Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Ubuntu 18.04, winbind: не работает require_membership_of  (Прочитано 1791 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн a7a8dm

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Добрый день, уважаемые форумчане.
Пишу здесь в первый раз, извините, если что не так.

Не сталкивался ли кто из вас с такой проблемой:
Не работает ограничение доступа путём членства в группе AD с помощью опции require_membership_of.
Всё работает нормально, но система по ssh пускает пользователей без ограничений, неважно, являются ли они членами заявленной группы или нет.
В CentOS 7 всё работает.

Поиск по форуму ничего не дал.

Вот мои данные:
Ubuntu 18.04.5 LTS

uname -a
Linux ubuntu18 4.15.0-128-generic #131-Ubuntu SMP Wed Dec 9 06:57:35 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

/etc/pam.d/common-auth
auth   [success=1 default=ignore]   pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of="TDOMAIN\vcenter-full-admin"

smbd -V
winbindd -V
Version 4.7.6-Ubuntu

testparm -s
(Нажмите, чтобы показать/скрыть)


Говорите, если чего не хватает.

Заранее благодарен.
« Последнее редактирование: 23 Апреля 2021, 17:08:31 от a7a8dm »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #1 : 24 Апреля 2021, 09:33:07 »
Нехватает, как минимум

net ads testjoin
getent group
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн a7a8dm

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #2 : 26 Апреля 2021, 08:57:54 »
Не знаю, чем это может помочь, но пожалуйста.

net ads testjoin
Join is OK

getent group
(Нажмите, чтобы показать/скрыть)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #3 : 26 Апреля 2021, 09:56:23 »
Хорошо. Тогда

/usr/sbin/sshd -T
Лучше перенаправить в файл.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн a7a8dm

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #4 : 26 Апреля 2021, 11:05:10 »
sshd -T
(Нажмите, чтобы показать/скрыть)

Но ssh тут ни при чём. Такая же проблема и при локальном входе.
Я вас направлю - проблема в winbind. Он почему-то игнорирует require_membership_of или эта проверка у него всегда выдаёт success.

Дебаг включен.
/etc/security/pam_winbind.conf:
debug = yes

В auth.log
...
...pam_winbind(login:session): [pamh: 0x5593c21e8940] LEAVE:pam_sm_open_session returning 0 (PAM_SUCCESS)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #5 : 27 Апреля 2021, 06:00:18 »
/etc/pam.d/common-auth
auth requisite  [success=1 default=ignore]   pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of="TDOMAIN\vcenter-full-admin"
Должно быть так, если я ничего не путаю.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн a7a8dm

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #6 : 27 Апреля 2021, 09:25:27 »
>Должно быть так, если я ничего не путаю.
Попробовал и requisite, и CentOS'овский sufficient, не помогло.
А помогло вот что.
Проблема оказалась в настройках PAM.
Закомментировал находящуюся выше строку конфига PAM:
auth   [success=3 default=ignore]    pam_krb5.so minimum_uid=1000

И сразу управление перешло к Winbind.
Всё работает, спасибо за участие.
« Последнее редактирование: 27 Апреля 2021, 09:41:33 от a7a8dm »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #7 : 27 Апреля 2021, 10:55:45 »
Вообще наХХХХ снесите pam_krb5.
И в следующий раз ПРИВОДИТЕ РЕЛЕВАНТНЫЕ КОНФИГИ ПОЛНОСТЬЮ!

Пользователь добавил сообщение 27 Апреля 2021, 10:59:04:
Всё, что реально нужно для подключения к АД:

# dpkg --get-selections | grep -E "lib(nss|pam)\\>"
libnss-winbind:amd64                            install
libpam-cap:amd64                                install
libpam-cgfs                                     install
libpam-modules:amd64                            install
libpam-modules-bin                              install
libpam-runtime                                  install
libpam-systemd:amd64                            install
libpam-winbind:amd64                            install

Всё, Карл, ВСЁЁЁООО!!!
« Последнее редактирование: 27 Апреля 2021, 10:59:04 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн a7a8dm

  • Автор темы
  • Новичок
  • *
  • Сообщений: 5
    • Просмотр профиля
Re: Ubuntu 18.04, winbind: не работает require_membership_of
« Ответ #8 : 27 Апреля 2021, 12:44:11 »
>И в следующий раз
Уважаемый, не надо орать, я прекрасно слышу.
А с вашей скрытой ненормативной лексикой разберутся на другом уровне.

 

Страница сгенерирована за 0.03 секунд. Запросов: 25.