SAMBA AD, PAM, LihgtDM. В Greeter’е быстро исчезает текст PAM, при смене пароля.

[Shabby]

Вводная:
В Предприятии применяется в качестве стандарта эталонный образ Ubuntu 16.04.5 LTS (Рабочая станция). Эта станция введена в домен на основе SAMBA. Далее суть проблемы фокусируется на самой станции и механизме смены пароля при входе доменного пользователя в сеть.
Состав ПО: Samba Active Directory (v4), lightdm 1.18.3, lightdm-gtk-greeter 2.0.1, winbindd Version 4.3.11-Ubuntu, samba 2:4.3.11+dfsg-0ubuntu0.16.04.17.
После ввода в домен проблема при испытании опции «Требовать cмену пароля при следующем входе в систему».
Задача: обеспечить возможностью пользователя выполнить смену пароля до входа в систему простыми и доступным способом по средствам greeter'а, как в Windows при первом входе пользователя.
Проблематика: PAM предоставляет механизм смены пароля для доменной уч. записи, но вот этапы сены пароля: «Changing password for %s.», "Enter new STRESS password: " и т.д. – отображаются через один и на английском при включенной русской локализации.
Хотелось бы это исправить не получается сообразить, как.

[victor00000]

Код: [Выделить]

echo | testparm
?

[Shabby]

Ответ таков:

root@PC:/etc/samba# echo | testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions
# Global parameters
[global]
        workgroup = MYDOMINE
        realm = MYDOMINE.LOCAL
        security = ADS
        load printers = No
        printcap name = /dev/null
        disable spoolss = Yes
        show add printer wizard = No
        os level = 0
        preferred master = No
        local master = No
        domain master = No
        dns proxy = No
        template shell = /bin/bash
        winbind cache time = 3000
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        winbind offline logon = Yes
        idmap config * : range = 10000-20000
        idmap config * : backend = tdb

[victor00000]

вы ничего не сделал.
нужно делать эту https://forum.ubuntu.ru/index.php?topic=247023.msg1949180#msg1949180

[Shabby]

Спасибо, но я не понял. Можно немного подробнее. В ссылке что вы предложили там проблематика предоставления файловой шары. У меня же проблема в процедуре смены пароля станции в домене SAMBA Active Directory.

[victor00000]

извините, не знаю.

[AnrDaemon]

У вас мапинг пользователей не настроен.

[Shabby]

Благодарю за подсказку. Предположил, что вы вероятно под «мапинг пользователей» подразумеваете - username map, которая через файл позволяет задать соответствие имен? Я правильно понял?
Извиняюсь, но, если я правильно понял - это не совсем то, что я обсуждаю. Речь об доменных пользователях, подключенных к домену на основе SAMBA и вот у них совсем не комфортная ситуация – они не могут при входе в доменную станцию, сменить пароль. Причины две:
1.   Сообщения PAM отображаются через один
2.   Сообщения на английском несмотря на русскую локализацию, проблема проявляется исключительно на этом участке. 

[AnrDaemon]

Не обязательно файл. У меня мапинг настроен прямо в АД.
Шаблоны в https://github.com/AnrDaemon/samba4-ads/tree/master/root/samba-ads

[Shabby]

Спасибо, но попрошу все же "разжевать" как вы видите решение задачи при участии предложенных вам конфигураций (файлов). Я ожидал сказать честно, что решение лежит в плоскости доработки файлов PAM, а именно файла common-password (модуль обновления данных пароля). Уточню, сообщения от PAM в окно greeter'а выводятся, но некоторые отображаются очень быстро, и простой пользователь не успеет понять, что произошло и на какой этап смены паролей он попал это "повторный ввод нового пароля" или система требует повторно ввести старый пароль.
Пример:
Pass_Exp
позиция 1 - сообщение о необходимости сменить пароль и прием нового пароля;
позиция 2 - окно для повторного ввода нового пароля;

Как видно "этап повторного ввода пароля" - не сопровождается сообщением что необходимо повторно ввести пароль.

А вот процедура смены пароля после сброса, там повторный ввод сопровождается сообщением из картинки Ent_it_Eg.
Некоторые сообщения просто исчезают мгновенно.

[AnrDaemon]

Что у вас в pam-auth-update ?

[Shabby]

pam-auth-update - принтскрин прилагаю.
Эту функцию пробовал применять в двух вариантах, в варианте с файлами common-[account, auth, password, session]. И без них, т.к. функция призвана пересоздать файлы заново. Оба варианта применения pam-auth-update, являются следствием поиска решения текущей проблемы. Полагал, что модификация этих файлов - по доступным в сети предложениям приведет к успеху. К сожалению такой подход, я имею ввиду такое бездумное копирование этих конфигураций не привело к успешному результату, и я остановился на стандартном "базовом", default-варианте их применения, но с одним единственным уточнением в файле common-session. Уточнение: session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077 - которое как вы знаете разрешает создать домашнюю директорию доменному пользователю при входе в систему.

[AnrDaemon]

Эту функцию пробовал применять

Эта "функция" их СО ЗДА ЁТ!

[Shabby]

Эту функцию пробовал применять

Эта "функция" их СО ЗДА ЁТ!

Спасибо за уточнение. Безусловно - создает "дефолтные" конфигурации соответствующих файлов, если быть точным, об этом я знаю. Под "применением" - подразумевалось, что мне о ней известно, и я применял ее, с целью начать поиск решения с нуля, с дефолтными файлами. После того как попытки поиска удачной конфигурации файлов common-[account, auth, password, session], не увенчались успехом.
Я также знаю, что pam-auth-update не решило проблемы, то есть создание новых файлов не улучшило ситуацию.

[AnrDaemon]

Не дефолтные, а по шаблонам из /usr/share/pam-config/
У вас вижу как минимум одну проблему, которая может влиять на ситуацию.
Установлена pam_krb5. Причём первой. У меня при её использовании не получается менять вообще никакие пароли.
Но проблема, похоже, глубже. Сейчас на тестовой системе пробовал сменить пароль - не выходит. Такое ощущение, что либо Linux в доменах не используют, либо пользователи пароли не меняют.