kinit -p 'username' работает - нет проблем с настройкой области Kerberos.
Однако я не могу заставить работать логин из графического интерфейса.
Клиент auth.log:
pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm>
gkr-pam: error looking up user information
Сервер krb5kdc.log:
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional
pre-authentication required
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for
krbtgt/<realm>@<realm>
Другими словами, сервер Kerberos выдает билет клиенту без проблем, но вход в систему из графического интерфейса не работает. Любые мысли действительно приветствуются!
И клиент, и сервер работают под управлением Debian 7.6.0 x86_64.
Ключевое направление, на которое стоит обратить внимание:
gkr-pam: error looking up user information
Успешная аутентификация не обязательно означает, что доступ будет предоставлен PAM. Пользователь должен быть распознан операционной системой, а также должен пройти бухгалтерские проверки ( account
модули в стеке PAM).
Вышеприведенная ошибка предполагает, что пользователь либо не существует в системе (с консоли getent passwd <username>
и getent shadow <username>
оба работают?), либо один из настроенных вами модулей PAM испытывает трудности с получением информации о пользователе из удаленного источника.
Сосредоточьте свое расследование в этом направлении, и вы сможете определить и исправить проблему.