Download PDF
Download page FreeIPA. Проблемы с авторизацией в домене.
FreeIPA. Проблемы с авторизацией в домене
Проблема
Наблюдаются проблемы с авторизацией в домене FreeIPA (через веб-интерфейс, по SSH, локально).
Диагностика
- Используется двухфакторная аутентификация с помощью токена.
- Установлено оперативное обновление не выше Astra Linux Special Edition 1.6 Update 4 (№ 20191029SE16). Для получения номера установленного оперативного обновления можно использовать команду:
cat /etc/astra_update_version
Возможная причина: FreeIPA. Требуется обновление ОС и настройка двухфакторной аутентификации. Перейти к решению.
Проверить выводы команд:
ls -ln /home/ getent passwd username@domain.name
Ожидаемый вывод:
ls -ln /home/drwx------ 17 504000 504000 4096 июн 1 19:56 admin
getent passwd username@domain.nameadmin:*:648000:648000:Administrator:/home/admin:/bin/bash
Домашний каталог пользователя
adminпринадлежит пользователю с ID504000, при этом пользователюusername@domain.nameприсвоен ID648000.
Возможная причина: FreeIPA разворачивается на хосте не в первый раз. Перейти к решению.
Выполнить команду:
getent passwd admin
и проверить результат:
Отсутствует passwd-запись admin
Возможная причина: В списке поиска не указана база учетных записей sss. Перейти к решению.
Локальный вход заканчивается ошибкой.
Проверить наличие файла/etc/astra_update_version:cat /etc/astra_update_version
Отсутствие данного файла подразумевает отсутствие установленных обновлений.
В случае наличия такого файла проверить его содержимое:
Update 2 Bulletin 20190222SE16
Возможная причина: Некорректно установлены пакеты Parsec. Перейти к решению.
Проверить:
лог-файл
/var/log/auth.logна наличие сообщений вида:Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_unix(fly-dm:auth): check pass; user unknown Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=winuser@win.dom Oct 29 14:06:15 ws-astra fly-dm: :0[920]: pam_sss(fly-dm:auth): received for user winuser@win.dom: 10 (Пользователь не известен базовому модулю проверки подлинности) Oct 29 14:07:14 ws-astra login[863]: pam_unix(login:auth): check pass; user unknown Oct 29 14:07:14 ws-astra login[863]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Oct 29 14:07:14 ws-astra login[863]: pam_sss(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=winuser@win.dom Oct 29 14:07:14 ws-astra login[863]: pam_sss(login:auth): received for user winuser@win.dom: 10 (User not known to the underlying authentication module) Oct 29 14:07:17 ws-astra login[863]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
файл
/etc/hostsна наличие лишних строк:127.0.0.1 localhost 127.0.1.1 <имя компьютера> ...
Возможная причина: Не синхронизировано время между КД FreeIPA и AD. Перейти к решению.
Проверить при подключении по SSH наличие сообщения вида:
Connection to [host] closed
Возможная причина: Ошибка в стеке pam.d. Перейти к решению.
Проверить лог-файл
/var/log/sssd*на наличие сообщения вида:[sssd[be[WIN.AD]]] [ad_gpo_access_done] (0x0040): GPO-based access control failed.
Возможная причина: Применение групповых политик AD. Перейти к решению.
- Проверить корректность настроек IP-адресов в файлах (адреса должны совпадать):
/etc/NetworkManager/system-connections/Проводное соединение 1;/etc/hosts.
- Убедиться, что в файле
/etc/NetworkManager/system-connections/Проводное соединение 1настроен параметрdnsи указаны корректные адреса КД FreeIPA. (Данную проверку можно выполнить через графический интерфейс NetworkManager.)
Возможная причина: Различные IP-адреса в настройках сети. Перейти к решению.
Проверить наличие пакета
resolvconf:sudo apt policy resolvconf
Возможная причина: Установлен пакет resolvconf. Перейти к решению.