Проблема аутентификации SSH - WinBind - AD

0

0

Настраиваю аутентификацию на сервере через WinBind пользователей ActiveDirectory. На Samba нормально АД-пользователи логинятся, SSH "кричит" в логах -
Dec 1 11:36:19 linux02-test sshd[22237]: error: Could not get shadow information for mytest
Dec 1 11:36:19 linux02-test sshd[22237]: Failed password for MyDomain\\mytest from ***.***.***.*** port 1852 ssh2

[root@linux-test /]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_winbind.so use_first_pass
auth required pam_deny.so

account required pam_unix.so
account sufficient pam_succeed_if.so uid < 100 quiet
account sufficient pam_winbind.so use_first_pass
account required pam_permit.so

password required pam_cracklib.so retry=3 type=
password sufficient pam_unix.so nullok use_authtok md5 shadow
password sufficient pam_winbind.so use_first_pass
password required pam_deny.so

#session required pam_limits.so
session required pam_unix.so
session required pam_winbind.so use_first_pass
session required pam_mkhomedir.so

[root@linux-test /]# cat /etc/pam.d/samba
#%PAM-1.0
auth required pam_nologin.so
auth include system-auth
account include system-auth
session include system-auth
password include system-auth

[root@linux-test /]# cat /etc/pam.d/ssh
#%PAM-1.0
auth required pam_nologin.so
auth include system-auth
account include system-auth
session include system-auth
password include system-auth

Ссылка

←	boost::ublas поставить

Клонирование Linux

→

Вернее даже судя по всему, не проходит проверка пароля юзера. Подскажите в чем трабл, куда копать?

zemiel ★
(01.12.08 14:14:03 MSK) автор топика

Ответ на: комментарий от zemiel 01.12.08 14:14:03 MSK

В smb.conf winbind use default domain = yes попробуйте.

~~tux2002~~ ★
(01.12.08 14:43:26 MSK)

Ответ на: комментарий от tux2002 01.12.08 14:43:26 MSK

Вот конфиг:
workgroup = ***
server string = Winbind test v.s. MS AD
netbios name = winbind-test
security = ads
#auth methods = guest sam winbind
#allow trusted domains = no
encrypt passwords = yes
realm = ***
password server = *****.***
winbind uid = 10000-20000
winbind gid = 10000-20000
#winbind enum users = yes
#winbind enum groups = yes
#winbind cache time = 1800
winbind refresh tickets = yes
winbind offline logon = true
#case sensitive = yes
template homedir = /home/%U
winbind use default domain = yes
template shell = /bin/bash
printing = no
load printers = no
#domain master = yes
#local master = no
#domain logons = no
##hosts allow = *
#default_realm = ***
debuglevel = 3
[homes]
browseable = no
writable = yes

#[common]
path = /home/common
browseable = yes
writable = no
#writable = yes

НО в Самбе то аутентицикация проходит и пускает на ресурс.

zemiel ★
(01.12.08 14:51:10 MSK) автор топика

Ответ на: комментарий от tux2002 01.12.08 14:43:26 MSK

вот кусок лога на попытки залогиниться (под пользователем mytest22 и указанием домена тоже DOMAIN\mytest22):
Dec 1 14:16:57 linux-test sshd[23287]: Accepted password for root from 10.***.***.*** port 3082 ssh2
Dec 1 14:17:13 linux-test sshd[23315]: error: Could not get shadow information for mytest22
Dec 1 14:17:13 linux-test sshd[23315]: Failed password for mytest22 from 10.***.***.*** port 3084 ssh2
Dec 1 14:17:26 linux-test sshd[23317]: error: Could not get shadow information for mytest22
Dec 1 14:17:26 linux-test sshd[23317]: Failed password for DOMAIN\\mytest22 from 10.***.***.*** port 3085 ssh2

zemiel ★
(01.12.08 15:31:44 MSK) автор топика

Ссылка

Ответ на: комментарий от zemiel 01.12.08 14:51:10 MSK

/etc/nsswitch.conf:
..........
passwd:         files winbind
shadow:         files winbind
group:          files winbind
............


После этого должна работать команда
id administrator 
например
без домена. И в ssh просто имя пользователя, без домена.

~~tux2002~~ ★
(01.12.08 15:34:51 MSK)

Ответ на: комментарий от tux2002 01.12.08 15:34:51 MSK

/etc/nsswitch.conf - в порядке

[root@linux-test pam.d]# id mytest22
uid=10000(mytest22) gid=10004(domain users) groups=10004(domain users),10001(BUILTIN\users)

[root@linux-test pam.d]# ssh mytest22@localhost
mytest22@localhost's password:
Permission denied, please try again.
mytest22@localhost's password:
Permission denied, please try again.
mytest22@localhost's password:
Permission denied (publickey,password,keyboard-interactive).
[root@linux-test pam.d]#

zemiel ★
(01.12.08 15:45:47 MSK) автор топика

Ссылка

Ответ на: комментарий от tux2002 01.12.08 15:34:51 MSK

Та и судя по логу самбы - wb-DOMAIN.log, логин юзера нормально проверяется. затык на пароле :

[2008/12/01 14:46:36, 3] nsswitch/winbindd_async.c:winbindd_dual_lookupname(931)
[23383]: lookupname
DOMAIN\mytest22
[2008/12/01 14:46:36, 3] nsswitch/winbindd_rpc.c:msrpc_name_to_sid(256)
rpc: name_to_sid name=DOMAIN\mytest22
[2008/12/01 14:46:36, 3] nsswitch/winbindd_rpc.c:msrpc_name_to_sid(266)
name_to_sid [rpc] DOMAIN\mytest22 for domain DOMAIN
[2008/12/01 14:46:36, 3] nsswitch/winbindd_user.c:winbindd_dual_userinfo(141)
[23383]: lookupsid S-1-5-21-770856455-1112627450-9522986-11621
[2008/12/01 14:46:36, 3] nsswitch/winbindd_ads.c:query_user(453)
ads: query_user
[2008/12/01 14:46:36, 3] nsswitch/winbindd_ads.c:query_user(499)
ads query_user gave mytest22

zemiel ★
(01.12.08 15:52:12 MSK) автор топика

Ответ на: комментарий от zemiel 01.12.08 15:52:12 MSK

поставь 10000-65000

anonymous
(01.12.08 16:13:17 MSK)

Ответ на: комментарий от anonymous 01.12.08 16:13:17 MSK

проблема была в другом - склероз - не поставил UsePAM yes.

Теперь минимальный вопрос - одновременая работа и РАМ и локальной аутентификации

zemiel ★
(01.12.08 17:09:38 MSK) автор топика

Ответ на: комментарий от zemiel 01.12.08 17:09:38 MSK

Спасибо, все решил)

zemiel ★
(01.12.08 19:37:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	boost::ublas поставить

Admin

Клонирование Linux

→

Похожие темы