Назад | Перейти на главную страницу

Ошибка аутентификации Kerberos-PAM: pam или предварительная аутентификация

kinit -p 'username' работает - нет проблем с настройкой области Kerberos.

Однако я не могу заставить работать логин из графического интерфейса.

Клиент auth.log:

pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm>
gkr-pam: error looking up user information

Сервер krb5kdc.log:

Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional
pre-authentication required


Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: 
ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for 
krbtgt/<realm>@<realm>

Другими словами, сервер Kerberos выдает билет клиенту без проблем, но вход в систему из графического интерфейса не работает. Любые мысли действительно приветствуются!

И клиент, и сервер работают под управлением Debian 7.6.0 x86_64.

Ключевое направление, на которое стоит обратить внимание:

gkr-pam: error looking up user information

Успешная аутентификация не обязательно означает, что доступ будет предоставлен PAM. Пользователь должен быть распознан операционной системой, а также должен пройти бухгалтерские проверки ( account модули в стеке PAM).

Вышеприведенная ошибка предполагает, что пользователь либо не существует в системе (с консоли getent passwd <username> и getent shadow <username> оба работают?), либо один из настроенных вами модулей PAM испытывает трудности с получением информации о пользователе из удаленного источника.

Сосредоточьте свое расследование в этом направлении, и вы сможете определить и исправить проблему.