Решено: Авторизация, и локально, и в LDAP.

[Yamah]

Нужно вернуть авторизацию по базе LDAP. (Без Kerberos-а)

В Роса Фрэш прекрасно работал такой конфиг:

Код: Выделить всё

cat /etc/pam.d/system-auth
#%PAM-1.0

auth        required      pam_env.so
auth        sufficient    pam_tcb.so shadow nullok prefix=$2a$ count=8
auth        [authinfo_unavail=ignore user_unknown=ignore success=1 default=2] pam_ldap.so use_first_pass
auth        [default=done] pam_ccreds.so action=validate use_first_pass
auth        [default=done] pam_ccreds.so action=store
auth        [default=bad] pam_ccreds.so action=update
auth        required      pam_deny.so

account     sufficient    pam_tcb.so shadow
account     [authinfo_unavail=ignore default=done] pam_ldap.so use_first_pass
account     required      pam_permit.so

password    required      pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_tcb.so use_authtok shadow write_to=shadow nullok prefix=$2a$ count=8
password    sufficient    pam_ldap.so
password    required      pam_deny.so

session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0022
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_tcb.so
-session    optional      pam_systemd.so

и

Код: Выделить всё

cat /etc/ldap.conf | grep -v "#"                                                                                            

host 192.168.0.1                                                                                                                            
base dc=SERVER,dc=ru

nss_base_passwd dc=SERVER,dc=ru?sub
nss_base_shadow dc=SERVER,dc=ru?sub
nss_base_group dc=SERVER,dc=ru?sub

я мог авторизовываться как локально так и через LDAP.
В R1 это уже не работало. Хотя, если поставить Rosa Fresh, настроить и обновить до R1 все работало.

Сейчас этот конфиг приводит к тому, что локальные пользователи (в томчисле root) не опознаются, а при авторизации пользователи из LDAP выскакивает сообщение: "Session setup problem. Abort"

Код: Выделить всё

rpm -qa | grep pam
lib64pam0-1.1.4-15-rosa2012.1.x86_64
lib64pam_misc0-1.1.4-15-rosa2012.1.x86_64
pam_tcb-1.0.6-3-rosa2012.1.x86_64
pam-1.1.4-15-rosa2012.1.x86_64
fprintd-pam-0.5.0-3-rosa2012.1.x86_64
pam_krb5-2.3.12-4-rosa2012.1.x86_64
pam_ccreds-10-6-rosa2012.1.x86_64
pam_ldap-186-4-rosa2012.1.x86_64

Как победить эту ситуацию?

[akdengi]

пробуем

set_tcb --revert

Сейчас в конфигах надо использовать pam_unix стараться.

[Yamah]

Александр, спасибо.

Авторизовываться локально могу без проблем.
А вот с авторизацией по LDAP та же проблема: "Session setup problem. Abort"
В auth.log

Код: Выделить всё

Dec 13 11:18:07 admin login: pam_unix(login:auth): check pass; user unknown
Dec 13 11:18:07 admin login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=
Dec 13 11:18:07 admin login: pam_unix(login:account): could not identify user (from getpwnam(belykh))
Dec 13 11:18:07 admin login: Invalid user name "some_user" in main:1336. Abort.

В syslog

Код: Выделить всё

Dec 13 11:18:10 admin acpid: client 3323[0:0] has disconnected
Dec 13 11:18:10 admin acpid: client 3323[0:0] has disconnected
Dec 13 11:18:10 admin acpid: client connected from 3323[0:0]
Dec 13 11:18:10 admin acpid: 1 client rule loaded
Dec 13 11:18:10 admin acpid: client connected from 3323[0:0]
Dec 13 11:18:10 admin acpid: 1 client rule loaded
Dec 13 11:18:10 admin systemd[1]: getty@tty2.service holdoff time over, scheduling restart.
Dec 13 11:18:10 admin systemd[1]: Stopping Getty on tty2...
Dec 13 11:18:10 admin systemd[1]: Starting Getty on tty2...
Dec 13 11:18:10 admin systemd[1]: Started Getty on tty2.

Время на клиенте и сервере синхронизировано.

Код: Выделить всё

cat system-auth
#%PAM-1.0

auth        required      pam_env.so
auth        sufficient    pam_unix.so try_first_pass nullok
auth        sufficient    pam_ldap.so use_first_pass
#auth        [authinfo_unavail=ignore user_unknown=ignore success=1 default=2] pam_ldap.so use_first_pass
auth        [default=done] pam_ccreds.so action=validate use_first_pass
auth        [default=done] pam_ccreds.so action=store
auth        [default=bad] pam_ccreds.so action=update
auth        required      pam_deny.so

account     sufficient    pam_unix.so
account     [authinfo_unavail=ignore default=done] pam_ldap.so use_first_pass
account     required      pam_permit.so

password    required      pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so try_first_pass use_authtok shadow nullok md5
password    sufficient    pam_ldap.so
password    required      pam_deny.so

session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0022
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
-session    optional      pam_systemd.so.

[akdengi]

А это уже другая проблема. Я к сожалению тут не помощник, но попросил проверить это коллег.

[Yamah]

Исправил /etc/nsswitch.conf

Код: Выделить всё

 cat nsswitch.conf

passwd:         files ldap
shadow:         files ldap
group:          files ldap

hosts:           mdns4_minimal files nis dns wins myhostname mdns4 
networks:       files

services:       files                                                                                                                                                           
protocols:      files                                                                                                                                                           
rpc:            files                                                                                                                                                           
ethers:         files                                                                                                                                                           
netmasks:       files                                                                                                                                                           
netgroup:       files                                                                                                                                                           
publickey:      files                                                                                                                                                           
                                                                                                                                                                                
bootparams:     files                                                                                                                                                           
automount:      files                                                                                                                                                           
aliases:        files    

ругается, что не правильный логин. (логи выложу завтра).

[Yamah]

А ларчик просто открывался.
Исправляем все файлы по образцу и заново запускаем drakauth.

[Yamah]

С последними обновлениями при ранее представленном файле /etc/pam.d/system-auth перестает работать звук и не монтируются в флэшки в любом DE.
Исправляем system-auth

Код: Выделить всё

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.

auth        required      pam_env.so
auth        sufficient    pam_unix.so try_first_pass nullok                 
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so
                                                                                                                                            
account     sufficient      pam_unix.so
account     [authinfo_unavail=ignore default=done] pam_ldap.so use_first_pass
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_ldap.so
password    required      pam_deny.so

session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0022
session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Перезагружаемся.
И звук есть и флэшки работают.