AD. Проблемы с аутентификацией

Проблема

Проблемы с аутентификацией: доменный пользователь не может войти в систему.

Диагностика

Проверить, что после ввода логина и пароля от доменной учетной записи появляется сообщение "Вход неудачен".

Возможная причина: Превышено число неудачных попыток входа. Перейти к решению.

Проверить параметры в конфигурационном файле /etc/nsswitch.conf.

Возможная причина: Некорректные параметры в /etc/nsswitch.conf. Перейти к решению.

Проверить в файле /var/log/auth.log наличие строк следующего вида:

fly-dm: :0[965]: pam_parsec_mac(fly-dm:auth): Unknown user domain.example\user
fly-dm: :0[965]: pam_krb5(fly-dm:auth): authentication failure; logname=domain.example\user uid=0 euid=0 tty=/dev/tty7 ruser= rhost=
fly-dm: :0[965]: pam_unix(fly-dm:auth): check pass; user unknown
fly-dm: :0[965]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=

Возможная причина: Установлен пакет vmtools. Перейти к решению.

Проверить наличие NTP-служб и их корректную настройку, например, в конфигурационных файлах /etc/ntp.conf или /etc/systemd/timesyncd.conf.

Возможная причина: Рассинхронизация времени с контроллером домена. Перейти к решению.

Проверить возможность консольного входа (<Ctrl+Alt+F1>).

Возможная причина: Проблема с домашним каталогом доменного пользователя. Перейти к решению.

Проверить в конфигурационном файле /etc/samba/smb.conf значение параметра winbind separator.

Возможная причина: Не задано значение параметра winbind separator. Перейти к решению.

При входе под доменной учетной записью после ввода пароля происходит возврат на окно логина.

Проверить в файле /var/log/auth.log наличие ошибок вида:

fly-dm: :0[1037]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=  user=test
fly-dm: :0[1037]: pam_sss(fly-dm:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test
fly-dm: :0[1037]: pam_unix(fly-dm:session): session opened for user test by (uid=0)
systemd-logind[778]: New session 3 of user test.
systemd: pam_unix(systemd-user:session): session opened for user test by (uid=0)
fly-dm: :0[1037]: pam_unix(fly-dm:session): session closed for user test
systemd-logind[778]: Removed session 3.
systemd: pam_unix(systemd-user:session): session closed for user test

Возможная причина: Включены системные ограничения ulimits. Перейти к решению.

Проверить содержимое файла /etc/pam.d/common-auth на наличие записи вида:
```
auth	[success=6 default=ignore]	pam_krb5.so minimum_uid=2500
```

Возможная причина: Используется модуль pam_krb5. Перейти к решению.

Проверить при авторизации pam_winbind с более чем одним realm AD наличие сообщения вида:
```
NT_STATUS_OBJECT_NAME_NOT_FOUND
```

Возможная причина: Некорректная работа повторной авторизации в PAM-стеке. Перейти к решению.

Войти в систему, используя учетную запись локального администратора, и последовательно выполнить следующие команды:
```
sudo service winbind stop
sudo service smbd stop
sudo net cache flush
sudo rm -f /var/lib/samba/*.tdb
sudo rm -f /var/lib/samba/group_mapping.ldb
sudo service smbd start
sudo service winbind start
```
В результате выполнения команд будет очищен кеш Samba.
Выйти из сессии локального администратора и выполнить вход, используя доменную учетную запись пользователя.

Возможная причина: Некорректный или поврежденный кеш Samba. Перейти к решению.

AD. Проблемы с аутентификацией

Проблема

Диагностика

Возможные причины

Download PDF