Мы использовали PowerBroker Identity Services Open для успешной аутентификации пользователей Active Directory с хостов ubuntu в течение шести месяцев.
Недавно аутентификация AD перестала работать на нескольких рабочих станциях после того, как пользователи выполнили apt-get upgrade сразу 200+ пакетов. Попытки аутентификации выдают ошибки: «неверный пароль», «срок действия учетной записи истек» или «ваша учетная запись заблокирована?»
Мне не удалось связать проблему с определенным обновлением пакета, но на рабочих станциях, созданных с нуля с теми же версиями пакетов, проблема не возникает. Я попытался переустановить PBIS и проверил все файлы конфигурации, но что-то упустил .... Я в растерянности и хотел бы получить любой совет. Я бы предпочел не перестраивать еще одну коробку, когда это произойдет в следующий раз!
Сначала я убедился, что учетная запись пользователя AD была включена, не заблокирована и срок ее действия не истек. Аутентификация локального пользователя отлично работает через lightdm и ssh.
lightdm
неверный пароль
auth.log:
lightdm: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:username][error code:40022]
системный журнал:
lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
lsass: [lsass] Failed to authenticate user (name = 'username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 17768
ssh
действительные учетные данные
auth.log:
sshd[18237]: error: PAM: User account has expired for DOMAIN\\USER from HOSTNAME
sshd[18237]: error: Received disconnect from IP_ADDRESS: 13: Unable to authenticate [preauth]
неверный пароль
auth.log:
sshd[18276]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:domain\username][error code:40022]
sshd[18272]: error: PAM: Authentication failure for domain\\username from hostname
системный журнал
lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
lsass: [lsass] Failed to authenticate user (name = 'domain\username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 18276
Просто пробую какие-то сумасшедшие местные вещи (и нет, учетная запись не заблокирована в AD)
root@hostname:~# su - domain\\username
su: Authentication failure
(Ignored)
reenter password for pam_mount:
DOMAIN\username@hostname:~$ sudo cat /etc/fstab
[sudo] password for DOMAIN\username:
sudo: account validation failure, is your account locked?
DOMAIN\username@hostname:~$
/ opt / pbis / bin / config --dump
AllowDeleteTo ""
AllowReadTo ""
AllowWriteTo ""
MaxDiskUsage 104857600
MaxEventLifespan 90
MaxNumEvents 100000
DomainSeparator "\\"
SpaceReplacement "^"
EnableEventlog false
Providers "ActiveDirectory"
DisplayMotd false
PAMLogLevel "error"
UserNotAllowedError "Access denied"
AssumeDefaultDomain true
CreateHomeDir true
CreateK5Login true
SyncSystemTime true
TrimUserMembership true
LdapSignAndSeal false
LogADNetworkConnectionEvents true
NssEnumerationEnabled true
NssGroupMembersQueryCacheOnly true
NssUserMembershipQueryCacheOnly false
RefreshUserCredentials true
CacheEntryExpiry 14400
DomainManagerCheckDomainOnlineInterval 300
DomainManagerUnknownDomainCacheTimeout 3600
MachinePasswordLifespan 2592000
MemoryCacheSizeCap 0
HomeDirPrefix "/home"
HomeDirTemplate "%H/%D/%U"
RemoteHomeDirTemplate ""
HomeDirUmask "022"
LoginShellTemplate "/bin/bash"
SkeletonDirs "/etc/skel"
UserDomainPrefix "DOMAIN.COM"
DomainManagerIgnoreAllTrusts false
DomainManagerIncludeTrustsList
DomainManagerExcludeTrustsList
RequireMembershipOf "DOMAIN\\DOMAIN-GROUP"
Local_AcceptNTLMv1 true
Local_HomeDirTemplate "%H/local/%D/%U"
Local_HomeDirUmask "022"
Local_LoginShellTemplate "/bin/sh"
Local_SkeletonDirs "/etc/skel"
UserMonitorCheckInterval 1800
LsassAutostart true
EventlogAutostart true
/ opt / pbis / bin / get-status
LSA Server Status:
Compiled daemon version: 8.0.1.2029
Packaged product version: 8.0.2029.67662
Uptime: 1 days 1 hours 4 minutes 26 seconds
[Authentication provider: lsa-activedirectory-provider]
Status: Online
Mode: Un-provisioned
Domain: DOMAIN.COM
Domain SID: S-1-5-21-3537566271-1428921453-776812789
Forest: domain.com
Site: NYC
Online check interval: 300 seconds
[Trusted Domains: 1]
[Domain: DOMAIN]
DNS Domain: domain.com
Netbios name: DOMAIN
Forest name: domain.com
Trustee DNS name:
Client site name: NYC
Domain SID: S-1-5-21-3537566271-1428921453-776812789
Domain GUID: 0b6b6d88-ea48-314a-8bad-a997a57bc1f4
Trust Flags: [0x001d]
[0x0001 - In forest]
[0x0004 - Tree root]
[0x0008 - Primary]
[0x0010 - Native]
Trust type: Up Level
Trust Attributes: [0x0000]
Trust Direction: Primary Domain
Trust Mode: In my forest Trust (MFT)
Domain flags: [0x0001]
[0x0001 - Primary]
[Domain Controller (DC) Information]
DC Name: dc2.nyc.domain.com
DC Address: 10.x.x.50
DC Site: NYC
DC Flags: [0x0000f1fc]
DC Is PDC: no
DC is time server: yes
DC has writeable DS: yes
DC is Global Catalog: yes
DC is running KDC: yes
[Global Catalog (GC) Information]
GC Name: dc1.nyc.domain.com
GC Address: 10.x.x.50
GC Site: NYC
GC Flags: [0x0000f3fd]
GC Is PDC: yes
GC is time server: yes
GC has writeable DS: yes
GC is running KDC: yes
/ opt / pbis / bin / find-objects --user ИМЯ ПОЛЬЗОВАТЕЛЯ
User object [1 of 1] (S-1-5-21-3537566271-1428921453-776812789-1107)
============
Enabled: yes
Distinguished name: CN=USERNAME,OU=User,OU=User Accounts,DC=domain,DC=com
SAM account name: username
NetBIOS domain name: DOMAIN
UPN: username@DOMAIN.COM
Display Name: First Last
Alias: <null>
UNIX name: DOMAIN\username
GECOS: First LAst
Shell: /bin/bash
Home directory: /home/DOMAIN/username
Windows home directory: \\domain.com\dfs\NYC\Users\username
Local windows home directory:
UID: 1023411283
Primary group SID: S-1-5-21-3537566271-1428921453-776812789-513
Primary GID: 1023410689
Password expired: no
Password never expires: yes
Change password on next logon: no
User can change password: yes
Account disabled: no
Account expired: no
Account locked: no
/etc/pbis/pbis-krb5-ad.conf
[libdefaults]
default_tgs_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
default_tkt_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
preferred_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
dns_lookup_kdc = true
pkinit_kdc_hostname = <DNS>
pkinit_anchors = DIR:/var/lib/pbis/trusted_certs
pkinit_cert_match = &&<EKU>msScLogin<PRINCIPAL>
pkinit_eku_checking = kpServerAuth
pkinit_win2k_require_binding = false
pkinit_identities = PKCS11:/opt/pbis/lib/libpkcs11.so
/etc/pam.d/common-session
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
session required pam_unix.so
session optional pam_mount.so
session [success=ok default=ignore] pam_lsass.so
session optional pam_systemd.so
/etc/pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_lsass.so try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
auth optional pam_mount.so
/opt/pbis/share/pbis.pam-auth-update
Name: Likewise
Default: yes
Priority: 250
Conflicts: winbind
Auth-Type: Primary
Auth:
[success=end default=ignore] pam_lsass.so try_first_pass
Auth-Initial:
[success=end default=ignore] pam_lsass.so
Account-Type: Primary
Account:
[success=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_ok
[success=end new_authtok_reqd=done default=ignore] pam_lsass.so
Session-Type: Additional
Session:
sufficient pam_lsass.so
Password-Type: Primary
Password:
[success=end default=ignore] pam_lsass.so use_authtok try_first_pass
Password-Initial:
[success=end default=ignore] pam_lsass.so
/usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf
[SeatDefaults]
user-session=ubuntu
greeter-show-manual-login=true
/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf
[SeatDefaults]
allow-guest=false
greeter-show-remote-login=false
greeter-show-manual-login=true
greeter-session=unity-greeter
К вашему сведению: domainjoin-cli configure --enable pam также повторно добавит эти строки после обновления. PBIS Open 8.x и выше должным образом доставляет /usr/share/pam-configs/pbis конфигурации, чтобы этого не произошло в будущем.
Кроме того, PBIS регистрирует более конкретные ошибки в демону syslog, поэтому вы можете просматривать их в ubuntu в /var/log/syslog скорее, чем /var/log/secure.
Ключевая линия такова:
sshd[18237]: error: PAM: User account has expired for DOMAIN\\USER from HOSTNAME
Это означает, что модуль PAM считает, что срок действия учетной записи истек. Я бы меньше сосредоточился на auth/session и многое другое на account, который является средством, ориентированным на свойства учетной записи, не связанные с аутентификацией. Ваша первая задача - определить модуль, вызывающий проблему. Как только вы это узнаете, будет намного легче определить Зачем модуль считает, что пользователя следует заблокировать.
Просмотрите применимые account модули один за другим и попробуйте добавить debug для отдельных записей, чтобы расширить вывод журнала, если вам нужны дополнительные подсказки. Если вы действительно в тупике и это не нарушит безопасность критической среды, вы также можете попробовать прокомментировать account линии по очереди, пока вы не определите виновного.
Что касается того, что изменилось, более чем вероятно, что ваша конфигурация PAM была изменена при установке этих пакетов. Скорее всего, указанные пользователи все время находились в таком состоянии, но база данных, связанная с некорректным поведением account модуль был обойден. (пропущено, прокомментировано, отсутствует и т. д.)
Еще раз спасибо @Andrew B за помощь в поиске решения.
Для записи, вот копия правильной конфигурации /etc/pam.d/common-account, которая ИСПРАВЛЯЕТ мою проблему (две строки pam_lsass.so отсутствовали в системах, которые не работали):
account [success=3 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_ok
account [success=1 new_authtok_reqd=done default=ignore] pam_lsass.so
account requisite pam_deny.so
account required pam_permit.so
Я столкнулся с этой проблемой на одном из наших серверов Ubuntu 14.04.4 для одного пользователя. В отображаемом имени пользователя в AD был значок ø. Когда я заменил ø на o, он смог войти в систему. Я еще не понял, почему это была проблема только на одном сервере.