Уважаемые форумчане, прошу вашей помощи.
Ситуация следующая: есть домен office.test.com. AD+DNS+DHCP. Уровень домена 2008 R2. Служба “Сервер для служб NIS” установлена и запущена. В свойствах ADUC тестового пользователя “UserTest” на вкладке Unix Attributes заполнены все поля. Брандмауер на время настройки отключен.
Есть рабочая станция с OpenSUSE Tumbleweed. Обновы накатились во время установки. Сеть настроена в DHCP, IP адрес получен, интернет есть. NSLOOKUP резолвит имя КД в адрес без проблем. Брандмауер на время настройки отключен.
Почитал https://doc.opensuse.org/documentation/leap/security/html/book.security/cha.security.ad.html
Ввожу машину в домен с помощью “Центр управления YaST” - “Управление входом пользователей”. Ввожу имя домена, сервисы данных и аутентификации указываю Microsoft AD. Получаю запрос аутентификации, ввожу данные администратора домена, суся рапортует что всё ок, она в домене.
В группе ADUC машина появляется. Отлогиниваюсь локальной учёткой “admin” (заведённой при установке) и пробую логин доменного пользователя в форматах OFFICE\UserTest; OFFICE\usertest; UserTest@office.test.com; usertest@office.test.com… У суси один ответ: “Не удалочь войти в систему”.
Среди попыток понять в чём затык тестилось следующее:
kinit UserTest
Password for UserTest@OFFICE.TEST.COM:
klist
Ticket cache: DIR::/run/user/1000/krb5cc/tkt
Default principal: UserTest@OFFICE.TEST.COM
Valid starting Expires Service principal
05.03.2019 14:02:39 06.03.2019 00:02:39 krbtgt/OFFICE.TEST.COM@OFFICE.TEST.COM
renew until 06.03.2019 14:02:33
Вроде ок…
- вывод wbinfo -u и wbinfo -g показывает доменных пользователей и группы.
- вывод getent passwd и getent group показывает доменных пользователей и группы.
- вывод wbinfo -t:
checking the trust secret for domain OFFICE via RPC calls failed
failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not check secret
Дальше я полез в гугл, и оказалось что мануалы в основном за 10-13 года. Не то чтобы мне лениво ковыряться в конфигах, но раз есть сообщество то может у кого либо была подобная проблема и есть отработанные пути решения)
Кстати, допускаю некорректную настройку схемы UNIX на DC, ибо домен с историей и поднимался давно и не мною.
Буду благодарен за любую помощь…
Погуглив попыталсяповысить привилегии:
[sudo] пароль для root:
checking the trust secret for domain OFFICE via RPC calls succeeded
…но под доменными учётками всё так же не даёт залогинится в систему(
приветствую
авторизуетесь в чем, DM-e или консоли? должны быть ошибки в логе (journalctl)
в любом случае надо раскуривать pam_winbind
Откатил виртуалку на момент установки, ещё раз накатил обновления через zypper dup. Загнал машину в домен через всё то же “Управление входом пользователей”.
Если понимаю правильно - оно основано на SSSD, без использования самбы и винбинда.
Авторизовался и там, и там. Результат копания логов предъявляю:
/var/log/sssd/sssd_nss.log
(Tue Mar 12 12:34:55 2019) [sssd[nss]] [cache_req_process_result] (0x0400): CR #7: Finished: Not found
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [get_client_cred] (0x0080): The following failure is expected to happen in case SELinux is disabled:
SELINUX_getpeercon failed [95]Неподдерживаемая операция].
Please, consider enabling SELinux in your system.
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [accept_fd_handler] (0x0400): Client connected!
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [sss_cmd_get_version] (0x0200): Received client version [1].
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [sss_cmd_get_version] (0x0200): Offered version [1].
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [nss_getby_name] (0x0400): Input name: UserTest
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_send] (0x0400): CR #8: New request 'User by name'
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_process_input] (0x0400): CR #8: Parsing input name [UserTest]
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [sss_parse_name_for_domains] (0x0200): name 'UserTest' matched without domain, user is UserTest
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_set_name] (0x0400): CR #8: Setting name [UserTest]
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_select_domains] (0x0400): CR #8: Performing a multi-domain search
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_domains] (0x0400): CR #8: Search will check the cache and check the data provider
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_set_domain] (0x0400): CR #8: Using domain [office.test.com]
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_prepare_domain_data] (0x0400): CR #8: Preparing input data for domain [office.test.com] r$
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_send] (0x0400): CR #8: Looking up UserTest@office.test.com
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_ncache] (0x0400): CR #8: Checking negative cache for [UserTest@office.test.com]
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_ncache] (0x0400): CR #8: [UserTest@office.test.com] is not present in negative cac$
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_cache] (0x0400): CR #8: Looking up [UserTest@office.test.com] in cache
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_send] (0x0400): CR #8: Returning [UserTest@office.test.com] from cache
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_search_ncache_filter] (0x0400): CR #8: This request type does not support filtering result by $
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_create_and_add_result] (0x0400): CR #8: Found 1 entries in domain office.test.com
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [cache_req_done] (0x0400): CR #8: Finished: Success
(Tue Mar 12 12:35:16 2019) [sssd[nss]] [expand_homedir_template] (0x0020): Missing template.
(Tue Mar 12 12:35:18 2019) [sssd[nss]] [client_recv] (0x0200): Client disconnected!
(Tue Mar 12 12:35:38 2019) [sssd[nss]] [get_client_cred] (0x0080): The following failure is expected to happen in case SELinux is disabled:
SELINUX_getpeercon failed [95]Неподдерживаемая операция].
Please, consider enabling SELinux in your system.
journalctl -b 0 | grep sddm
мар 12 12:35:16 OpenSUSE.office.test.com sddm-greeter[1320]: Reading from "/usr/share/xsessions/plasma5.desktop"
мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Message received from greeter: Login
мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Reading from "/usr/share/xsessions/plasma5.desktop"
мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Reading from "/usr/share/xsessions/plasma5.desktop"
мар 12 12:35:16 OpenSUSE.office.test.com sddm[1285]: Session "/usr/share/xsessions/plasma5.desktop" selected, command: "/usr/bin/startkde"
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Starting...
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Authenticating...
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Preparing to converse...
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Conversation with 1 messages
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: pam_unix(sddm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=UserTest
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: pam_sss(sddm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= user=UserTest
мар 12 12:35:16 OpenSUSE.office.test.com sddm-helper[1508]: pam_sss(sddm:auth): received for user UserTest: 6 (Доступ запрещен)
мар 12 12:35:18 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] authenticate: Сбой при проверке подлинности
мар 12 12:35:18 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] returning.
мар 12 12:35:18 OpenSUSE.office.test.com sddm[1285]: Authentication error: "Сбой при проверке подлинности"
мар 12 12:35:18 OpenSUSE.office.test.com sddm-greeter[1320]: Message received from daemon: LoginFailed
мар 12 12:35:18 OpenSUSE.office.test.com sddm-helper[1508]: [PAM] Ended.
мар 12 12:35:18 OpenSUSE.office.test.com sddm[1285]: Auth: sddm-helper exited with 1
у меня заводилось с winbind
c sssd не пробовал, к сожалению
зы, инфы из логов как-то маловато
С winbind пробовал, смог завести только после правки конфигов самбы и winbindа, но печаль в том что не взлетело SSO, и при доступе на виндовые ресурсы требовало логин/пароль.
Какие логи выкладывать, я по сути нуб в никсах…
P.S. Сегодня, после обновления и ребута пустило под доменной учёткой, создалась домашняя папка, пустило на виншары и т.д. Счастья хватило до перезагрузки. После неё снова только локальной учёткой войти можно.
- Покажите скрины настроек ldap клиента c sssd в yast2.
- Выкладывайте файл /etc/sssd/sssd.conf
- Не забыли настроить NTP клиент в OpenSUSE?
- Покажите файл с настройками Переключателя Служб Имен nsswitch.conf: /etc/nsswitch.conf
Лучше использовать схему LDAP клиент + SSL/TLS + SSSD на стороне OpenSUSE, но это ещё сложнее.