Решено: rhel-6.0 login Active Directory

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модераторы: SLEDopit, Модераторы разделов

Аватара пользователя
rxt16b
Сообщения: 22
ОС: RedHat, Gentoo.

Решено: rhel-6.0 login Active Directory

Сообщение rxt16b »

Добрый день. Столкнулся со следущей проблемой. Не могу войти под доменным пользователем в локальную консоль машины. При попытке войти под домменой учетной записью создается домашний каталог, на мгновение отбражается информация о предыдущих входах этого пользователя, потом опять запрос авторизации. Вход локального пользователя происходит без проблем. Используется rhel-6.0 i386, samba-3.5.4
Листинг /etc/pam.d/system-auth-ac

Код:

#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so auth sufficient pam_winbind.so use_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so accoutn sufficient pam_winbind.so use_first_pass account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so password required pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password sufficient pam_winbind.so use_first_pass password required pam_deny.so session required pam_limits.so session sufficient pam_unix.so debug session sufficient pam_winbind.so mkhomedir use_first_pass debug #session required pam_limits.so #session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid #session optional pam_keyinit.so revoke


Листинг /etc/pam.d/login

Код:

#%PAM-1.0 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth include system-auth account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule #session required pam_selinux.so close #session required pam_loginuid.so #session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context #session required pam_selinux.so open #session required pam_namespace.so #session optional pam_keyinit.so force revoke session include system-auth #-session optional pam_ck_connector.so


Фрагмент лога /var/log/secure

Код:

Jan 27 17:12:41 rhel-test login: PAM (login) illegal module type: accoutn Jan 27 17:12:41 rhel-test login: PAM (login) illegal module type: accoutn Jan 27 17:12:41 rhel-test login: PAM (login) illegal module type: accoutn Jan 27 17:12:41 rhel-test login: PAM (login) illegal module type: accoutn Jan 27 17:12:49 rhel-test login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost= user=tssmetanko Jan 27 17:12:49 rhel-test login: pam_winbind(login:auth): getting password (0x00000010) Jan 27 17:12:50 rhel-test login: pam_winbind(login:auth): pam_get_item returned a password Jan 27 17:12:50 rhel-test login: pam_winbind(login:auth): user 'tssmetanko' granted access Jan 27 17:12:50 rhel-test login: pam_unix(login:session): session opened for user tssmetanko by LOGIN(uid=0) Jan 27 17:12:50 rhel-test login: LOGIN ON tty2 BY tssmetanko Jan 27 17:12:50 rhel-test login: pam_unix(login:session): session closed for user tssmetanko


Мне кажется, судя по логу, пользователь автризуется корректно, но дальше как бы не запускается оболочка, где это можно проверить? Например чтобы /bin/login запускался с отладкой .

PS Samba и nsswitch работают нормально, из сети шары на машине работают, wbinfo -u и id [пользователь домена] отрабатывают без проблем.
Тра ля-ля тра ля-ля мы везем с собой кота...
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Решено: rhel-6.0 login Active Directory

Сообщение sash-kan »

rxt16b писал(а):
27.01.2011 17:48
Jan 27 17:12:41 rhel-test login: PAM (login) illegal module type: accoutn
для начала исправьте ошибку в этой строке:

rxt16b писал(а):
27.01.2011 17:48
accoutn sufficient pam_winbind.so use_first_pass
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Аватара пользователя
rxt16b
Сообщения: 22
ОС: RedHat, Gentoo.

Re: Решено: rhel-6.0 login Active Directory

Сообщение rxt16b »

sash-kan писал(а):
27.01.2011 23:18
rxt16b писал(а):
27.01.2011 17:48
Jan 27 17:12:41 rhel-test login: PAM (login) illegal module type: accoutn
для начала исправьте ошибку в этой строке:

rxt16b писал(а):
27.01.2011 17:48
accoutn sufficient pam_winbind.so use_first_pass



ОК. Ошибку исправлю, когда на работе буду. Досадно проглядеть ее в логах прямо перед носом :-)
Тра ля-ля тра ля-ля мы везем с собой кота...
Спасибо сказали:
Аватара пользователя
rxt16b
Сообщения: 22
ОС: RedHat, Gentoo.

Re: Решено: rhel-6.0 login Active Directory

Сообщение rxt16b »

Ошибку исправил. Но суть от этого не изменилась, сессия открывается и сразу закрывается.
Тра ля-ля тра ля-ля мы везем с собой кота...
Спасибо сказали:
patrius
Сообщения: 337
ОС: Debian (4 & 5) -> Gentoo

Re: Решено: rhel-6.0 login Active Directory

Сообщение patrius »

rxt16b писал(а):
28.01.2011 09:55
Ошибку исправил. Но суть от этого не изменилась, сессия открывается и сразу закрывается.


обновите логи
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Решено: rhel-6.0 login Active Directory

Сообщение sash-kan »

и скажите, какой shell получается у пользователя:
$ getent passwd <name>
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Аватара пользователя
rxt16b
Сообщения: 22
ОС: RedHat, Gentoo.

Re: Решено: rhel-6.0 login Active Directory

Сообщение rxt16b »

Спасибо за ответы. В понедельник на работе обновлю логи (хотя там особо ничего не изменилось) и напишу вывод комманды.
и скажите, какой shell получается у пользователя:
$ getent passwd <name>

sash-kan, Вы натолкнули меня на мысль. В виртуальной машине rhel-6.0 создал обычного пользователя и отредактировал /etc/passwd таким образом что у пользователя не определен shell, в результате полностью идентичное поведение системы при логине. Хотя по идее если shell не определен, то должен использоваться shell по умолчанию - /bin/sh. Что, кстати, и подтверждается на виртуальной машине со Slackware-13.0. Вопрос собственно в следуюшем, где настраивается поведение системы если shell у пользователя не определен, не могу корректно сформулировать запрос гуглу :-)
Тра ля-ля тра ля-ля мы везем с собой кота...
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Решено: rhel-6.0 login Active Directory

Сообщение sash-kan »

rxt16b
shell в вашем случае указывается в ldap-е.
по поводу «дефолтного» поведения — смотрите программу, которая осуществляет логин.
вроде речь про виртуальный терминал? скорее всего у вас там крутится какой-нибудь *getty и, по идее, запускает /bin/login. вот на /bin/login и смотрите.
если речь про openssh-server, то при пустом поле в /etc/passwd он скорее всего будет запускать /bin/sh. вот упоминание в рассылке: http://marc.info/?l=openssh-unix-dev&m...8520527&w=4
но вообще смотрите man/исходники той программы, которая выполняет процесс логина.

к слову:
$ man -P 'less -rp FAKE_SHELL' login
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
Аватара пользователя
rxt16b
Сообщения: 22
ОС: RedHat, Gentoo.

Re: Решено: rhel-6.0 login Active Directory

Сообщение rxt16b »

Всех с началом рабой недели!
Скачал исходники для util-linux-ng и подправил spec файл, опции with-selinux и with-audit я переделал в without-selinux и without-audit. Собрал, установил... и пользователь у которого shell не определен авторизовался с шелом по умолчанию /bin/sh. Отлично! Одной проблемой меньше, наверное :-)
А вот с пользователем из Active Directory не все так сладко.

Код:

$ getent passwd tssmetanko tssmetanko:*:15000:15005::/home/DOMAIN.DOM/tssmetanko:/bin/false

То есть shell - /bin/false, что же, еще лучше :-)... В гугле нашел источник где описана данная проблема, подправил smb.conf, в глобальную секцию добавил

Код: Выделить всё

 template shell = /bin/bash
и.. после рестарта winbind все стало как надо:

Код:

$ getent passwd tssmetanko tssmetanko:*:15000:15005::/home/DOMAIN.DOM/tssmetanko:/bin/bash

Спасибо всем кто откликнулся! Тему можно закрывать.
Тра ля-ля тра ля-ля мы везем с собой кота...
Спасибо сказали: