samba4 nslcd lightdm и pam_mount
Я застреваю со своей установкой и надеющийся на некоторую справку.
Я имею, устанавливают AD с Samba4 и nslcd как nss и на сервере и на клиентах. Я знаю, что Samba не рекомендует выполнить AD и файловый сервер на той же машине, но с 20 пользовательскими установками и очень ограниченным бюджетом, ничто иное не возможно. Клиенты запускают обе Ubuntu 12.04 и 14.04. Я хочу, чтобы пользователи смогли пройти проверку подлинности против Samba4 AD и автосмонтировать их корневые каталоги, а также общий каталог (каталоги).
кажется, существует 2 отдельных проблемы, хотя они могут быть соединены. когда я зарегистрирован как корень и su domainuser, все работает: домашний dir, а также доля смонтирован, и userswitch завершается
когда я зарегистрирован как localuser и su domainuser сбои переключателя, и auth.log показывает следующее:
pam_ldap: ldap_simple_bind Can't contact LDAP server
pam_authenticate: Authentication failure
ldapserver достижим хотя с настройками в/etc/pam_ldap.conf:
ldapsearch -H ldap://sturavm -D "cn=ldap-connect,cn=Users,dc=ad,dc=stura" -w secret
# cat /etc/pam_ldap.conf
uri ldap://192.168.138.6
base dc=ad,dc=stura
binddn cn=ldap-connect,cn=Users,dc=ad,dc=stura
bindpw secret
pam_login_attribute sAMAccountName
ssl no
вторая проблема состоит в том, что lightdm передает lightdm как имя пользователя а не данное имя пользователя:
lightdm: (pam_mount.c:365): pam_mount 2.14: entering auth stage
lightdm: (pam_mount.c:173): conv->conv(...): Conversation error
lightdm: pam_unix(lightdm:auth): auth could not identify password for [domainuser]
lightdm: gkr-pam: no password is available for user
lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
lightdm: PAM adding faulty module: pam_kwallet.so
lightdm: PAM unable to dlopen(pam_foreground.so): /lib/security/pam_foreground.so: cannot open shared object file: No such file or directory
lightdm: PAM adding faulty module: pam_foreground.so
lightdm: (pam_mount.c:568): pam_mount 2.14: entering session stage
lightdm: (pam_mount.c:477): warning: could not obtain password interactively either
lightdm: (mount.c:786): Could not get realpath of /home/lightdm: No such file or directory
lightdm: (mount.c:267): Mount info: globalconf, user=lightdm <volume fstype="cifs" server="192.168.138.6" path="home" mountpoint="/home/lightdm" cipher="(null)" fskeypath="(null)" fskeycipher="(null)" fskeyhash="(null)" options="iocharset=utf8" /> fstab=0 ssh=0
некоторые конфигурации:
#cat /etc/pam.conf
auth sufficient pam_unix.so
auth sufficient pam_ldap.so minimum_uid=1000 use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_ldap.so minimum_uid=1000
account required pam_permit.so
session required pam_unix.so
session optional pam_ldap.so minimum_uid=1000
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so minimum_uid=1000 try_first_pass
password required pam_deny.so
# cat /etc/pam.d/lightdm
#%PAM-1.0
auth requisite pam_nologin.so
auth sufficient pam_succeed_if.so user ingroup nopasswdlogin
@include common-auth
auth optional pam_gnome_keyring.so
auth optional pam_kwallet.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
session required pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional pam_gnome_keyring.so auto_start
session optional pam_kwallet.so auto_start
session required pam_env.so readenv=1
session required pam_env.so readenv=1 user_readenv=1 envfile=/etc/default/locale
@include common-password
# cat /etc/pam.d/common-auth
auth required pam_mount.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_group.so use_first_pass
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
# cat /etc/lightdm/lightdm.conf
[SeatDefaults]
user-session=ubuntu
greeter-session=unity-greeter
greeter-show-manual-login=true
allow-guest=true
1 ответ
Оказывается, это был не такой сложный ответ:
Мне нужно было убедиться, что на клиентах установлены libpam-ldap d и libnis-ldap d . , некоторые pam-auth-update --force вычистили весь беспорядок в pam без необходимости что-либо делать.
Довольно странно, что пакет ldap-auth-config, похоже, тоже мешает. apt-get autoremove решает эту проблему на большинстве машин.
Я, вероятно, скоро сделаю запись своей установки, чтобы людям не пришлось полагаться на дрянную документацию samba4.