Назад | Перейти на главную страницу

Локальные группы, привязанные к пользователям AD через groups.conf, работают - но только с входом ssh

Я использую домен Samba Active Directory с клиентами Ubuntu 18.04.

Я использовал /etc/security/group.conf файл для успешного создания сопоставления пользователей домена с группой «dialout». Я тестировал его на нескольких машинах, и он работал нормально ...

rightmire@testpc:~$ groups
domain users dialout master BUILTIN+users rightmire

Однако сегодня без видимой причины - он больше не отображает группу dialout ...

rightmire@testpc:~$ groups
domain users master BUILTIN+users rightmire

Повторный запуск pam-auth-update делает похоже, видит groups.conf ...

Я не знаю, как начать устранение неполадок. В поисках group.conf или pam-auth-update в логах ничего не придумывает. Я не вижу ничего подходящего в syslog или auth.log

===

ФАЙЛЫ:

root@testpc:~# cat /etc/security/group.conf | sed '/^#/d'

*;*;*;Al0000-2400;dialout


root@testpc:~# cat /usr/share/pam-configs/my_groups
Name: activate /etc/security/group.conf
Default: yes
Priority: 900
Auth-Type: Primary
Auth:
        required                        pam_group.so use_first_pass


root@testpc:~# DEBIAN_FRONTEND=noninteractive pam-auth-update
root@testpc:~# 
(I.e. no error...)

ОБНОВИТЬ:

Похоже, проблема возникает только с su - user или локальный вход (даже если локальный вход осуществляется через домен).

Т.е. Если я вхожу в систему через ssh как пользователь, группа dialout выглядит нормально ...

rightmire@localPC:~$ ssh rightmire@remotePC
Welcome to Ubuntu 18.04.2 LTS (GNU/Linux 4.15.0-46-generic x86_64)

(...snip...)

68 packages can be updated.
43 updates are security updates.

rightmire@remotePC:~$ groups
domain users dialout master BUILTIN+users 
rightmire@remotePC:~$

Но если я su - rightmire, оно делает не появляются ...

root@remotePC:~# su - rightmire
rightmire@remotePC:~$ groups
domain users master BUILTIN+users domain admins denied rodc password replication group staff konstrukteure vicongroup h2t rightmire
rightmire@remotePC:~$

ОБНОВИТЬ

Я посмотрел в /etc/pam.d. Два файла, содержащие ссылку на pam_group.so являются common-auth и login

./common-auth:auth      required                        pam_group.so use_first_pass
./login:auth       optional   pam_group.so

Однако большинство файлов (соответствующих входа в систему) (включая su и sudo которые НЕ устанавливают группу, а также sshd который ДЕЙСТВИТЕЛЬНО устанавливает группы) включает common-auth ...

./chfn:@include common-auth
./chsh:@include common-auth
./cron:@include common-auth
./cups:@include common-auth
./gdm-password:@include common-auth
./lightdm:@include common-auth
./login:@include common-auth
./other:@include common-auth
./polkit-1:@include common-auth
./samba:@include common-auth
./slock:@include common-auth
./sshd:@include common-auth
./su:@include common-auth
./sudo:@include common-auth