.png)
En xenial no me funciona la pantalla de bloqueo. Ya sea que ingrese la contraseña correcta o no, no me dejará ingresar. Sin embargo, si hago clic en el menú en la esquina superior derecha de la pantalla y elijo "cambiar de usuario", pero elijo el mismo usuario que en la pantalla de bloqueo. me deja entrar.
En la pantalla de bloqueo, la autenticación parece funcionar correctamente. Simplemente no me autoriza. Esto es lo que veo en /var/log/auth.log:
May 3 11:57:44 hostname compiz: pam_krb5(unity:auth): user myuser authenticated as [email protected]
May 3 11:57:44 hostname compiz: gkr-pam: unlocked login keyring
May 3 11:57:44 hostname compiz: pam_sss(unity:account): Access denied for user myuser: 6 (Permission denied)
La autenticación es desde un dominio de Active Directory. Estoy usando sssd. Esta misma configuración funciona bien en Trusty, Vivid y Wily. Sólo parece estar roto en Xenial. Lo probé en una estación de trabajo actualizada desde Wily, así como en una instalación nueva. Me está costando mucho descubrir qué se debe hacer de manera diferente.
Sólo las cuentas AD se ven afectadas por esto. Las cuentas locales no lo son.
También falla cuando se ejecuta algo a través de la interfaz gráfica de usuario que requiere privilegios elevados. Por ejemplo, al instalar software desde el Centro de software de Ubuntu. No permitirá que una cuenta AD autorice la instalación, pero permitirá que un usuario local la autorice. Sin embargo, desde la línea de comando, las cuentas de AD pueden usar sudo sin problemas.
Algo está haciendo infeliz a pam. ¿Alguna idea de que podría ser?
Respuesta1
Esta solución se publicó como comentario al error que envió vargax. Si agregas:
ad_gpo_map_interactive = +unity
a la sección [dominio/nombre de dominio] de /etc/sssd/sssd.conf, el problema de la pantalla de bloqueo desaparece.
Desafortunadamente, esto no resuelve el problema de los privilegios elevados en la interfaz gráfica de usuario.
Respuesta2
Estos son dos errores separados (pero probablemente relacionados). Nadie publicó un registro que demuestre el error de los privilegios elevados, por lo que no puedo decirle qué opción agregar a sssd.conf para solucionarlo.
Obtuve "unity" de "pam_sss(unity:account): Acceso denegado" (el texto antes de ":account" es el nombre del servicio PAM con el que se está contactando).
El error aquí es que el mantenedor de Ubuntu no ajustó el conjunto predeterminado de valores para que el proveedor de AD incluya cualquier servicio PAM que esté en uso aquí, y lo niega de forma predeterminada si es desconocido.
Es ad_gpo_map_interactive = +unityuna solución alternativa; Envié un parche a SSSD upstream para agregar esto de forma predeterminada. Podría hacer lo mismo con cualquier cosa que afecte los privilegios elevados si no entra en conflicto con nada más. De lo contrario, será responsabilidad de Ubuntu modificarlo en el paquete posterior.
Respuesta3
Compruebe si /etc/fstab está configurado correctamente en las particiones del disco.
Luego reconfiguraría lightdm.
Para el último recurso, intentaría reinstalar Ubuntu buscando la configuración de usuario y contraseña durante la instalación.
PAM parece ser muy complicado.
Respuesta4
Acabo de enviar un informe de error:https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1578415
Quizás ustedes puedan marcarse como afectados...