Автор Тема: p9 xrdp + ad не входит по rdp  (Прочитано 8834 раз)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
p9 xrdp + ad не входит по rdp
« : 23.12.2020 21:22:57 »
Альт Сервер 9
Интересная фигня:
Если доменный юзер ни разу не логинился на сервере (не создан профиль) то по rdp зайти не удается.
Стоит только залогиниться доменным юзером с консоли, и потом по rdp пускает нормально.
Как поправить?

Оффлайн aleksey-v.

  • Давно тут
  • **
  • Сообщений: 250
Re: p9 xrdp + ad не входит по rdp
« Ответ #1 : 23.12.2020 21:36:47 »
RDP на какой OS работает? Кто из них сервер, а кто клиент?

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
Re: p9 xrdp + ad не входит по rdp
« Ответ #2 : 23.12.2020 21:49:16 »
RDP на какой OS работает? Кто из них сервер, а кто клиент?
Сервером является Альт Сервер 9
Клиенты mstsc и rdesktop

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 579
    • Домашняя страница
    • Email
Re: p9 xrdp + ad не входит по rdp
« Ответ #3 : 23.12.2020 22:32:56 »
apt-repo test 263740
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
Re: p9 xrdp + ad не входит по rdp
« Ответ #4 : 24.12.2020 10:54:38 »
apt-repo test 263740

Теперь доменных вообще не пускает)
Говорит: login failed
sssd доменных юзеров и группы видит

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 579
    • Домашняя страница
    • Email
Re: p9 xrdp + ad не входит по rdp
« Ответ #5 : 24.12.2020 11:19:59 »
Попробуйте привести /etc/pam.d/xrdp-sesman в вид:
#%PAM-1.0
auth            include         common-login
account         include         common-login
password        include         common-login
#session                include         common-login
session         substack        system-auth
session         required        pam_loginuid.so
#-session        optional        pam_systemd.so
session         substack        system-policy

Я поймал, что пользовательский dbus не поднимается для пользователей, которые входят и локально и по RDP, поэтому pam_systemd.so закомментарил.
« Последнее редактирование: 24.12.2020 11:25:38 от Skull »
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
Re: p9 xrdp + ad не входит по rdp
« Ответ #6 : 24.12.2020 11:22:25 »

Проверку на группы tsusers tsadmins убрали?
И что в логах?

Убрал. Не изменилось.

xrdp-sesman.log
[20201224-11:08:46] [INFO ] A connection received from 127.0.0.1 port 37212
[20201224-11:08:46] [DEBUG] Closed socket 9 (AF_INET 127.0.0.1:3350)

xrdp.log
[20201224-11:08:46] [DEBUG] xrdp_wm_log_msg: connecting to sesman ip 127.0.0.1 port 3350
[20201224-11:08:46] [INFO ] xrdp_wm_log_msg: sesman connect ok
[20201224-11:08:46] [DEBUG] xrdp_wm_log_msg: sending login info to session manager, please wait...
[20201224-11:08:46] [DEBUG] return value from xrdp_mm_connect 0
[20201224-11:08:46] [INFO ] xrdp_wm_log_msg: login failed for display 0
[20201224-11:08:46] [DEBUG] xrdp_mm_module_cleanup
[20201224-11:08:46] [DEBUG] Closed socket 16 (AF_INET 127.0.0.1:37212)

Больше ничего интересного в лога нет

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
Re: p9 xrdp + ad не входит по rdp
« Ответ #7 : 24.12.2020 11:30:08 »
Попробуйте привести /etc/pam.d/xrdp-sesman в вид:
#%PAM-1.0
auth            include         common-login
account         include         common-login
password        include         common-login
#session                include         common-login
session         substack        system-auth
session         required        pam_loginuid.so
#-session        optional        pam_systemd.so
session         substack        system-policy

Я поймал, что пользовательский dbus не поднимается для пользователей, которые входят и локально и по RDP, поэтому pam_systemd.so закомментарил.

Сработало. Это как бы временное решение? Ожидать что в основном репозитории скоро будет данное исправление?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 579
    • Домашняя страница
    • Email
Re: p9 xrdp + ad не входит по rdp
« Ответ #8 : 24.12.2020 11:38:42 »
Попробуйте привести /etc/pam.d/xrdp-sesman в вид:
#%PAM-1.0
auth            include         common-login
account         include         common-login
password        include         common-login
#session                include         common-login
session         substack        system-auth
session         required        pam_loginuid.so
#-session        optional        pam_systemd.so
session         substack        system-policy

Я поймал, что пользовательский dbus не поднимается для пользователей, которые входят и локально и по RDP, поэтому pam_systemd.so закомментарил.

Сработало. Это как бы временное решение? Ожидать что в основном репозитории скоро будет данное исправление?
Да, временное. Нужно понять, почему systemd так капризничает. Всё равно через отдел тестирования проходит и поэтому придётся подождать.
Андрей Черепанов (cas@)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 579
    • Домашняя страница
    • Email
Re: p9 xrdp + ad не входит по rdp
« Ответ #9 : 24.12.2020 11:51:44 »
Подумал, что концептуально неверно путать сеансы локальные и по RDP одного и того же пользователя. Так что останется как есть. На странице http://altlinux.org/xrdp напишу обход.
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
Re: p9 xrdp + ad не входит по rdp
« Ответ #10 : 24.12.2020 12:14:04 »
Подумал, что концептуально неверно путать сеансы локальные и по RDP одного и того же пользователя. Так что останется как есть. На странице http://altlinux.org/xrdp напишу обход.
Благо у меня сервак сугубо RDPшный, с проблемой переключения сеанса локального юзера на удаленного знаком, думаю мне данная проблема не грозит))) А каким параметром кстати задать чтоб юзер не смог создать более одного сеанса? Или это уже по дефолту настроено? (Я ещё только начинаю тестирование)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 579
    • Домашняя страница
    • Email
Re: p9 xrdp + ad не входит по rdp
« Ответ #11 : 24.12.2020 12:26:36 »
Подумал, что концептуально неверно путать сеансы локальные и по RDP одного и того же пользователя. Так что останется как есть. На странице http://altlinux.org/xrdp напишу обход.
Благо у меня сервак сугубо RDPшный, с проблемой переключения сеанса локального юзера на удаленного знаком, думаю мне данная проблема не грозит))) А каким параметром кстати задать чтоб юзер не смог создать более одного сеанса? Или это уже по дефолту настроено? (Я ещё только начинаю тестирование)
Там не параметр. Это поведение systemd и dbus.
Андрей Черепанов (cas@)

Оффлайн aleksey-v.

  • Давно тут
  • **
  • Сообщений: 250
Re: p9 xrdp + ad не входит по rdp
« Ответ #12 : 24.12.2020 15:27:26 »
Если что-то не пускает через PAM, у каждого модуля есть параметры типа debug.

man pam_systemd

       debug[=]
           Takes an optional boolean argument. If yes or without the argument, the module will log debugging information as it
           operates.

man pam_tcb

       debug  Log debugging information via syslog(3).


Попробуйте посмотреть логи. Параметры debug можно натолкать хоть в каждую линию PAM.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 579
    • Домашняя страница
    • Email
Re: p9 xrdp + ad не входит по rdp
« Ответ #13 : 24.12.2020 16:36:19 »
И как это поможет в данном случае?
Андрей Черепанов (cas@)

Оффлайн KALIBR-10

  • Давно тут
  • **
  • Сообщений: 378
Re: p9 xrdp + ad не входит по rdp
« Ответ #14 : 24.12.2020 16:42:24 »
Может уже не по теме, но у rdp пользователей при логине ошибка: