Сбой авторизации при входе в домен [решено]

[berkut_174]

Код: [Выделить]

# system-auth status
krb5_ccreds dc=firma ldaps://ldap.firma

Код: [Выделить]

# cat /etc/pam.d/system-auth-krb5_ccreds
#%PAM-1.0
auth            [success=4 default=ignore]      pam_tcb.so shadow fork prefix=$2y$ count=8 nullok
auth            requisite       pam_succeed_if.so uid >= 500 quiet
auth            [success=1 default=ignore service_err=reset]    pam_krb5.so use_first_pass ccache=/tmp/krb5cc_%u
auth            [success=1 default=die] pam_ccreds.so action=validate use_first_pass
auth            optional        pam_ccreds.so action=store use_first_pass
auth            required        pam_permit.so
auth    optional        pam_mount.so

account         include         system-auth-krb5
password        include         system-auth-krb5
session         include         system-auth-krb5

Код: [Выделить]

# ls -l /etc/pam.d/system-auth
lrwxrwxrwx 1 root root 23 июн 17 16:32 /etc/pam.d/system-auth -> system-auth-krb5_ccreds


Код: [Выделить]

# grep ^[^#] /etc/nslcd.conf
uid _nslcd
gid _nslcd
uri ldaps://ldap.firma
base dc=firma
tls_reqcert never

Код: [Выделить]

# rpm -qa|egrep '(krb5|ldap)'|sort
alterator-openldap-functions-0.3.2-alt1
i586-libkrb5-1.13.1-alt0.M70P.1
i586-libldap-2.4.32-alt1
krb5-kadmin-1.13.1-alt0.M70P.1
krb5-kdc-1.13.1-alt0.M70P.1
krb5-kinit-1.13.1-alt0.M70P.1
krb5-ticket-watcher-1.0.3-alt3
ldap-user-tools-0.9.2-alt1
libkrb5-1.13.1-alt0.M70P.1
libkrb5-ldap-1.13.1-alt0.M70P.1
libldap-2.4.32-alt1
nss-ldapd-0.8.14-alt0.M70P.1
openldap-2.4.32-alt1
openldap-clients-2.4.32-alt1
openldap-servers-2.4.32-alt1
pam_krb5-3.13-alt1.1.qa1
ruby-ldap-0.9.11-alt2.1

Код: [Выделить]

# ntpdate pool.ntp.org
17 Jun 16:55:29 ntpdate[7159]: adjust time server 93.180.6.3 offset 0.269958 sec

[Skull]

Ещё наблюдение такое...
Если при при нажатии "Получить новый билет" в окне в поле домена (после @) уже сразу прописан мой домен, то всё норм, если там пусто, как сейчас (см. вложения), то тогда ошибка при входе.
Может быть поможет в нахождении виновника...

Нужно явно прописать домен по умолчанию в /etc/kb5.conf. Типа так:

Код: [Выделить]

[libdefaults]
...
 default_realm = COMPANY.LOCAL

[realms]
COMPANY.LOCAL = {
  kdc = 192.168.0.1
}


[berkut_174]

Нужно явно прописать домен по умолчанию в /etc/kb5.conf. Типа так:

Хорошо, попробую.
Но, ведь если изменить имя машины, добавив в конец имя домена, то всё норм и без этих строк.
Да и на другой машине, даже на двух, где точно также делал, только там ещё галку ставил на Xorg при установке, всё норм. Там ещё что-то видимо доставляется/довыполняется после установки, там точно ставится bind http://forum.altlinux.org/index.php/topic,29831.0.html.

Я уже под микроскопом те две машины, где всё работает просмотрел, весь bash_history изучил, все конфиги сравнил -- идентичны.

[berkut_174]

Всё же нашёл решение!

То что выше предлагали не пробовал, но на других машинах эти настройки закомментированы.

Добавил в /etc/hosts

Код: [Выделить]

127.0.0.1   server-30.localdomain server-30
Там было:

Код: [Выделить]

127.0.0.1   localhost.localdomain localhost
192.168.1.1   server-30 server-30.ltsp
192.168.1.20   ws01 ws01.ltsp
192.168.1.21   ws02 ws02.ltsp
...Но на других машинах LTSP этой строчки нет и всё норм. Возможно это связано с тем, что на тех машинах установлен bind, он то и решает эту проблему.
Подглядел на Simply 7, там есть такая строчка.

Будем считать, что решено...