LINUX.ORG.RU
решено ФорумAdmin

Не зайти под доменной учеткой

 , ,


0

1

Здравствуйте.

Есть Ubuntu server 16.04.7 LTS, введена в домен Windows плюс настроена авторизация через Winbind для доменных пользователей. Однако зайти под доменной учеткой не получается.

Есть мысли, что дело в кривой настройке pam, потому что на этом же сервере висит корпоративная wiki, в которой доменная авторизация отлично работает без сбоев. Однако судя по гуглу, настройки pam прописаны верно.

Лог говорит следующее:

auth.log

PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory
PAM adding faulty module: pam_ck_connector.so
pam_krb5(sshd:auth): authentication failure; logname=user_aa@domain.ru uid=O euid=O tty=ssh ruser= rhost=10.2.44.15
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=O euid=O tty=ssh ruser= rhost=10.2.13.11
pam_winbind(sshd:auth): getting password (0x00000388)
pam_winbind(sshd:auth): pam_get_item returned a password
pam_winbind(sshd:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_LOGON_FAILURE, Error message was: Logon failure pam_winbind(sshd:auth): user 'DOMAUN.RU\user_aa' denied access (incorrect password or invalid membership)

Причем пароль точно вводится правильно, с членством тоже все должно быть хорошо.

Запрос

sudo wbinfo -u
sudo wbinfo -g

возвращает всех пользователей из диапазона, в том числе и того, под которым нельзя зайти.

/etc/pam.d/commom-auth

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

/etc/pam.d/commom-session

session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so
session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0077

Ну и еще winbind, хотя с ним думаю все хорошо.

/etc/nsswitcj.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind
gshadow:        files

hosts: dns mdns4_minimal [NotFoud=return] mdns4 files
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
files:          dns mdns4_minimal[NotFoud=return] mdns4

Прошу помощи умных людей, подсказать, где я чего не вижу и в какую сторону еще посмотреть, чтобы понять, в чем косяк и как это можно исправить.

Спасибо заранее.



Последнее исправление: Nychary (всего исправлений: 2)

А как так получилось, что в логах отработал модуль pam_krb5, а в конфиге pam_krb5 нет (там только winbind)? Что-то ты не то запостил (либо логи не те, либо конфиг не тот). Нужна актуальная инфа.

Отрабатывает ли команда «id <имя доменного пользователя>»?

Ну и порнографию с pam_ck_connector.so надо исправлять. Либо убрать его из PAM, либо доустановить пакет.

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Так вот же вроде строка в /etc/pam.d/commom-auth

auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE

И там как раз есть krb5_auth

И команда id <имя доменного пользователя> отрабатывает без проблем.

Nychary
() автор топика
Последнее исправление: Nychary (всего исправлений: 2)
Ответ на: комментарий от Nychary

Нет. Это pam_winbind.so с параметром krb5_auth. А у тебя по логам отработал pam_krb5.so. Это 2 совершенно разных PAM-модуля.

Покажи grep -r pam_krb5 /etc/pam.d

bigbit ★★★★★
()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от bigbit 
/etc/pam.d/common-password.20220520:password    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
/etc/pam.d/common-password:password     [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
/etc/pam.d/common-session.20220520:session      optional                        pam_krb5.so minimum_uid=1000
/etc/pam.d/common-account:account       required                        pam_krb5.so minimum_uid=1000
/etc/pam.d/common-auth:auth     [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
/etc/pam.d/common-account.20220520:account      required                        pam_krb5.so minimum_uid=1000
/etc/pam.d/common-session-noninteractive.pam-old:session        optional                        pam_krb5.so minimum_uid=1000
/etc/pam.d/common-auth.pam-old:auth     [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
/etc/pam.d/common-session:session       optional                        pam_krb5.so minimum_uid=1000
/etc/pam.d/common-session-noninteractive:session        optional                        pam_krb5.so minimum_uid=1000

Но вообще я только что вроде бы разобралась, хоть и частично. Не работает доменная авторизация по ssh, через консоль пускает четко. Поэтому сейчас разбираюсь с pam и sshd

Nychary
() автор топика
Ответ на: комментарий от Nychary

Ну вот видишь, в /etc/pam.d/common-auth у тебя кроме pam_winbind.so еще и pam_krb5.so. Если целевая конфигурация - winbind, то pam_krb5 не нужен.

bigbit ★★★★★
()
Последнее исправление: bigbit (всего исправлений: 2)
Ответ на: комментарий от bigbit

В PAM-стеке могут быть разные вещи (goto всякие), так что лучше бы ты весь /etc/pam.d/common-auth показал, а не часть его. И /etc/pam.d/sshd заодно.

bigbit ★★★★★
()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от bigbit

Это common-auth


auth    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=2 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first$

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

И sshd-config

# here are the per-package modules (the "Primary" block)
auth    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=2 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first$
# here's the fallback if no module succeeds
#auth   requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
#auth   required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

#auth    [success=2 default=ignore]      pam_unix.so nullok_secure
#auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_firs$
#auth    requisite                       pam_deny.so
#auth    required                        pam_permit.so
Nychary
() автор топика
Ответ на: комментарий от Nychary

Мда… Видно кто-то долго на этом сервере мучил PAM.
Странно, что в /etc/pam.d/sshd ничего кроме стека auth нет.
Можно там оставить только следующее:

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

Но это только так, для порядка. Проблема не в этом.

Покажи еще /etc/security/pam_winbind.conf.

bigbit ★★★★★
()
Последнее исправление: bigbit (всего исправлений: 1)
Ответ на: комментарий от bigbit

По поводу PAM. Это настраивалось один раз по статье https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows

Так что все настройки брались оттуда. Но поправлю, Спасибо.

Хм, а вот этого файла нет.

Nychary
() автор топика
Ответ на: комментарий от Nychary

pam_krb5 и pam_winbind они зря одновременно в систему вкорячивают. Ставят pam_krb5, а настраивают winbind - красавцы!

Но проблем в конфигурации, которые бы вызывали данные ошибки в логах, я не вижу.

А в каком формате ты вводишь имя пользователя, когда логинишься по ssh? Поробуй просто имя пользователя без домена.

bigbit ★★★★★
()
Ответ на: комментарий от Nychary

Давай еще исправим вот эту ругань в логах:

PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory.

Удали из /etc/pam.d/common-session строчку:

session     optional      pam_ck_connector.so nox11

В статье сказано ее добавить, но тебе она не нужна, т.к. такого пакета у тебя не установлено.

И отмечай тему как решенную =)

bigbit ★★★★★
()
Последнее исправление: bigbit (всего исправлений: 1)
Admin