Вопрос или проблема
Я хочу подключить машину с Ubuntu 16.04 к домену. Сервер – Windows Server 2012 R2. Я установил PowerBroker Identity Services (PBIS) 8.5.2.265
Я получаю следующую ошибку в /var/log/syslog:
Ограниченный список входа - не удалось разрешить srv\DomainUsers [40071]
Несколько ошибок в /var/log/auth:
Dec 30 08:56:47 srv3 login[1713]: PAM (login) незаконный тип модуля: sessions
Dec 30 08:56:47 srv3 login[1713]: PAM (other) незаконный тип модуля: sessions
Dec 30 08:56:50 srv3 login[1713]: [lsass-pam] [module:pam_lsass]Пользователь user12 лишен доступа, так как он не в списке 'требуется членство'
Dec 30 08:56:50 srv3 login[1713]: [lsass-pam] [module:pam_lsass]ошибка pam_sm_authenticate [login:user12][код ошибки:40158]
Dec 30 08:56:50 srv3 login[1713]: pam_unix(login:auth): ошибка аутентификации; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=user12
Dec 30 08:56:50 srv3 login[1713]: pam_sss(login:auth): Запрос к sssd завершился неудачей. Соединение отклонено
Dec 30 08:56:53 srv3 login[1713]: НЕУДАЧНЫЙ ВХОД (1) на '/dev/tty1' ДЛЯ 'user12', Ошибка аутентификации
/opt/pbis/bin/config –dump:
root@srv3:~# /opt/pbis/bin/config --dump
AllowDeleteTo ""
AllowReadTo ""
AllowWriteTo ""
MaxDiskUsage 104857600
MaxEventLifespan 90
MaxNumEvents 100000
DomainSeparator "\\"
SpaceReplacement "^"
EnableEventlog false
SaslMaxBufSize 16777215
Providers "ActiveDirectory"
DisplayMotd false
PAMLogLevel "verbose"
UserNotAllowedError "Доступ запрещен"
AssumeDefaultDomain true
CreateHomeDir true
CreateK5Login true
SyncSystemTime true
TrimUserMembership true
LdapSignAndSeal false
LogADNetworkConnectionEvents true
NssEnumerationEnabled true
NssGroupMembersQueryCacheOnly true
NssUserMembershipQueryCacheOnly false
RefreshUserCredentials true
CacheEntryExpiry 14400
DomainManagerCheckDomainOnlineInterval 300
DomainManagerUnknownDomainCacheTimeout 3600
MachinePasswordLifespan 2592000
MemoryCacheSizeCap 0
HomeDirPrefix "/home"
HomeDirTemplate "%H/%U"
RemoteHomeDirTemplate ""
HomeDirUmask "022"
LoginShellTemplate "/bin/bash"
SkeletonDirs "/etc/skel"
UserDomainPrefix "srv"
DomainManagerIgnoreAllTrusts false
DomainManagerIncludeTrustsList
DomainManagerExcludeTrustsList
RequireMembershipOf "srv\\DomainUsers"
Local_AcceptNTLMv1 true
Local_HomeDirTemplate "%H/local/%D/%U"
Local_HomeDirUmask "022"
Local_LoginShellTemplate "/bin/sh"
Local_SkeletonDirs "/etc/skel"
UserMonitorCheckInterval 1800
LsassAutostart true
EventlogAutostart true
BlacklistDC
root@srv3:~# /opt/pbis/bin/get-status
Статус сервера LSA:
Скомпилированная версия демона: 8.5.2.265
Упакованная версия продукта: 8.5.265.1
Время работы: 0 дней 0 часов 14 минут 5 секунд
[Поставщик аутентификации: lsa-activedirectory-provider]
Статус: В сети
Режим: Не настроенный
Домен: SRV.LOCAL
SID домена: S-1-5-21-2727847642-148432537-1030246457
Лес: srv.local
Сайт: Default-First-Site-Name
Интервал проверки подключения: 300 секунд
[Доверенные домены: 1]
[Домен: SRV]
DNS домен: srv.local
Имя нетбиоса: SRV
Имя леса: srv.local
Доверенное DNS имя:
Имя клиента сайта: Default-First-Site-Name
SID домена: S-1-5-21-2727847642-148432537-1030246457
GUID домена: 8ac2ba85-7313-6746-abfe-d44f9856708e
Флаги доверия: [0x001d]
[0x0001 - В лесу]
[0x0004 - Корень дерева]
[0x0008 - Основной]
[0x0010 - Нативный]
Тип доверия: Up Level
Атрибуты доверия: [0x0000]
Направление доверия: Основной домен
Режим доверия: В моем лесу доверие (MFT)
Флаги домена: [0x0001]
[0x0001 - Основной]
[Информация о контроллере домена (DC)]
Имя DC: dc1.srv.local
Адрес DC: 192.168.253.200
Сайт DC: Default-First-Site-Name
Флаги DC: [0x0000f1fd]
DC является PDC: да
DC является сервером времени: да
DC имеет записываемую DS: да
DC является глобальным каталогом: да
DC выполняет KDC: да
[Информация о глобальном каталоге (GC)]
Имя GC: dc1.srv.local
Адрес GC: 192.168.253.200
Сайт GC: Default-First-Site-Name
Флаги GC: [0x0000f1fd]
GC является PDC: да
GC является сервером времени: да
GC имеет записываемую DS: да
GC выполняет KDC: да
/opt/pbis/share/pbis.pam-auth-update
Имя: PowerBroker Identity Services (PBIS)
По умолчанию: да
Приоритет: 260
Конфликты: winbind
Тип аутентификации: Первичный
Аутентификация:
[успех=end default=ignore] pam_lsass.so try_first_pass
Аутентификация-Начальная:
[успех=end default=ignore] pam_lsass.so
Тип учетной записи: Первичный
Учетная запись:
[успех=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_ok
[успех=end new_authtok_reqd=done default=ignore] pam_lsass.so
Тип сеанса: Дополнительный
Сессия:
optional pam_lsass.so
Тип пароля: Первичный
Пароль:
[успех=end default=ignore] pam_lsass.so use_authtok try_first_pass
Пароль-Начальный:
[успех=end default=ignore] pam_lsass.so
/etc/pam.d/common-account
#
# /etc/pam.d/common-account - настройки авторизации, общие для всех служб
#
# Этот файл включается из других файлов конфигурации PAM, специфичных для службы,
# и должен содержать список модулей авторизации, которые определяют
# центральную политику доступа для использования в системе. По умолчанию это
# только запрещает доступ пользователям, чьи учетные записи истекли в /etc/shadow.
#
# Начиная с pam 1.0.1-6, этот файл управляется pam-auth-update по умолчанию.
# Чтобы воспользоваться этим, рекомендуется настраивать любые
# локальные модули либо до, либо после блока по умолчанию, и использовать
# pam-auth-update для управления выбором других модулей. Смотрите
# pam-auth-update(8) для подробностей.
#
# вот модули по пакету (блок "Первичный")
account [success=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_ok
account [success=2 new_authtok_reqd=done default=ignore] pam_lsass.so
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
# вот резервный вариант, если ни один модуль не удается
account requisite pam_deny.so
# установить положительное значение возврата, если его еще нет;
# это позволяет избежать возвращения ошибки только потому, что ничего не устанавливает кода успеха
# так как вышеуказанные модули просто перепрыгивают
account required pam_permit.so
# и вот еще модули по пакету (блок "Дополнительный")
account sufficient pam_localuser.so
account [default=bad success=ok user_unknown=ignore] pam_sss.so
# конец конфигурации pam-auth-update
/etc/pam.d/common-session:
#
# /etc/pam.d/common-session - модули, связанные с сеансом, общие для всех служб
#
# Этот файл включается из других файлов конфигурации PAM, специфичных для службы,
# и должен содержать список модулей, которые определяют задачи, выполняемые
# в начале и в конце сеансов *любого* типа (как интерактивных, так и
# неинтерактивных).
#
# Начиная с pam 1.0.1-6, этот файл управляется pam-auth-update по умолчанию.
# Чтобы воспользоваться этим, рекомендуется настраивать любые
# локальные модули либо до, либо после блока по умолчанию, и использовать
# pam-auth-update для управления выбором других модулей. Смотрите
# pam-auth-update(8) для подробностей.
# вот модули по пакету (блок "Первичный")
session [default=1] pam_permit.so
# вот резервный вариант, если ни один модуль не удается
session requisite pam_deny.so
# установить положительное значение возврата, если его еще нет;
# это позволяет избежать возвращения ошибки только потому, что ничего не устанавливает кода успеха
# так как вышеуказанные модули просто перепрыгивают
session required pam_permit.so
# Модуль pam_umask установит umask в соответствии с системным значением по умолчанию в
# /etc/login.defs и настройками пользователя, решая проблему разных
# настроек umask с различными оболочками, дисплейными менеджерами, удаленными сеансами и т. д.
# Смотрите "man pam_umask".
session optional pam_umask.so
# и вот еще модули по пакету (блок "Дополнительный")
#session optional pam_lsass.so
sessions [success=ok default=ignore] pam_lsass.so
session required pam_unix.so
session optional pam_sss.so
session optional pam_systemd.so
# конец конфигурации pam-auth-update
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
/etc/pam.d/common-auth:
#
# /etc/pam.d/common-auth - настройки аутентификации, общие для всех служб
#
# Этот файл включается из других файлов конфигурации PAM, специфичных для службы,
# и должен содержать список модулей аутентификации, которые определяют
# центральную схему аутентификации для использования в системе
# (например, /etc/shadow, LDAP, Kerberos и т.д.). По умолчанию используется
# традиционные механизмы аутентификации Unix.
#
# Начиная с pam 1.0.1-6, этот файл управляется pam-auth-update по умолчанию.
# Чтобы воспользоваться этим, рекомендуется настраивать любые
# локальные модули либо до, либо после блока по умолчанию, и использовать
# pam-auth-update для управления выбором других модулей. Смотрите
# pam-auth-update(8) для подробностей.
# вот модули по пакету (блок "Первичный")
auth [success=3 default=ignore] pam_lsass.so
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_sss.so use_first_pass
# вот резервный вариант, если ни один модуль не удается
auth requisite pam_deny.so
# установить положительное значение возврата, если его еще нет;
# это позволяет избежать возвращения ошибки только потому, что ничего не устанавливает кода успеха
# так как вышеуказанные модули просто перепрыгивают
auth required pam_permit.so
# и вот еще модули по пакету (блок "Дополнительный")
# конец конфигурации pam-auth-update
~
~
/etc/pbis/pbis-krb5-ad.conf:
[libdefaults]
default_tgs_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
default_tkt_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
preferred_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
dns_lookup_kdc = true
pkinit_kdc_hostname =
pkinit_anchors = DIR:/var/lib/pbis/trusted_certs
pkinit_cert_match = &&msScLogin
pkinit_eku_checking = kpServerAuth
pkinit_win2k_require_binding = false
pkinit_identities = PKCS11:/opt/pbis/lib/libpkcs11.so
Ограниченный список входа – не удалось разрешить srv\DomainUsers [40071]
Вам следует проверить, что название группы Domain Users в настройках PBIS соответствует тому, как она видит PBIS. Для этого выполните следующую команду:
/opt/pbis/bin/enum-groups | grep -i Domain
Найдите имя вашей группы Domain Users так, как оно отображается, и разместите имя группы в конфигурации в той же форме.
Ответ или решение
Проблема, с которой вы столкнулись, связана с конфигурацией группы "Domain Users" в PowerBroker Identity Services (PBIS). Ошибка "Restricted login list – couldn’t resolve srv\DomainUsers [40071]" указывает на то, что система не может разрешить имя группы. Давайте пройдемся по шагам, чтобы решить эту проблему.
Шаг 1: Проверка имени группы
Первым делом нужно убедиться, что имя группы "Domain Users" в настройках PBIS соответствует тому, как оно отображается в системе. Для этого выполните следующую команду:
/opt/pbis/bin/enum-groups | grep -i DomainЭта команда выведет список групп, связанных с доменом. Обратите внимание на точное имя группы "Domain Users". PBIS может отображать его по-другому (например, с префиксом или в другом регистре).
Шаг 2: Обновление конфигурации PBIS
После того как вы получите точное название группы, вам необходимо обновить конфигурацию PBIS, чтобы оно соответствовало этому имени. Для этого выполните следующую команду, чтобы изменить требуемую группу:
/opt/pbis/bin/config RequireMembershipOf <ТочноеИмяГруппы>Замените <ТочноеИмяГруппы> на фактическое имя группы, которое вы получили на предыдущем шаге. Например, если группа отображается как "Domain Users", ваша команда должна выглядеть так:
/opt/pbis/bin/config RequireMembershipOf "srv\Domain Users"Шаг 3: Проверка конфигурации PAM
Также стоит проверить настройки PAM. Убедитесь, что конфигурационные файлы PAM корректно настроены для работы с PBIS. В частности, убедитесь, что в файле /etc/pam.d/common-account есть следующая строка:
account [success=ok new_authtok_reqd=ok default=ignore] pam_lsass.so unknown_okЕсли возникает ошибка "illegal module type: sessions", убедитесь, что в файлах конфигурации PAM действительно прописаны необходимые модули.
Шаг 4: Проверка службы PBIS
Убедитесь, что службы PBIS запущены и работают правильно. Выполните команду:
/opt/pbis/bin/get-statusЭта команда покажет статус службы. Убедитесь, что все необходимые компоненты находятся в состоянии "Online".
Шаг 5: Повторная проверка
После внесения изменений перезапустите службу PBIS:
/opt/pbis/bin/lwsm restartЗатем попробуйте снова выполнить вход с учетной записью, которая должна принадлежать группе "Domain Users".
Заключение
Если после выполнения всех шагов проблема остается нерешенной, проверьте лог файлы /var/log/syslog и /var/log/auth.log для получения детальной информации о возникающих ошибках. Вы также можете обратиться к документации PBIS или к поддержке, если проблема не будет устранена.
Дополнительные замечания
- Убедитесь, что ваш сервер Ubuntu синхронизирован по времени с доменом Active Directory, так как это может привести к проблемам с аутентификацией.
- Проверяйте сетевое соединение с контроллером домена, чтобы исключить проблемы с доступом.
Если у вас возникнут дополнительные вопросы или потребуется помощь, не стесняйтесь обращаться за поддержкой.