Bug 37689 - Не работает вход в домен SambaDC
Summary: Не работает вход в домен SambaDC
Status: CLOSED WORKSFORME
Alias: None
Product: Sisyphus
Classification: Development
Component: sssd-ad (show other bugs)
Version: unstable
Hardware: all Linux
: P3 major
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2019-12-26 09:54 MSK by Ахламов Петр
Modified: 2023-01-13 10:02 MSK (History)
8 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Ахламов Петр 2019-12-26 09:54:00 MSK
По инструкции настроен домен а ALT Linux Server 9.0
https://www.altlinux.org/ActiveDirectory/DC

1.SambaDC установлена по умолчанию
2.Отключаю службы
3.Чищу конфигурацию
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
rm -rf /var/cache/samba
mkdir -p /var/lib/samba/sysvol
4.в /etc/sysconfig/network и командами hostname и domainname делаю домен git.alt и DC dc.git.alt
5.Командой Samba-tool-provision создаю домен, из особенностей указываю DNS-сервер 8.8.8.8 (чтобы работал DNS-в интернет)
6.Запускаю службу
chkconfig samba on
service samba start
7.Открываю от имени суперпользователя файл /etc/krb5.conf.

Раскомментирую строку "default realm" и ввожу название области GIT.

Ниже, под строкой [realms] вместо EXAMPLE.COM ввожу название области, а вместо example.com в "default domain" ввожу IP-адрес сервера с Samba 172.16.0.2.

Под строкой [domain_realm] example.com и EXAMPLE.COM заменяю на домен сохраняя регистр.

samba-tool domain info 127.0.0.1, smbclient -L localhost -U administrator, проверка хостов, kinit, klist на сервере срабатывают.

ALT Linux Workstation 9.0. С помощью GUI рабочая станция введена в домен.

getent passwd petr, net ads info, net ads testjoin - срабатывают, вроде рабочая станция введена в домен

Пытаюсь войти в пользователя. Ввожу логин: petr, ввожу пароль, правильный. Получаю в ответ - неправильный пароль. В journalctl:
дек 25 14:12:31 host-15.git.alt sssd[pam][7074]: Starting up
дек 25 14:12:31 host-15.git.alt [sssd[krb5_child[7075]]][7075]: Preauthentication failed
дек 25 14:12:31 host-15.git.alt [sssd[krb5_child[7075]]][7075]: Preauthentication failed
дек 25 14:12:31 host-15.git.alt lightdm[7071]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=petr
дек 25 14:12:31 host-15.git.alt [sssd[krb5_child[7075]]][7075]: Preauthentication failed
дек 25 14:12:31 host-15.git.alt lightdm[7071]: pam_sss(lightdm:auth): received for user petr: 17 (Failure setting user credentials)
дек 25 14:12:31 host-15.git.alt lightdm[7071]: gkr-pam: no password is available for user
дек 25 14:12:31 host-15.git.alt lightdm[7076]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "petr"

Это я дважды попробовал войти под доменнной учеткой. 

Данная проблема была еще в P8.
Comment 1 Vitaly Lipatov 2020-02-06 02:54:31 MSK
(Ответ для Ахламов Петр на комментарий #0)
> По инструкции настроен домен а ALT Linux Server 9.0
> https://www.altlinux.org/ActiveDirectory/DC
> 
> 1.SambaDC установлена по умолчанию
> 2.Отключаю службы
> 3.Чищу конфигурацию
> rm -f /etc/samba/smb.conf
> rm -rf /var/lib/samba
> rm -rf /var/cache/samba
> mkdir -p /var/lib/samba/sysvol
> 4.в /etc/sysconfig/network и командами hostname и domainname делаю домен
> git.alt и DC dc.git.alt
> 5.Командой Samba-tool-provision создаю домен, из особенностей указываю
> DNS-сервер 8.8.8.8 (чтобы работал DNS-в интернет)
> 6.Запускаю службу
> chkconfig samba on
> service samba start
> 7.Открываю от имени суперпользователя файл /etc/krb5.conf.
> 
> Раскомментирую строку "default realm" и ввожу название области GIT.
> 
> Ниже, под строкой [realms] вместо EXAMPLE.COM ввожу название области, а
> вместо example.com в "default domain" ввожу IP-адрес сервера с Samba
> 172.16.0.2.
> 
> Под строкой [domain_realm] example.com и EXAMPLE.COM заменяю на домен
> сохраняя регистр.
> 
> samba-tool domain info 127.0.0.1, smbclient -L localhost -U administrator,
> проверка хостов, kinit, klist на сервере срабатывают.
> 
> ALT Linux Workstation 9.0. С помощью GUI рабочая станция введена в домен.
...

> Preauthentication failed
...
> Это я дважды попробовал войти под доменнной учеткой. 
> 
Если серверная сторона показывает, что всё в порядке, проблема на клиентской стороне, проверяйте логи sssd.
Также пробуйте
# systemctl stop sssd
# rm -f /var/lib/sss/db/*
# rm -f /var/lib/sss/mc/*
# systemctl start sssd