Автор Тема: Сбой авторизации при входе в домен [решено]  (Прочитано 14504 раз)

Оффлайн Jazzis

  • Участник
  • *
  • Сообщений: 6
Сервер настроили (Alt Linux 5.0 School Server), пытаемся зайти под юзером созданном не сервере (с Alt Linux 5.0 School Light). После ввода пароля, думает несколько секунд и выдает "Произошел сбой авторизации.". Куда копать и что настроить?
« Последнее редактирование: 27.04.2012 15:38:34 от Skull »

Оффлайн varalt

  • Участник
  • *
  • Сообщений: 996
Похоже, что упала служба Krb5kdc...
Тут посмотрите: http://forum.altlinux.org/index.php/topic,13060.0.html

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Сервер Кентавр 6.
Создал несколько пользователей (около 30), пытаюсь войти на клиенте (проверил на 5 пользователях) под этим пользователем и в ответ получаю "Сбой авторизации". Служба krb5kdc и slapd на сервере запущены. Перезапускать службы пробовал - не помогло.
В чем дело?
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
В web-интерфейс этим пользователем могу войти, а вот в систему залогинется не могу.
Что можно сделать ? Может службу ещё какую перезапустить ? Очень не хотелось бы перезагружать сам сервер, в данный момент его используют.
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 159
    • Домашняя страница
На 12 консоли во время аутентификации пишет, что за проблема. Часто: хост не резолвит доменное имя сервера (криво настроен или «левый» DNS-сервер. Попингуйте имя сервера, прописанного в system-auth statusТакже причиной может быть закрытие портов LDAP на сервере брандмауэром, неверная привязка ldap:/// и ldaps:/// к конкретному хосту: лучше разрешить на сервере в /etc/sysconfig/ldap SLAPDURLLIST="'ldap:/// ldaps:///'"
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
На 12 консоли во время аутентификации пишет, что за проблема. Часто: хост не резолвит доменное имя сервера (криво настроен или «левый» DNS-сервер).
nss_ldap: could not search LDAP server - Server is unavailable
pam_tcb(gdm:auth): Credential for user shemetovav unknown
pam_tcb(gdm:auth): Authentication failed for UNKNOWN USER from (uid=0)

Попингуйте имя сервера, прописанного в system-auth status
system-auth status
krb5 dc=firma ldaps://ldap.firma

Также причиной может быть закрытие портов LDAP на сервере брандмауэром, неверная привязка ldap:/// и ldaps:/// к конкретному хосту: лучше разрешить на сервере в /etc/sysconfig/ldap SLAPDURLLIST="'ldap:/// ldaps:///'"
Была ещё строчка SLAPDURLLIST="'ldap://localhost ldaps:///'", убрал её, оставил только эту SLAPDURLLIST="'ldap:/// ldaps:///'"
Пинги до сервера идут:
ping -c 3 server.firma
ping -c 3 ldap.firma
« Последнее редактирование: 25.04.2012 13:30:14 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Через файловый менеджер по этому же пользователю и паролю пускает в smb://server/share.
Почему же не дает логинется в системе ?
Может перегрузить сервер ? Хотя это крайняя мера...
P.S. Самое что интересное, сколько раз на ВМ машине ставил Кентавра 6, настраивал, создавал пользователей и в виртуальной сети, на виртуальных клиентах (Simply 6, LXDEsktop 6, ШНЛ 5.0.2, ....) ВСЕГДА все работало! Почему же здесь не работает ? Чудеса...
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Полностью перезапустил сервер, в результате ничего не изменилось. Все также не логинется. В web и samba шару пускает без проблем.
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Также причиной может быть закрытие портов LDAP на сервере брандмауэром,
Это где можно глянуть ?
Хотя никаких настроек по этому поводу не производилось. Сервер был установлен, сразу же через web создан домен, DHCP, прокси, NAT. До этого времени работал лишь как шлюз для доступа в Интернет и несколько сетевых nfs шар монтировались с него. Сейчас вот решил завести пользователей и использовать наконец-таки домен, а получил такое...

Да, вроде, все открыто:nmap 127.0.0.1

Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-26 10:46 YEKT
Nmap scan report for localhost.localdomain (127.0.0.1)
Host is up (0.000012s latency).
Not shown: 977 closed ports
PORT     STATE SERVICE
13/tcp   open  daytime
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
110/tcp  open  pop3
111/tcp  open  rpcbind
139/tcp  open  netbios-ssn
143/tcp  open  imap
389/tcp  open  ldap
445/tcp  open  microsoft-ds
465/tcp  open  smtps
587/tcp  open  submission
631/tcp  open  ipp
636/tcp  open  ldapssl
993/tcp  open  imaps
995/tcp  open  pop3s
2049/tcp open  nfs
3128/tcp open  squid-http
8080/tcp open  http-proxy
9101/tcp open  jetdirect
9102/tcp open  jetdirect
9103/tcp open  jetdirect

Nmap done: 1 IP address (1 host up) scanned in 0.17 seconds

А это на клиенте:nmap 127.0.0.1

Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-26 10:52 YEKT
Nmap scan report for localhost.localdomain (127.0.0.1)
Host is up (0.0000080s latency).
Not shown: 995 closed ports
PORT    STATE SERVICE
111/tcp open  rpcbind
139/tcp open  netbios-ssn
389/tcp open  ldap
445/tcp open  microsoft-ds
631/tcp open  ipp

Nmap done: 1 IP address (1 host up) scanned in 0.25 seconds
« Последнее редактирование: 26.04.2012 09:05:34 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 159
    • Домашняя страница
Также причиной может быть закрытие портов LDAP на сервере брандмауэром,
Это где можно глянуть ?
В разделе Брандмауэр → Внешние сети. Галочка должна стоять у LDAP и добавлен вручную порт 636 (ldaps).

Проверка доступа к LDAP с клиента:
ldapsearch -LLL -b "dc=firma" -x -H "ldaps://ldap.firma" "(&(objectClass=posixAccount)(uid=*))"Должно вывестись куча полей.
Если зависает: закрыт порт.
Если пишет «No such object (32)» — проблема с именем домена. Не нравится мне, что домен одного уровня. Хотя работать должно. Мы создаём минимум два уровня.
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Не нравится мне, что домен одного уровня. Хотя работать должно. Мы создаём минимум два уровня.
И все же, чем плох домен одного уровня ? Что не так с ним ?
Если можно, то можно ссыль почитать про это. Спасибо.

Случайно отредактировал и сохранил изменения...
« Последнее редактирование: 27.04.2012 15:33:33 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 159
    • Домашняя страница
Приведите вывод
grep ^[a-z] /etc/nss_ldap.conf
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Приведите вывод
grep ^[a-z] /etc/nss_ldap.conf
С сервера:base dc=firma
uri ldap://127.0.0.1
bind_timelimit 30
bind_policy soft
Если нужно с клиента, то тогда завтра выложу.
Проверяю на двух варинтах ОС: Simply Linux 6 и ШНЛ 5.0.2/p6 - на обеих одинаково.
Спасибо.
« Последнее редактирование: 26.04.2012 15:46:46 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Вот с клиента, grep ^[a-z] /etc/nss_ldap.conf:
base dc=firma
uri ldaps://ldap.firma
bind_timelimit 30
bind_policy soft
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 152
Через Kerberos Ticket Watcher билет получаю на этого пользователя, но войти по-прежнему не могу...
Сноси Винду, переходи на Линукс ! :)