PBIS Открывают остановки аутентификации AD, работающие над человечностью с ошибками: “пользователь accout истек”, и “Ваша учетная запись заблокирована?”
Мы использовали PowerBroker Identity Services, Открытую для аутентификации пользователей Active Directory от хостов человечности успешно в течение шести месяцев.
Недавно AD аутентификация прекратила работать над несколькими рабочими станциями после пользователей, выполненных apt-get upgrade из 200 + пакеты сразу. Попытки аутентификации дают ошибки, "неверный пароль", "учетная запись пользователя истекла", или "Ваша учетная запись, заблокирован?"
Я не смог связать проблему с определенным обновлением пакета, но сборка рабочих станций с нуля с теми же версиями пакета не испытывают проблему. Я попытался переустановить PBIS и проверил все файлы конфигурации, но я пропускаю что-то.... Я в замешательстве и любил бы любой совет, который любой имеет. Я не должен восстанавливать другое поле в следующий раз, когда это происходит!
Попытки аутентификации
Я сначала проверил, что AD учетная запись пользователя была включена, не была заблокирована и не истекла. Аутентификация локального пользователя хорошо работает через lightdm и ssh.
lightdm
- допустимые учетные данные
- ошибка, возвращенная пользователю "Неверный пароль, попробуйте еще раз".
- auth.log: ничего
- системный журнал:ничего
неправильный пароль
- ошибка, возвращенная пользователю "Неверный пароль, попробуйте еще раз".
auth.log:
lightdm: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:username][error code:40022]системный журнал:
lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed) lsass: [lsass] Failed to authenticate user (name = 'username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 17768
- допустимые учетные данные
ssh
допустимые учетные данные
- ssh разъединяются с "Соединением, закрытым IP_ADDRESS".
auth.log:
sshd[18237]: error: PAM: User account has expired for DOMAIN\\USER from HOSTNAME sshd[18237]: error: Received disconnect from IP_ADDRESS: 13: Unable to authenticate [preauth]- системный журнал:ничего
неправильный пароль
- ssh разъединяются с "Соединением, закрытым IP_ADDRESS".
auth.log:
sshd[18276]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:domain\username][error code:40022] sshd[18272]: error: PAM: Authentication failure for domain\\username from hostnameсистемный журнал
lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed) lsass: [lsass] Failed to authenticate user (name = 'domain\username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 18276
Просто пробуя некоторый сумасшедший локальный материал (и не, учетная запись не заблокирована в AD),
root@hostname:~# su - domain\\username su: Authentication failure (Ignored) reenter password for pam_mount: DOMAIN\username@hostname:~$ sudo cat /etc/fstab [sudo] password for DOMAIN\username: sudo: account validation failure, is your account locked? DOMAIN\username@hostname:~$
Конфигурация
- Ubuntu 14.04
- PBIS открытые 8.0.1.2029 (pbis-open-8.0.1.2029.linux.x86_64.deb.sh)
/opt/pbis/bin/config - дамп
AllowDeleteTo "" AllowReadTo "" AllowWriteTo "" MaxDiskUsage 104857600 MaxEventLifespan 90 MaxNumEvents 100000 DomainSeparator "\\" SpaceReplacement "^" EnableEventlog false Providers "ActiveDirectory" DisplayMotd false PAMLogLevel "error" UserNotAllowedError "Access denied" AssumeDefaultDomain true CreateHomeDir true CreateK5Login true SyncSystemTime true TrimUserMembership true LdapSignAndSeal false LogADNetworkConnectionEvents true NssEnumerationEnabled true NssGroupMembersQueryCacheOnly true NssUserMembershipQueryCacheOnly false RefreshUserCredentials true CacheEntryExpiry 14400 DomainManagerCheckDomainOnlineInterval 300 DomainManagerUnknownDomainCacheTimeout 3600 MachinePasswordLifespan 2592000 MemoryCacheSizeCap 0 HomeDirPrefix "/home" HomeDirTemplate "%H/%D/%U" RemoteHomeDirTemplate "" HomeDirUmask "022" LoginShellTemplate "/bin/bash" SkeletonDirs "/etc/skel" UserDomainPrefix "DOMAIN.COM" DomainManagerIgnoreAllTrusts false DomainManagerIncludeTrustsList DomainManagerExcludeTrustsList RequireMembershipOf "DOMAIN\\DOMAIN-GROUP" Local_AcceptNTLMv1 true Local_HomeDirTemplate "%H/local/%D/%U" Local_HomeDirUmask "022" Local_LoginShellTemplate "/bin/sh" Local_SkeletonDirs "/etc/skel" UserMonitorCheckInterval 1800 LsassAutostart true EventlogAutostart true/opt/pbis/bin/get-status
LSA Server Status: Compiled daemon version: 8.0.1.2029 Packaged product version: 8.0.2029.67662 Uptime: 1 days 1 hours 4 minutes 26 seconds [Authentication provider: lsa-activedirectory-provider] Status: Online Mode: Un-provisioned Domain: DOMAIN.COM Domain SID: S-1-5-21-3537566271-1428921453-776812789 Forest: domain.com Site: NYC Online check interval: 300 seconds [Trusted Domains: 1] [Domain: DOMAIN] DNS Domain: domain.com Netbios name: DOMAIN Forest name: domain.com Trustee DNS name: Client site name: NYC Domain SID: S-1-5-21-3537566271-1428921453-776812789 Domain GUID: 0b6b6d88-ea48-314a-8bad-a997a57bc1f4 Trust Flags: [0x001d] [0x0001 - In forest] [0x0004 - Tree root] [0x0008 - Primary] [0x0010 - Native] Trust type: Up Level Trust Attributes: [0x0000] Trust Direction: Primary Domain Trust Mode: In my forest Trust (MFT) Domain flags: [0x0001] [0x0001 - Primary] [Domain Controller (DC) Information] DC Name: dc2.nyc.domain.com DC Address: 10.x.x.50 DC Site: NYC DC Flags: [0x0000f1fc] DC Is PDC: no DC is time server: yes DC has writeable DS: yes DC is Global Catalog: yes DC is running KDC: yes [Global Catalog (GC) Information] GC Name: dc1.nyc.domain.com GC Address: 10.x.x.50 GC Site: NYC GC Flags: [0x0000f3fd] GC Is PDC: yes GC is time server: yes GC has writeable DS: yes GC is running KDC: yes/opt/pbis/bin/find-objects - пользовательское ИМЯ ПОЛЬЗОВАТЕЛЯ
User object [1 of 1] (S-1-5-21-3537566271-1428921453-776812789-1107) ============ Enabled: yes Distinguished name: CN=USERNAME,OU=User,OU=User Accounts,DC=domain,DC=com SAM account name: username NetBIOS domain name: DOMAIN UPN: username@DOMAIN.COM Display Name: First Last Alias: <null> UNIX name: DOMAIN\username GECOS: First LAst Shell: /bin/bash Home directory: /home/DOMAIN/username Windows home directory: \\domain.com\dfs\NYC\Users\username Local windows home directory: UID: 1023411283 Primary group SID: S-1-5-21-3537566271-1428921453-776812789-513 Primary GID: 1023410689 Password expired: no Password never expires: yes Change password on next logon: no User can change password: yes Account disabled: no Account expired: no Account locked: no/etc/pbis/pbis-krb5-ad.conf
[libdefaults] default_tgs_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC default_tkt_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC preferred_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC dns_lookup_kdc = true pkinit_kdc_hostname = <DNS> pkinit_anchors = DIR:/var/lib/pbis/trusted_certs pkinit_cert_match = &&<EKU>msScLogin<PRINCIPAL> pkinit_eku_checking = kpServerAuth pkinit_win2k_require_binding = false pkinit_identities = PKCS11:/opt/pbis/lib/libpkcs11.so/etc/pam.d/common-session
session [default=1] pam_permit.so session requisite pam_deny.so session required pam_permit.so session optional pam_umask.so session required pam_unix.so session optional pam_mount.so session [success=ok default=ignore] pam_lsass.so session optional pam_systemd.so/etc/pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure auth [success=1 default=ignore] pam_lsass.so try_first_pass auth requisite pam_deny.so auth required pam_permit.so auth optional pam_cap.so auth optional pam_mount.so/opt/pbis/share/pbis.pam-auth-update
Name: Likewise Default: yes Priority: 250 Conflicts: winbind Auth-Type: Primary Auth: [success=end default=ignore] pam_lsass.so try_first_pass Auth-Initial: [success=end default=ignore] pam_lsass.so Account-Type: Primary Account: [success=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_ok [success=end new_authtok_reqd=done default=ignore] pam_lsass.so Session-Type: Additional Session: sufficient pam_lsass.so Password-Type: Primary Password: [success=end default=ignore] pam_lsass.so use_authtok try_first_pass Password-Initial: [success=end default=ignore] pam_lsass.so/usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf
[SeatDefaults] user-session=ubuntu greeter-show-manual-login=true/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
[SeatDefaults] allow-guest=false greeter-show-remote-login=false greeter-show-manual-login=true greeter-session=unity-greeter
Ключевая строка такова:
sshd [18237]: ошибка: PAM: срок действия учетной записи пользователя для DOMAIN \\ USER от HOSTNAME
истек. Это указывает на то, что модуль PAM считает, что срок действия учетной записи истек. Я бы меньше сосредоточился на auth / session и больше на учетной записи , которая является средством, ориентированным на свойства учетной записи, не связанные с аутентификацией. Ваша первая задача - определить модуль, вызывающий проблему. Как только вы это узнаете, будет намного проще определить , почему модуль считает, что пользователя следует заблокировать.
Просмотрите соответствующие модули учетной записи один за другим и попробуйте добавить флаг отладки для отдельных записей, чтобы расширить вывод журнала, если вам нужны дополнительные подсказки. Если вы действительно в тупике и это не нарушит безопасность критической среды, вы также можете попробовать комментировать строки учетной записи по одной, пока не определите виновника.
Что касается того, что изменилось, скорее всего, ваша конфигурация PAM была изменена при установке этих пакетов. Скорее всего, указанные пользователи находились в этом состоянии все время, но база данных, связанная с некорректным модулем учетной записи , игнорировалась. (пропущено, прокомментировано, вообще отсутствует и т. д.)
Еще раз спасибо @Andrew B за помощь в поиске решения.
Для записи, вот копия правильной конфигурации /etc/pam.d/common-account, которая ИСПРАВЛЯЕТ мою проблему (две строки pam_lsass.so отсутствовали в системах, которые не работали):
account [success=3 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_ok
account [success=1 new_authtok_reqd=done default=ignore] pam_lsass.so
account requisite pam_deny.so
account required pam_permit.so
FYI: domainjoin-cli configure --enable pam добавит эти строки после обновления. PBIS Open 8.x и выше корректно передаёт конфигурацию /usr/share/pam-configs/pbis, чтобы этого не произошло в будущем.
Кроме того, PBIS регистрирует более специфические ошибки в демоне syslog, поэтому их можно просмотреть в ubuntu в /var/log/syslog, а не в /var/log/secure.
Я столкнулся с этой проблемой на одном из наших серверов Ubuntu 14.04.4 для одного пользователя. В отображаемом имени пользователя в AD был значок ø. Когда я заменил ø на o, он смог войти в систему. Я еще не понял, почему это была проблема только на одном сервере.