.png)
xenial では、ロック画面が機能しません。正しいパスワードを入力しても入力しなくても、ログインできません。ただし、画面の右上隅にあるメニューをクリックして「ユーザーの切り替え」を選択し、ロック画面と同じユーザーを選択すると、すぐにログインできます。
ロック画面では、認証は正しく機能しているようです。ただ、許可されないだけです。/var/log/auth.log に表示される内容は次のとおりです。
May 3 11:57:44 hostname compiz: pam_krb5(unity:auth): user myuser authenticated as [email protected]
May 3 11:57:44 hostname compiz: gkr-pam: unlocked login keyring
May 3 11:57:44 hostname compiz: pam_sss(unity:account): Access denied for user myuser: 6 (Permission denied)
認証は Active Directory ドメインから行われます。私は sssd を使用しています。この同じ構成は Trusty、Vivid、および Wily では正常に動作します。Xenial でのみ壊れているようです。Wily からアップグレードしたワークステーションと新規インストールで試しました。何を変更する必要があるかを把握するのに非常に時間がかかっています。
影響を受けるのは AD アカウントのみです。ローカル アカウントは影響を受けません。
また、昇格された権限を必要とするものを GUI 経由で実行する場合も失敗します。たとえば、Ubuntu ソフトウェア センターからソフトウェアをインストールする場合などです。AD アカウントはインストールを承認できませんが、ローカル ユーザーは承認できます。ただし、コマンド ラインからは、AD アカウントは問題なく sudo を使用できます。
何かがパムを不幸にしているようです。それが何なのか、何か分かりますか?
答え1
この修正は、vargax が提出したバグに対するコメントとして投稿されました。以下を追加すると、
ad_gpo_map_interactive = +unity
/etc/sssd/sssd.conf の [domain/domainname] セクションに追加すると、ロック画面の問題は解消されます。
残念ながら、これによって GUI の権限の昇格に関する問題は解決されません。
答え2
これらは 2 つの別々の (しかしおそらく関連している) バグです。昇格された権限のエラーを示すログを投稿した人は誰もいないので、これを修正するために sssd.conf にどのオプションを追加すればよいかはわかりません。
「pam_sss(unity:account): アクセスが拒否されました」から「unity」を取得しました (「:account」の前のテキストは、接続先の PAM サービスの名前です)。
ここでのバグは、ダウンストリームの Ubuntu メンテナーが、ここで使用されている PAM サービスを含めるように AD プロバイダーのデフォルトの値セットを調整しなかったため、不明な場合はデフォルトで拒否されることです。
これはad_gpo_map_interactive = +unity回避策です。私は、これをデフォルトで追加するためのパッチを SSSD アップストリームに送信しました。他のものと競合しない場合は、昇格された権限に影響を与えるものに対しても同じことを行う可能性があります。それ以外の場合は、ダウンストリーム パッケージでそれを変更するのは Ubuntu の責任になります。
答え3
/etc/fstab がディスク パーティションに正しく設定されているかどうかを確認します。
それからlightdm自体を再設定します
最後の手段として、インストール中にユーザーとパスワードの設定を探して、Ubuntu 自体を再インストールしてみます。
PAM は非常にトリッキーなようです。
答え4
バグレポートを送信します:https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1578415
皆さんは、自分自身を影響を受けた人としてマークできるかもしれません...