Results 1 to 7 of 7

Thread: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

  1. #1

    Question Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    Уважаемые форумчане, прошу вашей помощи.
    Ситуация следующая: есть домен office.test.com. AD+DNS+DHCP. Уровень домена 2008 R2. Служба "Сервер для служб NIS" установлена и запущена. В свойствах ADUC тестового пользователя "UserTest" на вкладке Unix Attributes заполнены все поля. Брандмауер на время настройки отключен.
    Есть рабочая станция с OpenSUSE Tumbleweed. Обновы накатились во время установки. Сеть настроена в DHCP, IP адрес получен, интернет есть. NSLOOKUP резолвит имя КД в адрес без проблем. Брандмауер на время настройки отключен.
    Почитал https://doc.opensuse.org/documentati...curity.ad.html
    Ввожу машину в домен с помощью "Центр управления YaST" - "Управление входом пользователей". Ввожу имя домена, сервисы данных и аутентификации указываю Microsoft AD. Получаю запрос аутентификации, ввожу данные администратора домена, суся рапортует что всё ок, она в домене.
    В группе ADUC машина появляется. Отлогиниваюсь локальной учёткой "admin" (заведённой при установке) и пробую логин доменного пользователя в форматах OFFICE\UserTest; OFFICE\usertest; UserTest@office.test.com; usertest@office.test.com... У суси один ответ: "Не удалочь войти в систему".
    Среди попыток понять в чём затык тестилось следующее:
    -
    Code:
    kinit UserTest
         Password for UserTest@OFFICE.TEST.COM:
      klist
         Ticket cache: DIR::/run/user/1000/krb5cc/tkt
         Default principal: UserTest@OFFICE.TEST.COM
    Valid starting             Expires                    Service principal
    05.03.2019 14:02:39  06.03.2019 00:02:39  krbtgt/OFFICE.TEST.COM@OFFICE.TEST.COM
            renew until 06.03.2019 14:02:33
    Вроде ок...

    - вывод wbinfo -u и wbinfo -g показывает доменных пользователей и группы.
    - вывод getent passwd и getent group показывает доменных пользователей и группы.
    - вывод wbinfo -t:
    Code:
    checking the trust secret for domain OFFICE via RPC calls failed
    failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
    Could not check secret
    Дальше я полез в гугл, и оказалось что мануалы в основном за 10-13 года. Не то чтобы мне лениво ковыряться в конфигах, но раз есть сообщество то может у кого либо была подобная проблема и есть отработанные пути решения)
    Кстати, допускаю некорректную настройку схемы UNIX на DC, ибо домен с историей и поднимался давно и не мною.
    Буду благодарен за любую помощь...

  2. #2

    Post Re: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    Quote Originally Posted by MadRonin View Post
    - вывод wbinfo -t:
    Code:
    checking the trust secret for domain OFFICE via RPC calls failed
    failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
    Could not check secret
    Погуглив попыталсяповысить привилегии:
    - вывод sudo wbinfo -t
    Code:
     [sudo] пароль для root: 
    checking the trust secret for domain OFFICE via RPC calls succeeded
    ...но под доменными учётками всё так же не даёт залогинится в систему(

  3. #3
    Join Date
    Jan 2011
    Location
    Vladivostok
    Posts
    617

    Default Re: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    приветствую

    авторизуетесь в чем, DM-e или консоли? должны быть ошибки в логе (journalctl)
    в любом случае надо раскуривать pam_winbind

  4. #4

    Unhappy Re: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    Откатил виртуалку на момент установки, ещё раз накатил обновления через zypper dup. Загнал машину в домен через всё то же "Управление входом пользователей".
    Если понимаю правильно - оно основано на SSSD, без использования самбы и винбинда.

    Quote Originally Posted by kill_it View Post
    приветствую
    авторизуетесь в чем, DM-e или консоли? должны быть ошибки в логе (journalctl)
    в любом случае надо раскуривать pam_winbind
    Авторизовался и там, и там. Результат копания логов предъявляю:
    /var/log/sssd/sssd_nss.log
    Code:
    (Tue Mar 12 12:34:55 2019) [sssd[nss]] [cache_req_process_result] (0x0400): CR #7: Finished: Not found
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [get_client_cred] (0x0080): The following failure is expected to happen in case SELinux is disabled:
    SELINUX_getpeercon failed [95][Неподдерживаемая операция].
    Please, consider enabling SELinux in your system.
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [accept_fd_handler] (0x0400): Client connected!
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [sss_cmd_get_version] (0x0200): Received client version [1].
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [sss_cmd_get_version] (0x0200): Offered version [1].
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [nss_getby_name] (0x0400): Input name: UserTest
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_send] (0x0400): CR #8: New request 'User by name'
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_process_input] (0x0400): CR #8: Parsing input name [UserTest]
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [sss_parse_name_for_domains] (0x0200): name 'UserTest' matched without domain, user is UserTest
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_set_name] (0x0400): CR #8: Setting name [UserTest]
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_select_domains] (0x0400): CR #8: Performing a multi-domain search
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_domains] (0x0400): CR #8: Search will check the cache and check the data provider
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_set_domain] (0x0400): CR #8: Using domain [office.test.com]
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_prepare_domain_data] (0x0400): CR #8: Preparing input data for domain [office.test.com] r$
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_send] (0x0400): CR #8: Looking up UserTest@office.test.com
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_ncache] (0x0400): CR #8: Checking negative cache for [UserTest@office.test.com]
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_ncache] (0x0400): CR #8: [UserTest@office.test.com] is not present in negative cac$
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_cache] (0x0400): CR #8: Looking up [UserTest@office.test.com] in cache
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_send] (0x0400): CR #8: Returning [UserTest@office.test.com] from cache
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_ncache_filter] (0x0400): CR #8: This request type does not support filtering result by $
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_create_and_add_result] (0x0400): CR #8: Found 1 entries in domain office.test.com
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_done] (0x0400): CR #8: Finished: Success
    (Tue Mar 12 12:35:16 2019) [sssd[nss]] [expand_homedir_template] (0x0020): Missing template.
    (Tue Mar 12 12:35:18 2019) [sssd[nss]] [client_recv] (0x0200): Client disconnected!
    (Tue Mar 12 12:35:38 2019) [sssd[nss]] [get_client_cred] (0x0080): The following failure is expected to happen in case SELinux is disabled:
    SELINUX_getpeercon failed [95][Неподдерживаемая операция].
    Please, consider enabling SELinux in your system.
    journalctl -b 0 | grep sddm
    Code:
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-greeter[1320]: Reading from "/usr/share/xsessions/plasma5.desktop"
    мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Message received from greeter: Login
    мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Reading from "/usr/share/xsessions/plasma5.desktop"
    мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Reading from "/usr/share/xsessions/plasma5.desktop"
    мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Session "/usr/share/xsessions/plasma5.desktop" selected, command: "/usr/bin/startkde"
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Starting...
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Authenticating...
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Preparing to converse...
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Conversation with 1 messages
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: pam_unix(sddm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=UserTest
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: pam_sss(sddm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=UserTest
    мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: pam_sss(sddm:auth): received for user UserTest: 6 (Доступ запрещен)
    мар 12 12:35:18 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] authenticate: Сбой при проверке подлинности
    мар 12 12:35:18 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] returning.
    мар 12 12:35:18 OpenSUSE.office.test.com sddm[1285]: Authentication error: "Сбой при проверке подлинности"
    мар 12 12:35:18 OpenSUSE.office.test.com sddm-greeter[1320]: Message received from daemon: LoginFailed
    мар 12 12:35:18 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Ended.
    мар 12 12:35:18 OpenSUSE.office.test.com sddm[1285]: Auth: sddm-helper exited with 1

  5. #5
    Join Date
    Jan 2011
    Location
    Vladivostok
    Posts
    617

    Default Re: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    у меня заводилось с winbind
    c sssd не пробовал, к сожалению

    зы, инфы из логов как-то маловато

  6. #6

    Default Re: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    Quote Originally Posted by kill_it View Post
    у меня заводилось с winbind
    c sssd не пробовал, к сожалению
    С winbind пробовал, смог завести только после правки конфигов самбы и winbindа, но печаль в том что не взлетело SSO, и при доступе на виндовые ресурсы требовало логин/пароль.

    Quote Originally Posted by kill_it View Post
    зы, инфы из логов как-то маловато
    Какие логи выкладывать, я по сути нуб в никсах...

    P.S. Сегодня, после обновления и ребута пустило под доменной учёткой, создалась домашняя папка, пустило на виншары и т.д. Счастья хватило до перезагрузки. После неё снова только локальной учёткой войти можно.

  7. #7

    Default Re: Авторизация доменных учётных записей в OpenSUSE Tumbleweed

    1) Покажите скрины настроек ldap клиента c sssd в yast2.
    2) Выкладывайте файл /etc/sssd/sssd.conf
    3) Не забыли настроить NTP клиент в OpenSUSE?
    4) Покажите файл с настройками Переключателя Служб Имен nsswitch.conf: /etc/nsswitch.conf


    Лучше использовать схему LDAP клиент + SSL/TLS + SSSD на стороне OpenSUSE, но это ещё сложнее.


Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •