Изпечатай

[a108lnx]

Здравейте,
опитвам се да пусна юзъри от windows AD-то да се аутентикират от линукс машини или по-точно Mint 18.1 Serena.
Mъча го по този туториал: https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory. Кербероса и самбата съм ги конфигурирал или поне привидно, машината е джойната в домейна и се вижда в активната директория. С команди wbinfo -u|-g виждам юзърите и групите през LDAP. Обаче до там... nssswitch.config-a добавям winbind, но от "getent passwd | group виждам само локалните. Ако му нахвърлям настройките на PAM дадени от линка, гърми аутентикейшъна и не мога да си ползвам и root юзъра, освен че не логвам юзър от АД... :д
Предполагам PAM файлове нещо ги омазвам, забил съм от няколко дни и ако някой занимавал се може да помогне ще съм много благодарен.   

[geroy]

в /etc/nsswitch.conf  не трябва ли да са не compat ами files?

passwd:     files winbind
shadow:     files winbind
group:      files winbind

Така поне локалната автентикация трябва да ти работи?

[a108lnx]

Ами не и с files е абсолютно същото. Като ти иска руут парола за нещо винаги отговора е "Sorry, Wrong Pass", и само мога да логна от grub loader-a, a иначе PAM-a буквално копи/пейст му правя без да пипам друго. Ако трябва ще кача как изглеждат файловете.

[Ipolit]

Ето аз какво съм правил, но не е към Windows директори сървър, а към apacheDS, което е някаква имплементация на openldap.

Код:

passwd:         files ldap
group:          files ldap
shadow:         files ldap

Освен това винаги съм имал проблеми да пусна криптирането на връзката с нещо различно от crypt. А крипт гледа първите 5 символа от паролата, ама не е кой знае какъв проблем.
В туториала не намерих къде е /etc/ldap.conf
Там има настройки на криптирането и връзката със сървъра.



Edit: ето ги моите файлове в pam.d
common-password

Код:

# here are the per-package modules (the "Primary" block)
password	[success=2 default=ignore]	pam_unix.so obscure sha512
password	[success=1 user_unknown=ignore default=die]	pam_ldap.so use_authtok try_first_pass
# here's the fallback if no module succeeds
password	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
password	optional	pam_gnome_keyring.so 
# end of pam-auth-update config

common-session

Код:

 #here are the per-package modules (the "Primary" block)
session	[default=1]			pam_permit.so
# here's the fallback if no module succeeds
session	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump aroun
session	required			pam_permit.so
session required        pam_mkhomedir.so skel=/etc/skel/
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional			pam_umask.so
# and here are more per-package modules (the "Additional" block)
session	required	pam_unix.so 
session	optional			pam_ldap.so 
session	optional	pam_systemd.so 
session	optional			pam_ck_connector.so nox11
# end of pam-auth-update config

common-auth

Код:

# here are the per-package modules (the "Primary" block)
auth required pam_tally.so onerr=fail deny=3 unlock_time=300
auth	[success=2 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_ldap.so use_first_pass
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth	optional			pam_cap.so 
# end of pam-auth-update config

[Ipolit]

Друго, за което се сещам е, че едно време съм имал проблеми със създаването на home директорията при първо логване. Беше с някаква по-стара версия на убунту и мисля, че имаше връзка с ldm или xdm.
Та може да пробваш да влезеш като root и да направиш su username. После нямаше проблем с логването на съответния юзър, след като вече му е създадена home директорията.

[a108lnx]

Между другото директорията, която се създава в Home за домейна пълното ли име трябва да е или късото. Дадено е късото "test",  а не "test.server.com, но знам ли...и има ли значение дали е с главни букви или не, защото в керберос конфига имаше. Пробвах това което си показал, но пак няма разлика 

[Ipolit]

Имаш ли ldap.conf?
Аз настройките за сървъра ги давам там
И важните са

Код:

base ou=XX
uri ldap://172.23.xx.xx:10389
pam_password crypt
ldap_version 3

Но в твоя случай едва ли е crypt
И пак ти казвам, на ldap сървъра съм слагал всякакъв възможен вид криптиране на паролите, но ми работи само с crypt и респективно така го държа. Тъй, че може туй да му е кусура. Не че съм го пипал последните 6-7 години.