Авторизация в AD - проблемы

os_a · 12 ноября 2014, 18:46:21

Приветствую!
Имею проблемы с авторизацией под доменным пользователем. AD оффтоповая. Система в домен введена. При попытке авторизации под доменным пользователем (консольно, по ssh, без х-ов) - ошибка авторизации.
/etc/samba/smb.conf

Открыть содержимое (спойлер)

Код Выделить


[global]
   workgroup = NET
   realm = NET.ROOF
   security = ADS
   encrypt passwords = true
   dns proxy = no 
   socket options = TCP_NODELAY
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   idmap uid = 10000 - 40000
   idmap gid = 10000 - 40000
   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes
   template shell = /bin/bash
   winbind refresh tickets = yes

[свернуть]

/etc/pam.d/common-session

Открыть содержимое (спойлер)

Код Выделить


session	[default=1]			pam_permit.so
session	requisite			pam_deny.so
session	required			pam_permit.so
session optional			pam_umask.so
ession	optional			pam_krb5.so minimum_uid=1000
session	required	pam_unix.so 
session	optional			pam_winbind.so 
session	optional	pam_systemd.so 
session optional	pam_mkhomedir.so skel=/etc/skel/ umask=0077

[свернуть]

/etc/nsswitch.conf

Открыть содержимое (спойлер)

Код Выделить


passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files mdns4_minimal dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

[свернуть]

Код Выделить

wbinfo -t
checking the trust secret for domain NET via RPC calls succeeded

Подскажите, куда копать?

endru · 12 ноября 2014, 21:09:29

Этих настроек не достаточно!

http://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows

Malaheenee · 13 ноября 2014, 07:05:20

Цитата: os_a от 12 ноября 2014, 18:46:21консольно, по ssh

А в sshd разрешен логин подобных пользователей?

endru · 13 ноября 2014, 07:09:53

Цитата: Malaheenee от 13 ноября 2014, 07:05:20А в sshd разрешен логин подобных пользователей?

там не всё настроено в /etc/pam.d/
вот и не пускает.

os_a · 15 ноября 2014, 14:25:58

Цитата: Endru от 13 ноября 2014, 07:09:53там не всё настроено в /etc/pam.d/

Спасибо за ответ.
Если внесу некоторые коррективы - парк порядка 50 машин, на всех авторизация под доменными учетными записями. За последние несколько месяцев на нескольких случилось сие чудо с невозможность авторизации. т.е. ранее авторизация происходила. т.е. можно предположить что все настроено верно.
Переввод в домен ни чего не дал. (все делается специально обученными людьми в полуавтоматическом режиме, при помощи пары скриптов с несколькими командами- которые созданы были на основании вами приведенной выше статьи). пробовал настраивать вручную вручную - симптомы те же.
Куда капать?

endru · 15 ноября 2014, 21:31:50

тогда пробуем авторизоваться и смотрим логи:

Код Выделить

tail -n 50 /var/log/auth.log

Malaheenee · 16 ноября 2014, 05:28:31

Вообще, лезть в настройка pam в последних версиях - дурная затея. В статье ж написано, что авторизация и так проходит...

os_a · 20 ноября 2014, 13:58:29

Цитата: Endru от 15 ноября 2014, 21:31:50
тогда пробуем авторизоваться и смотрим логи

Вот что говорят логи:

Код Выделить


Nov 20 13:51:54 28329n mdm[4416]: pam_unix(mdm:auth): check pass; user unknown
Nov 20 13:51:54 28329n mdm[4416]: pam_unix(mdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=

p.s. Коллега говорит что пошел по пути переустановки ОС - ситуация та же.
p.s.s Были давно проблемы с авторизацией когда имел место конфликт адресов. Сейчас конфликт исключен.

Malaheenee · 20 ноября 2014, 14:14:10

Так, стоп. Откуда тут mdm, если Вы говорите о ssh?

os_a · 20 ноября 2014, 14:30:04

Цитата: Malaheenee от 20 ноября 2014, 14:14:10
Так, стоп. Откуда тут mdm, если Вы говорите о ssh?

Простите за ввод в заблуждение. Эти логи в момент попытки консольной авторизации.
Затею авторизации по ssh, взяв за основу ваш пост выше, оставил.

os_a · 20 ноября 2014, 14:42:55

Отсутствует winbind в /etc/rc2.d/; /etc/rc3.d/; /etc/rc4.d/; /etc/rc5.d/ - это может быть как то связано с моей проблемой?

os_a · 20 ноября 2014, 14:54:00

Цитата: Malaheenee от 13 ноября 2014, 07:05:20А в sshd разрешен логин подобных пользователей?

тут Говорится что подключение по ssh под доменными оффтопными пользователями разрешено.

Malaheenee · 20 ноября 2014, 15:09:17

os_a, а вообще winbind установлен? Debian какой версии?

os_a · 20 ноября 2014, 15:22:43

Debin 7-ой версии,

Код Выделить

# service winbind status
winbind start/running, process 2445

Malaheenee · 20 ноября 2014, 17:32:18

Цитата: os_a от 20 ноября 2014, 14:42:55Отсутствует winbind в /etc/rc2.d/; /etc/rc3.d/; /etc/rc4.d/; /etc/rc5.d/ - это может быть как то связано с моей проблемой?

Тогда не связано.
Гм, а машинки из домена не вывалились? Время синхронизируется с доменконтроллером верно? Разница в минуту-другую порой дает неожиданные эффекты.