AD (PAM) аутентификация прекратил работать после обновления системы защиты
У меня есть Ubuntu сервер МЕРЗАВЦА 16:04 с AD настроенной аутентификацией. Аутентификация прекратила работать вчера, в то время как ничто на сервере МЕРЗАВЦА или AD не изменилось. Вот сообщение об ошибке:
pam_winbind (sshd:auth): запросите отказавший wbcLogonUser: WBC_ERR_AUTH_ERROR, ошибка PAM: PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_LOGON_FAILURE, сообщение об ошибке было: отказ Входа в систему
Я заметил, что было необслуживаемое обновление безопасности, связанное с самбой, как Вы видите ниже.
Дата начала: 09.04.2019 6:59:58 Командной строки:/usr/bin/unattended-upgrade Обновление: python-samba:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), libwbclient0:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), libsystemd0:amd64 (229-4ubuntu21.16, 229-4ubuntu21.21), samba:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), samba-dsdb-modules:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), udev:amd64 (229-4ubuntu21.16, 229-4ubuntu21.21), libudev1:amd64 (229-4ubuntu21.16, 229-4ubuntu21.21), самба-libs:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), libpam-winbind:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), winbind:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), самба-common:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), systemd-sysv:amd64 (229-4ubuntu21.16, 229-4ubuntu21.21), libnss-winbind:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), libpam-systemd:amd64 (229-4ubuntu21.16, 229-4ubuntu21.21), samba-vfs-modules:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19), systemd:amd64 (229-4ubuntu21.16, 229-4ubuntu21.21), samba-common-bin:amd64 (2:4.3.11+dfsg-0ubuntu0.16.04.18, 2:4.3.11+dfsg-0ubuntu0.16.04.19) Дата окончания: 09.04.2019 7:00:51 (КОНЕЦ)
Я не очень знаком с samba/pam аутентификацией, таким образом, я открыт для любых предложений о том, как разрешить его (кроме отката).
https://usn.ubuntu.com/3939-1/-> Это, кажется, уязвимость, которая инициировала обновление системы защиты.
1 ответ
Пойманный очень похожая проблема, с RedHat 7, но возможно моими решениями относится к Вашему случаю. Моя машина была соединена с AD Доменом с winbind настроенным клиентом, поэтому позволяя всем от домена войти в систему к нему (присоединяющийся к sssd клиенту не вызывает это поведение).
Они "PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_LOGON_FAILURE" сообщения об ошибках начал появляться на файлах журнала, когда мы пытались ограничить логины SSH с опцией "AllowGroups" на/etc/ssh/sshd_config файле. Была синтаксическая ошибка в AD группе, которую мы настроили, таким образом любая попытка входа в систему перестала работать, даже члены этой группы.
После большого главного стука мы заметили синтаксическую ошибку, и затем все было прекрасно (правильный синтаксис: AllowGroups "DOMAIN\group в нижнем регистре", двойные кавычки, необходимые, потому что название группы содержит пробелы).
Надеюсь, что это помогает Вам!