SSSD + Encrypted / home, больше не автомонтируется при входе в систему
Я переключил несколько ящиков на SSSD, поэтому они теперь аутентифицируются на центральном сервере LDAP и кэшируют учетные данные, когда я в сети. Это прекрасно работает, и пакеты Ubuntu установлены отлично.
Но теперь, когда я вхожу в систему, мой домашний каталог больше не авторасшифровывается / монтируется. Если я выйду из GDM и войду на консоль, мне будет предложена эта ошибка:
keyctl_seach Required key not avaliable
Если я запустил предложенную команду (ecryptfs-mount-private) и дал мне мой пароль, мой Домашний каталог разблокирован.
Я пытаюсь понять, как изменился процесс входа в систему, так что мой пароль больше не разблокирует ключ шифрования. Я полагаю, что это проблема PAM, поэтому я включил свой файл ecryptfs-mount-private ниже.
Предполагаю, что пароль передается в SSSD, а затем пропускает любой шаг обычно делается, чтобы разблокировать ключ. Может ли кто-нибудь объяснить, как это делается?
auth [success=3 default=ignore] pam_sss.so
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
UPDATE 1:
auth.log сообщает об этой ошибке, когда пользователь входит в систему:
login[14202]: NULL passphrase; aborting
Google только вызывает эту ошибку в источнике pam_ecryptfs.so и запускается, когда полученный PAM_AUTHTOK имеет значение NULL:
rc = pam_get_item(pamh, PAM_AUTHTOK, (const void **)&passphrase);
[...]
if (passphrase == NULL) {
[...]
syslog(LOG_ERR, "NULL passphrase; aborting\n");
[...]
}
Так как наименьшее значение pam_ecryptfs.so (т. е. не то, что его пропускают, поскольку SSSD на месте). UPDATE 1:
UPDATE 2:
Теперь я узнал больше о PAM, я обновил сообщение с помощью копию моего файла с общим auth, поскольку это тот, который используется при входе в систему (не общий-пароль)
6 ответов
Оказывается, ответ был в документации! Мне просто нужно было сначала выяснить, в чем проблема, а затем вернуться к проверке каждого элемента настройки:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8. html
Добавление опции «forward_pass» к pam_sss.so сообщает модулю SSSD поместить введенную кодовую фразу в стек, так что другие модули (например, pam_ecryptfs.so) могут использовать эту информацию.
Таким образом, мой ecryptfs + SSSD включил файл /etc/pam.d/common-auth выглядит следующим образом:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
forward_pass , имеющий слово «debug» на конец строки pam_ecryptfs.so также сломал вещи!
Я, конечно, много узнал о PAM, ecryptfs и gnome-keyring сегодня! Надеюсь, это поможет людям в будущем - и я даже могу представить запрос функции, чтобы он был добавлен в качестве значения по умолчанию.
-
1Большой +1 для ответа на вопрос после того, как вы решите проблему. Отлично :) (не забудьте принять его через два дня) – Stefano Palazzo♦ 14 August 2011 в 13:08
Оказывается, ответ был в документации! Мне просто нужно было сначала выяснить, в чем проблема, а затем вернуться к проверке каждого элемента настройки:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8. html
Добавление опции «forward_pass» к pam_sss.so сообщает модулю SSSD поместить введенную кодовую фразу в стек, так что другие модули (например, pam_ecryptfs.so) могут использовать эту информацию.
Таким образом, мой ecryptfs + SSSD включил файл /etc/pam.d/common-auth выглядит следующим образом:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
forward_pass , имеющий слово «debug» на конец строки pam_ecryptfs.so также сломал вещи!
Я, конечно, много узнал о PAM, ecryptfs и gnome-keyring сегодня! Надеюсь, это поможет людям в будущем - и я даже могу представить запрос функции, чтобы он был добавлен в качестве значения по умолчанию.
Оказывается, ответ был в документации! Мне просто нужно было сначала выяснить, в чем проблема, а затем вернуться к проверке каждого элемента настройки:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8. html
Добавление опции «forward_pass» к pam_sss.so сообщает модулю SSSD поместить введенную кодовую фразу в стек, так что другие модули (например, pam_ecryptfs.so) могут использовать эту информацию.
Таким образом, мой ecryptfs + SSSD включил файл /etc/pam.d/common-auth выглядит следующим образом:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
forward_pass , имеющий слово «debug» на конец строки pam_ecryptfs.so также сломал вещи!
Я, конечно, много узнал о PAM, ecryptfs и gnome-keyring сегодня! Надеюсь, это поможет людям в будущем - и я даже могу представить запрос функции, чтобы он был добавлен в качестве значения по умолчанию.
Оказывается, ответ был в документации! Мне просто нужно было сначала выяснить, в чем проблема, а затем вернуться к проверке каждого элемента настройки:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8. html
Добавление опции «forward_pass» к pam_sss.so сообщает модулю SSSD поместить введенную кодовую фразу в стек, так что другие модули (например, pam_ecryptfs.so) могут использовать эту информацию.
Таким образом, мой ecryptfs + SSSD включил файл /etc/pam.d/common-auth выглядит следующим образом:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
forward_pass , имеющий слово «debug» на конец строки pam_ecryptfs.so также сломал вещи!
Я, конечно, много узнал о PAM, ecryptfs и gnome-keyring сегодня! Надеюсь, это поможет людям в будущем - и я даже могу представить запрос функции, чтобы он был добавлен в качестве значения по умолчанию.
Оказывается, ответ был в документации! Мне просто нужно было сначала выяснить, в чем проблема, а затем вернуться к проверке каждого элемента настройки:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8. html
Добавление опции «forward_pass» к pam_sss.so сообщает модулю SSSD поместить введенную кодовую фразу в стек, так что другие модули (например, pam_ecryptfs.so) могут использовать эту информацию.
Таким образом, мой ecryptfs + SSSD включил файл /etc/pam.d/common-auth выглядит следующим образом:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
forward_pass , имеющий слово «debug» на конец строки pam_ecryptfs.so также сломал вещи!
Я, конечно, много узнал о PAM, ecryptfs и gnome-keyring сегодня! Надеюсь, это поможет людям в будущем - и я даже могу представить запрос функции, чтобы он был добавлен в качестве значения по умолчанию.
Оказывается, ответ был в документации! Мне просто нужно было сначала выяснить, в чем проблема, а затем вернуться к проверке каждого элемента настройки:
http://manpages.ubuntu.com/manpages/natty/man8/pam_sss.8. html
Добавление опции «forward_pass» к pam_sss.so сообщает модулю SSSD поместить введенную кодовую фразу в стек, так что другие модули (например, pam_ecryptfs.so) могут использовать эту информацию.
Таким образом, мой ecryptfs + SSSD включил файл /etc/pam.d/common-auth выглядит следующим образом:
auth [success=3 default=ignore] pam_sss.so forward_pass
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap
forward_pass , имеющий слово «debug» на конец строки pam_ecryptfs.so также сломал вещи!
Я, конечно, много узнал о PAM, ecryptfs и gnome-keyring сегодня! Надеюсь, это поможет людям в будущем - и я даже могу представить запрос функции, чтобы он был добавлен в качестве значения по умолчанию.