Авторизация в AD - проблемы

Автор os_a, 12 ноября 2014, 18:46:21

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

os_a

Приветствую!
Имею проблемы с авторизацией под доменным пользователем. AD оффтоповая. Система в домен введена. При попытке авторизации под доменным пользователем (консольно, по ssh, без х-ов) - ошибка авторизации.
/etc/samba/smb.conf
Открыть содержимое (спойлер)

[global]
   workgroup = NET
   realm = NET.ROOF
   security = ADS
   encrypt passwords = true
   dns proxy = no
   socket options = TCP_NODELAY
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   idmap uid = 10000 - 40000
   idmap gid = 10000 - 40000
   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes
   template shell = /bin/bash
   winbind refresh tickets = yes
[свернуть]

/etc/pam.d/common-session
Открыть содержимое (спойлер)

session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
ession optional pam_krb5.so minimum_uid=1000
session required pam_unix.so
session optional pam_winbind.so
session optional pam_systemd.so
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
[свернуть]
/etc/nsswitch.conf
Открыть содержимое (спойлер)

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files mdns4_minimal dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
[свернуть]
wbinfo -t
checking the trust secret for domain NET via RPC calls succeeded

Подскажите, куда копать?
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.


Malaheenee

Цитата: os_a от 12 ноября 2014, 18:46:21консольно, по ssh
А в sshd разрешен логин подобных пользователей?
Все мы где-то, когда-то и в чем-то были новичками.

endru

Цитата: Malaheenee от 13 ноября 2014, 07:05:20А в sshd разрешен логин подобных пользователей?
там не всё настроено в /etc/pam.d/
вот и не пускает.

os_a

Цитата: Endru от 13 ноября 2014, 07:09:53там не всё настроено в /etc/pam.d/
Спасибо за ответ.
Если внесу некоторые коррективы - парк порядка 50 машин, на всех авторизация под доменными учетными записями. За последние несколько месяцев на нескольких случилось сие чудо с невозможность авторизации. т.е. ранее авторизация происходила. т.е. можно предположить что все настроено верно.
Переввод в домен ни чего не дал. (все делается специально обученными людьми в полуавтоматическом режиме, при помощи пары скриптов с несколькими командами- которые созданы были на основании вами приведенной выше статьи). пробовал настраивать вручную вручную - симптомы те же.
Куда капать?
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.

endru

тогда пробуем авторизоваться и смотрим логи:
tail -n 50 /var/log/auth.log

Malaheenee

Вообще, лезть в настройка pam в последних версиях - дурная затея. В статье ж написано, что авторизация и так проходит...
Все мы где-то, когда-то и в чем-то были новичками.

os_a

#7
Цитата: Endru от 15 ноября 2014, 21:31:50
тогда пробуем авторизоваться и смотрим логи
Вот что говорят логи:

Nov 20 13:51:54 28329n mdm[4416]: pam_unix(mdm:auth): check pass; user unknown
Nov 20 13:51:54 28329n mdm[4416]: pam_unix(mdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= 

p.s. Коллега говорит что пошел по пути переустановки ОС - ситуация та же.
p.s.s Были давно проблемы с авторизацией когда имел место конфликт адресов. Сейчас конфликт исключен.
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.

Malaheenee

Так, стоп. Откуда тут mdm, если Вы говорите о ssh?
Все мы где-то, когда-то и в чем-то были новичками.

os_a

Цитата: Malaheenee от 20 ноября 2014, 14:14:10
Так, стоп. Откуда тут mdm, если Вы говорите о ssh?
Простите за ввод в заблуждение. Эти логи в момент попытки консольной авторизации.
Затею авторизации по  ssh, взяв за основу ваш пост выше, оставил.
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.

os_a

Отсутствует winbind в /etc/rc2.d/; /etc/rc3.d/; /etc/rc4.d/; /etc/rc5.d/ - это может быть как то связано с моей проблемой?
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.

os_a

Цитата: Malaheenee от 13 ноября 2014, 07:05:20А в sshd разрешен логин подобных пользователей?
тут Говорится что подключение по ssh под доменными оффтопными пользователями разрешено.
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.

Malaheenee

os_a, а вообще winbind установлен? Debian какой версии?
Все мы где-то, когда-то и в чем-то были новичками.

os_a

Debin 7-ой версии,
# service winbind status
winbind start/running, process 2445
Основная проблема - завоевать мир, при этом не привлечь внимание санитаров.

Malaheenee

Цитата: os_a от 20 ноября 2014, 14:42:55Отсутствует winbind в /etc/rc2.d/; /etc/rc3.d/; /etc/rc4.d/; /etc/rc5.d/ - это может быть как то связано с моей проблемой?
Тогда не связано.
Гм, а машинки из домена не вывалились? Время синхронизируется с доменконтроллером верно? Разница в минуту-другую порой дает неожиданные эффекты.
Все мы где-то, когда-то и в чем-то были новичками.