im с проблемами, регистрирующимися на рабочем столе через AD с моей текущей настройкой с sssd, kerberos, samba и AD. heres выводит файл auth.log. кажется, что pam и lightdm плохо работают друг с другом. странно, что я могу su - user@domain.org из cli и запускать команды, такие как id или getent passwd, чтобы возвращать пользователей в моем AD.
Jul 20 11:14:08 lx004109 lightdm: PAM adding faulty module: pam_kwallet5.so Jul 20 11:14:12 lx004109 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "user@domain" Jul 20 11:14:15 lx004109 lightdm: pam_unix(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=user@domain Jul 20 11:14:15 lx004109 lightdm: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=user@domain Jul 20 11:14:15 lx004109 lightdm: pam_sss(lightdm:auth): received for user user@domain: 6 (Permission denied) Jul 20 11:14:16 lx004109 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory Jul 20 11:14:16 lx004109 lightdm: PAM adding faulty module: pam_kwallet.so
вот мой файл sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = KQED.ORG
[domain/KQED.ORG]
ad_gpo_map_interactive = +polkit-1. +unity, +lightdm
id_provider = ad
access_provider = ad
ad_domain = my.domain.org
default_shell = /bin/bash
krb5_realm = KQED.ORG
dyndns_update = true
dyndsn_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
auth_provider = ad
chpass_provider = ad
access_provider = ad
ldap_schema = ad
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
krb5_store_password_if_offline = True
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u
override_homedir = /home/%d/%u
enumerate = true
любые идеи? Я видел пару статей, заявляющих, что это ниже - это работа, чтобы добавить sssd, но она, похоже, не применима к моей ситуации.
ad_gpo_map_interactive = +unity, +polkit-1
после устранения неполадок в течение многих часов я смог найти два атрибута для добавления к моему текущему SSSD.conf, позволяющему pam_sss & amp; pam_unix для ответа на sss & amp; активный каталог. фиксируя логические логики настольных компьютеров AD. ad_enable_gc = False & amp; ad_gpo_access_control = permissive
[sssd]
services = nss, pam
config_file_version = 2
domains = KQED.ORG
[domain/KQED.ORG]
ad_enable_gc = False
ad_gpo_map_interactive = +unity
ad_gpo_access_control = permissive
после устранения неполадок в течение многих часов я смог найти два атрибута для добавления к моему текущему SSSD.conf, позволяющему pam_sss & amp; pam_unix для ответа на sss & amp; активный каталог. фиксируя логические логики настольных компьютеров AD. ad_enable_gc = False & amp; ad_gpo_access_control = permissive
[sssd]
services = nss, pam
config_file_version = 2
domains = KQED.ORG
[domain/KQED.ORG]
ad_enable_gc = False
ad_gpo_map_interactive = +unity
ad_gpo_access_control = permissive