Fedora 21 как член AD неожиданно перестал работать

Question

Fedora 21 как член AD неожиданно перестал работать

Моя рабочая станция Fedora 21 была подключена к моему домену AD и работала около месяца, и все было хорошо, а затем я пришел в одно утро и не смог войти. Моим первым ответом было обвинение в Win2013 и AD, но после небольшого поиска в средстве просмотра событий я не смог найти никаких ошибок, и в сочетании с тем фактом, что я могу успешно войти в систему всем остальным участникам Linux AD (Fedora 19/20, CentOS 6, Debian 6/7) не является источником проблемы.

Когда я пытаюсь войти через su все, что я получаю, это su: Authentication failure, а также /var/log/audit/audit.log содержит сообщение:

type=USER_AUTH msg=audit(1421174144.121:1306): pid=25524 uid=1000 auid=1000
ses=2 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 
msg='op=PAM:authentication grantor=? acct="gjohn" exe="/usr/bin/su"
hostname=? addr=? terminal=pts/1 res=failed'

SELinux включен, но я попытался отключить его и получил ту же ошибку / сообщение.

Вещи, которые стоит упомянуть:

Я ввожу правильный пароль
Я не нажал Caps Lock случайно, и, насколько я могу судить, в игре нет других тривиальных ошибок пользователя.
Samba/Winbind работают, и я получаю правильный вывод, когда я getent passwd все пользователи домена отображаются с правильным UID / GID
Не только моя учетная запись не может войти в систему, все учетные записи не могут и получают ту же ошибку
То же самое происходит при попытках входа в систему через GDM, su и SSH

Я использую настройки Samba/Winbind, потому что, насколько я могу судить, если вам нужны диапазоны idmap для файловых сервисов, которые вам нужны. Я пытался использовать sssd и realmd, но никогда не мог контролировать диапазоны UID и GID, которые для меня важны.

Я в растерянности, потому что очень мало полезной информации в /var/log/samba/* несмотря на увеличение уровня журнала. Я предполагаю, что это связано с PAM, но я все еще пытаюсь выяснить, как контролировать выход для этой цели.

Соответствующие файлы конфигурации:

/etc/samba/smb.conf:

[global]
   workgroup = DOMAIN
   realm = DOMAIN.NET
   security = ads
   server string = Workstation
   winbind use default domain = true
   winbind nested groups = yes
   winbind enum users = yes
   winbind enum groups = yes
   winbind offline logon = true
   winbind refresh tickets = yes
   winbind cache time = 5
   template shell = /bin/bash
   template homedir = /home/%U
   idmap config * : backend = rid
   idmap config * : range = 10000-20000
   passdb backend = tdbsam
   encrypt passwords = yes
   # logging
   log level = 3
   log file = /var/log/samba/log.%m
   max log size = 50

/etc/krb5.conf:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = DOMAIN.NET
 dns_lookup_realm = true
 dns_lookup_kdc = true
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false

/etc/pam.d/password-auth & /etc/pam.d/system-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_winbind.so cached_login use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_winbind.so cached_login
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_winbind.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     optional      pam_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_winbind.so cached_login

Изменить: я не видел это сначала, потому что /var/log/messages сейчас journalctl, при каждой попытке входа в систему я получаю сообщение об ошибке:

Jan 13 11:41:38 ws.domain.net su[27383]: pam_winbind(su-l:auth): getting password (0x00000210)
Jan 13 11:41:38 ws.domain.net su[27383]: pam_winbind(su-l:auth): pam_get_item returned a password
Jan 13 11:41:38 ws.domain.net su[27383]: pam_winbind(su-l:auth): internal module error (retval = PAM_SERVICE_ERR(3), user = 'gjohn')
Jan 13 11:41:40 ws.domain.net su[27383]: FAILED SU (to gjohn) crdc on pts/11

1

linux samba winbind fedora-21

Источник

Geoff Johnson 13 янв '15 в 19:09

1 ответ

Другие вопросы по тегам linux samba winbind fedora-21

Geoff Johnson 12 фев '15 в 03:28 2015-02-12 03:28 · Answer 1 · 2015-02-12 03:28

Оказывается, это был аккаунт, к которому присоединяются. Я пытался подключиться с помощью:

net ads join -U administrator

Я полагал, что, поскольку мой DNS разрешал правильно, это было бы хорошо, это не было. Мне нужно было использовать administrator@DOMAIN.NET в качестве учетной записи, чтобы присоединиться к.