментарий от vasily_pupkin 06.09.12 16:49:46 MSK

Откуда? Я же не могу под ним войти! Не говоря уже о том, что это доменный пользователь и «getent passwd» его показывать и не должен, а «getent group» должен показывать только тогда, когда я его в локальные группы добавил.

Cyril ★★
(06.09.12 16:53:35 MSK) автор топика

Ссылка

«Всё страньше и страньше»... Первая строка журнала из примера исчезда, вторая приобрела правильный вид (то есть, в конце появилсь запись «user=user»), но в консоль всё равно не пускает - последняя строка осталась, но уже с «FOR'USER'» в середине. Изменилось только местоположение машины - из офиса она переместилась домой.

Ну ладно, пользователя она опознаёт теперь - осталось понять, почему всё-таки вместо «session opened for user» пролучаю «Authentication failure».

Cyril ★★
(06.09.12 22:40:33 MSK) автор топика

Ссылка

Век живи - век учись. В /etc/pam.d/system-login оказалась строчка «auth required pam_shells.so»; в /etc/samba/smb.conf не оказалось строчки «template shell = /какая-нибудь/оболочка»; pam_shells.so блокирует вход пользователей, если для них не задана оболочка. Привет.

Cyril ★★
(07.09.12 00:45:50 MSK) автор топика

Ответ на: комментарий от Cyril 07.09.12 00:45:50 MSK

Я в свое время допустил опечатку в данной строке «template shell = /какая-нибудь/оболочка»; трое суток доки читал с квадратными глазами и тестил разные варианты с этим pam, винбиндом, и самбой :) зато теперь на ввод машины в домен самбы уходит минут 5 максимум :)))

mag_box2
(10.09.12 20:38:51 MSK)