Download PDF
Download page FreeIPA. Проблемы с авторизацией в домене.
FreeIPA. Проблемы с авторизацией в домене
Проблема
Наблюдаются проблемы с авторизацией в домене FreeIPA (через веб-интерфейс, по SSH, локально).
Диагностика
Выполнить команды:
ls -ln /home/ getent passwd username@domain.nameCODEОжидаемый вывод:
ls -ln /home/
drwx------ 17 504000 504000 4096 июн 1 19:56 adminCODEgetent passwd username@domain.name
admin:*:648000:648000:Administrator:/home/admin:/bin/bashCODEДомашний каталог пользователя
adminпринадлежит пользователю с ID504000, при этом пользователюusername@domain.nameприсвоен ID648000.
Возможная причина: FreeIPA разворачивается на хосте не в первый раз. Перейти к решению.
Выполнить команду:
getent passwd adminCODEРезультат выполнения — сообщение об ошибке:
Отсутствует passwd-запись adminCODE
Возможная причина: В списке поиска не указана база учетных записей sss. Перейти к решению.
Проверить версию ОС:
cat /etc/astra_update_versionCODE
Возможная причина: Двухфакторная аутентификация. Перейти к решению.
Вход по SSH осуществляется, локальный вход заканчивается ошибкой.
Проверить наличие файла/etc/astra_update_version:cat /etc/astra_update_versionCODEОтсутствие данного файла подразумевает отсутствие установленных обновлений.
В случае наличия такого файла проверить его содержимое:
Update 2 Bulletin 20190222SE16CODE
Возможная причина: Некорректно установлены пакеты Parsec. Перейти к решению.
Проверить:
лог-файл
/var/log/auth.logна наличие следующего содержания:Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_unix(fly-dm:auth): check pass; user unknown Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=winuser@win.dom Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_sss(fly-dm:auth): received for user winuser@win.dom: 10 (Пользователь не известен базовому модулю проверки подлинности) Oct 29 14:07:14 ws-astra login[863]: pam_unix(login:auth): check pass; user unknown Oct 29 14:07:14 ws-astra login[863]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Oct 29 14:07:14 ws-astra login[863]: pam_sss(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=winuser@win.dom Oct 29 14:07:14 ws-astra login[863]: pam_sss(login:auth): received for user winuser@win.dom: 10 (User not known to the underlying authentication module) Oct 29 14:07:17 ws-astra login[863]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failureCODEфайл
/etc/hostsна наличие лишних строк:127.0.0.1 localhost 127.0.1.1 <имя компьютера> ...CODE
Возможная причина: Не синхронизировано время между КД FreeIPA и AD. Перейти к решению.
При подключении к серверу и клиентам домена FreeIPA по имени проверить в выводе наличие сообщения вида:
Connection to [host] closedCODE
Возможная причина: Ошибка в стеке pam.d. Перейти к решению.
Проверить лог-файл
/var/log/sssd*на наличие сообщения вида:[sssd[be[WIN.AD]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.CODE
Возможная причина: Применение групповых политик AD. Перейти к решению.
- Проверить корректность настройки IP-адресов в файлах (адреса должны совпадать):
/etc/NetworkManager/system-connections/Проводное соединение 1;/etc/hosts.
- Убедиться, что в файле
/etc/NetworkManager/system-connections/Проводное соединение 1настроен параметрdnsи указаны корректные адреса КД FreeIPA. (Данную проверку можно выполнить через графический интерфейс NetworkManager.)
Возможная причина: Различные IP-адреса в настройках сети. Перейти к решению.
Проверить наличие пакета
resolvconf:sudo apt policy resolvconfCODE
Возможная причина: Установлен пакет resolvconf. Перейти к решению.
Возможные причины