锁屏访问被拒绝(通过 sssd 进行 AD 身份验证)

锁屏访问被拒绝(通过 sssd 进行 AD 身份验证)

在 xenial 上,锁屏对我来说不起作用。无论我输入的密码是否正确,它都不会让我进入。但是,如果我点击屏幕右上角的菜单并选择“切换用户”,但选择与锁屏相同的用户,它就会让我直接进入。

在锁定屏幕上,身份验证似乎正常工作。它只是没有授权我。这是我在 /var/log/auth.log 中看到的内容:

May  3 11:57:44 hostname compiz: pam_krb5(unity:auth): user myuser authenticated as [email protected]
May  3 11:57:44 hostname compiz: gkr-pam: unlocked login keyring
May  3 11:57:44 hostname compiz: pam_sss(unity:account): Access denied for user myuser: 6 (Permission denied)

身份验证来自 Active Directory 域。我使用的是 sssd。同样的配置在 Trusty、Vivid 和 Wily 上都能正常工作。似乎只有 Xenial 上出现了问题。我尝试过在从 Wily 升级的工作站上以及全新安装的工作站上进行操作。我花了很长时间才弄清楚需要做哪些不同的事情。

只有 AD 帐户会受此影响。本地帐户不会。

当通过 GUI 运行需要提升权限的程序时,它也会失败。例如,从 Ubuntu 软件中心安装软件时。它不会让 AD 帐户授权安装,但会允许本地用户授权。然而,从命令行,AD 帐户可以毫无问题地使用 sudo。

有些事情让帕姆不开心。知道是什么原因吗?

答案1

此修复已作为对 vargax 提交的错误的注释发布。如果您添加:

ad_gpo_map_interactive = +unity

到 /etc/sssd/sssd.conf 的 [domain/domainname] 部分,锁屏问题就消失了。

不幸的是,这并不能解决 GUI 中提升权限的问题。

答案2

这是两个独立(但可能相关)的错误。没有人发布日志来演示提升权限的错误,所以我无法告诉您要向 sssd.conf 添加什么选项来修复它。

我从“pam_sss(unity:account): Access denied”获得了“unity”(“:account”之前的文本是正在联系的 PAM 服务的名称)。

这里的错误是下游 Ubuntu 维护人员没有调整 AD 提供程序的默认值集以包含此处正在使用的任何 PAM 服务,并且如果未知则默认拒绝。

ad_gpo_map_interactive = +unity是一个解决方法;我已向 SSSD 上游提交了一个补丁,以默认添加此功能。如果它不与其他任何内容冲突,我可能会对影响提升权限的任何内容执行相同的操作。否则,Ubuntu 有责任在下游软件包中对其进行修改。

答案3

检查 /etc/fstab 是否正确设置为磁盘分区。

然后我会重新配置 lightdm 本身

作为最后的资源,我将尝试重新安装 ubuntu 本身,并在安装过程中寻找用户和密码设置。

PAM 看上去非常棘手。

答案4

我刚刚提交了一个错误报告:https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1578415

也许你们可以将自己标记为受到影响......

相关内容