Автор Тема: Как войти в домен windows под доменным пользователем?  (Прочитано 3959 раз)

Оффлайн alttester

  • Завсегдатай
  • *
  • Сообщений: 15
    • Email
Здравствуйте!
Установил Alt WS 9.0 Laertes, ввёл в домен AD под Win2012R2 Srv
Сделал это частично по инструкции https://forum.altlinux.org/index.php?board=85.40
потому что task-auth-ad-sssd , libnss-role уже установлены и нужно было только ввести в домен
через ЦУП.
И я как бы в домене. Комп в AD появился, на Alt корректно отрабатывают команды
getent passwd %domainuser%
net ads info
kinit %domainuser%
klist

Однако войти в домен под доменным юзером я не могу.
Через окно входа вне зависимости от вариантов (регистр, указание домена префиксом\ @постфиксом) не вхожу.
Полного списка доменных пользователей, которым пугают в инструкции, нет даже после greeter-hide-users = False
В терминале команда su -l %domainuser% выдаёт ошибку su: System error , если указан правильный пароль вне зависимости от регистра имени. Кстати, через пару секунд после этого может и выбросить из сессии к окну входа.

В одной из тем я видел совет от одного из местных гуру выполнять всю инструкцию целиком, а не по частям, но мне пока явно не нужно добавлять группу для удаленного входа и сетевые доменные шары.

Подскажите, как войти?
« Последнее редактирование: 22.11.2019 08:19:51 от sb »


Оффлайн alttester

  • Завсегдатай
  • *
  • Сообщений: 15
    • Email
Да, верно, эта инструкция имелась в виду.

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 18 738
    • Домашняя страница
    • Email
Журнал смотрите. И вывод пользователей задаётся в sssd.conf, а не в lightdm. Там же включается отладка.
Андрей Черепанов (cas@)

Оффлайн alttester

  • Завсегдатай
  • *
  • Сообщений: 15
    • Email
Здравствуйте! выставил в sssd.conf [sssd, nss, pam, domain/имя] debug_level = 10
После этого увидел в sssd.log сообщение: No enumeration for [домен]! Please note that when enumeration is disabled 'getent passwd' does not return all users by design.
Выставил в разделе своего домена в sssd.conf enumerate = true
После этого в выводе journalctl | grep sssd увидел: Enumeration requested but not enabled
Теперь команда getent passwd через какое-то время выдаёт список доменных пользователей.
В окне входа (я раньше не говорил: это Mate , может, важно) так и осталось: локальный юзер или Другие...
Если указываешь доменный аккаунт, Альт долго думает, потом говорит: ну а пароль? Ещё дольше думает и всё-таки посылает, как и раньше.
Видимо, нужно остальные логи посмотреть.

Оффлайн alttester

  • Завсегдатай
  • *
  • Сообщений: 15
    • Email
Поставил уровень логов в 3: записей об ошибках и так достаточно.
Ближе всего к проблеме кажутся такие сообщения в sssd_ДОМЕН.log :

[write_krb5info_file_from_fo_server]: There is no server that can be written into kdc info file.
[ad_resolve_callback]: write_krb5info_file failed, authentication might fail.
[check_if_pac_is_available]: find_user_entry failed

При этом info-файлы при каждом логине в /var/lib/sss/pubconf вполне создаются, а в интернете внятной информации по проблеме как-то найти не удалось.

Оффлайн alttester

  • Завсегдатай
  • *
  • Сообщений: 15
    • Email
(Вроде как решено)

По рекомендации в разделе Troubleshooting Authentication, Password Change and Access Control из https://docs.pagure.org/SSSD.sssd/users/troubleshooting.html :
If the user info can be retrieved, but authentication fails, the first place to look into is /var/log/secure or the system journal. Look for messages from pam_sss.

проверил journalctl|grep pam_sss :
pam_sss(lightdm:auth): authentication success; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=доменный_аккаунт
pam_sss(lightdm:account): Access denied for user доменный_аккаунт: 4 (System error)

выставил отладку для pam в 7 в sssd.conf
В sssd_pam.log увидел ту же 4 ошибку в разделе SSS_PAM_ACCT_MGMT

В krb5_child.log:
[sss_send_pac] sss_pac_make_request failed [-1][2]
[validate_tgt] sss_send_pac failed, group membership for user with principal [аккаунт\@домен] might not be correct.
Но далее заканчивается с кодом 0, successfully.

Выставил в разделе [домен] sssd.conf access_provider = permit
Вошел.

После возвращения к access_provider = ad и добавления опции ad_access_filter 4-я ошибка сменилась на 6 (Permission denied)

Никакие варианты фильтра не подошли и я вернулся к access_provider = permit