He cambiado algunas cajas aSSSD, por lo que ahora se autentican en un servidor LDAP central y almacenan en caché las credenciales cuando estoy desconectado. Esto funciona bien y los paquetes de Ubuntu se instalaron bien.
Pero ahora, cuando inicio sesión, mi directorio de inicio ya no se descifra/monta automáticamente. Si salgo de GDM e inicio sesión en la consola, aparece este error:
keyctl_seach Required key not avaliable
Si ejecuto el comando sugerido (ecryptfs-montaje-privado) y le doy mi contraseña, mi directorio de inicio está bien desbloqueado.
Estoy tratando de comprender cómo ha cambiado el proceso de inicio de sesión, de modo que mi contraseña ya no desbloquea la clave de cifrado automáticamente. Supongo que es un problema de PAM, así que he incluido mi/etc/pam.d/common-autharchivo a continuación.
Supongo que la contraseña se pasa a SSSD y luego se omite cualquier paso habitual para desbloquear la clave. ¿Alguien puede explicar cómo se hace eso habitualmente?
auth [success=3 default=ignore] pam_sss.so
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
ACTUALIZACIÓN 1:
auth.log informa este error cuando un usuario inicia sesión:
login[14202]: NULL passphrase; aborting
Google solo muestra este error en la fuente de pam_ecryptfs.so, y se activa cuando el PAM_AUTHTOK recibido es NULL:
rc = pam_get_item(pamh, PAM_AUTHTOK, (const void **)&passphrase);
[...]
if (passphrase == NULL) {
[...]
syslog(LOG_ERR, "NULL passphrase; aborting\n");
[...]
}
Entonces, al menos se llama a pam_ecryptfs.so (es decir, no es que se omita porque SSSD esté implementado).Sin embargo, ¿por qué recibe una frase de contraseña NULA?
ACTUALIZACIÓN 2:
Ahora que aprendí más sobre PAM, actualicé la publicación con una copia de miautenticación comúnarchivo, ya que ese es el que se utiliza al iniciar sesión (nocontraseña común)
Respuesta1
¡Resulta que la respuesta estaba en la documentación! Solo necesitaba descubrir primero cuál era el problema y luego volver a verificar cada elemento de la configuración:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8.html
Agregando la opción "pase adelantado" a pam_sss.so le dice al módulo SSSD que coloque la frase de contraseña ingresada en la pila, para que otros módulos (es decir, pam_ecryptfs.so) puedan usar la información.
Entonces mi archivo /etc/pam.d/common-auth habilitado para ecryptfs + SSSD se ve así:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
Nota:¡Tener la palabra "depurar" al final de la línea pam_ecryptfs.so también rompió las cosas!
¡Ciertamente he aprendido mucho sobre PAM, ecryptfs y gnome-keyring hoy! Espero que esto ayude a las personas en el futuro, e incluso puedo enviar una solicitud de función para agregarla como configuración predeterminada.