Zugriff auf Sperrbildschirm verweigert (AD-Authentifizierung über SSD)

Zugriff auf Sperrbildschirm verweigert (AD-Authentifizierung über SSD)

Bei xenial funktioniert der Sperrbildschirm bei mir nicht. Egal, ob ich das richtige Passwort eingebe oder nicht, ich kann mich nicht anmelden. Wenn ich jedoch oben rechts auf dem Bildschirm auf das Menü klicke und „Benutzer wechseln“ wähle, aber denselben Benutzer wie auf dem Sperrbildschirm auswähle, kann ich mich direkt anmelden.

Auf dem Sperrbildschirm scheint die Authentifizierung ordnungsgemäß zu funktionieren. Ich werde nur nicht autorisiert. Folgendes sehe ich in /var/log/auth.log:

May  3 11:57:44 hostname compiz: pam_krb5(unity:auth): user myuser authenticated as [email protected]
May  3 11:57:44 hostname compiz: gkr-pam: unlocked login keyring
May  3 11:57:44 hostname compiz: pam_sss(unity:account): Access denied for user myuser: 6 (Permission denied)

Die Authentifizierung erfolgt über eine Active Directory-Domäne. Ich verwende sssd. Dieselbe Konfiguration funktioniert problemlos auf Trusty, Vivid und Wily. Nur auf Xenial scheint sie nicht zu funktionieren. Ich habe es auf einer Workstation versucht, die von Wily aktualisiert wurde, sowie auf einer Neuinstallation. Es fällt mir verdammt schwer, herauszufinden, was anders gemacht werden muss.

Nur AD-Konten sind hiervon betroffen. Lokale Konten sind hiervon nicht betroffen.

Es schlägt auch fehl, wenn etwas über die GUI ausgeführt wird, das erhöhte Berechtigungen erfordert. Zum Beispiel bei der Installation von Software aus dem Ubuntu Software Center. Ein AD-Konto kann die Installation nicht autorisieren, ein lokaler Benutzer jedoch schon. Über die Befehlszeile können AD-Konten jedoch problemlos sudo verwenden.

Irgendetwas macht Pam unglücklich. Irgendeine Idee, was es sein könnte?

Antwort1

Dieser Fix wurde als Kommentar zu dem von vargax gemeldeten Fehler gepostet. Wenn Sie Folgendes hinzufügen:

ad_gpo_map_interactive = +unity

zum Abschnitt [Domäne/Domänenname] von /etc/sssd/sssd.conf, das Sperrbildschirmproblem ist behoben.

Leider löst dies nicht das Problem mit erhöhten Berechtigungen in der GUI.

Antwort2

Das sind zwei verschiedene (aber wahrscheinlich zusammenhängende) Fehler. Niemand hat ein Protokoll gepostet, das den Fehler der erhöhten Berechtigungen demonstriert, daher kann ich Ihnen nicht sagen, welche Option Sie zu sssd.conf hinzufügen müssen, um das Problem zu beheben.

Ich habe „unity“ von „pam_sss(unity:account): Zugriff verweigert“ erhalten (der Text vor „:account“ ist der Name des kontaktierten PAM-Dienstes).

Der Fehler besteht hier darin, dass der nachgelagerte Ubuntu-Betreuer den Standardwertesatz für den AD-Anbieter nicht angepasst hat, um den hier verwendeten PAM-Dienst einzuschließen, und dieser lehnt ihn standardmäßig ab, wenn dieser unbekannt ist.

Das ad_gpo_map_interactive = +unityist ein Workaround; ich habe einen Patch an SSSD Upstream gesendet, um dies standardmäßig hinzuzufügen. Ich könnte dasselbe für alles tun, was die erhöhten Berechtigungen betrifft, sofern es nicht mit irgendetwas anderem in Konflikt steht. Andernfalls liegt es in der Verantwortung von Ubuntu, dies im Downstream-Paket zu ändern.

Antwort3

Überprüfen Sie, ob /etc/fstab richtig auf die Festplattenpartitionen eingestellt ist.

Dann würde ich lightdm selbst neu konfigurieren

Als letztes Mittel würde ich versuchen, Ubuntu selbst neu zu installieren und während der Installation nach den Benutzer- und Kennworteinstellungen zu suchen.

PAM scheint sehr knifflig zu sein.

Antwort4

Ich sende nur einen Fehlerbericht:https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1578415

Vielleicht könnt ihr euch als betroffen markieren …

verwandte Informationen