在 xenial 上,鎖定螢幕對我不起作用。無論我是否輸入正確的密碼,它都不會讓我進入。
在鎖定螢幕上,身份驗證似乎可以正常工作。它只是不授權我。這是我在 /var/log/auth.log 中看到的內容:
May 3 11:57:44 hostname compiz: pam_krb5(unity:auth): user myuser authenticated as [email protected]
May 3 11:57:44 hostname compiz: gkr-pam: unlocked login keyring
May 3 11:57:44 hostname compiz: pam_sss(unity:account): Access denied for user myuser: 6 (Permission denied)
身份驗證來自 Active Directory 網域。我用的是sssd同樣的配置在 Trusty、Vivid 和 Wily 上運作良好。似乎只有 Xenial 上有問題。我嘗試過從 Wily 升級的工作站以及全新安裝的工作站。我花了很多時間思考需要哪些不同的做法。
只有 AD 帳戶受此影響。本機帳戶則不然。
當透過 GUI 運行需要提升權限的內容時,它也會失敗。例如,從 Ubuntu 軟體中心安裝軟體時。它不會讓 AD 帳戶授權安裝,但允許本機使用者授權安裝。然而,從命令行,AD 帳戶可以毫無問題地使用 sudo。
有些事讓帕姆不高興。知道它可能是什麼嗎?
答案1
此修復已作為對 vargax 提交的錯誤的評論發布。如果您添加:
ad_gpo_map_interactive = +unity
到 /etc/sssd/sssd.conf 的 [domain/domainname] 部分,鎖定畫面問題就消失了。
不幸的是,這並不能解決 GUI 中特權提升的問題。
答案2
這是兩個獨立的(但可能相關的)錯誤。沒有人發布日誌來演示提升權限的錯誤,因此我無法告訴您向 sssd.conf 添加什麼選項來修復它。
我從“pam_sss(unity:account):訪問被拒絕”中得到“unity”(“:account”之前的文本是正在聯繫的PAM服務的名稱)。
這裡的錯誤是下游 Ubuntu 維護者沒有調整 AD 提供者的預設值集以包括此處使用的任何 PAM 服務,並且如果未知則預設拒絕。
這ad_gpo_map_interactive = +unity是一個解決方法;我已向 SSSD 上游提交了一個補丁,以預設添加此功能。如果不與其他任何事情發生衝突,我可能會對影響提升特權的任何事情做同樣的事情。否則,Ubuntu 將負責修改下游包中的內容。
答案3
檢查 /etc/fstab 是否正確設定為磁碟分割區。
然後我會重新配置 lightdm 本身
對於最後一個資源,我會嘗試重新安裝 ubuntu 本身,並在安裝過程中尋找使用者和密碼設定。
PAM 似乎非常棘手。
答案4
我剛剛提交了一份錯誤報告:https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1578415
也許你們可以將自己標記為受影響的......