web-dev-qa-db-ja.com

LinuxマシンはWindowsドメインにありますが、ドメインログオンが機能していません

私たちの部署には小さなネットワークがあります

  • 2勝利サーバー2008ドメインコントローラー
  • 1つのdebianウェブサーバー
  • 多くのwin7クライアント

私の前任者は、ドメインからのユーザーアカウントでログインするために、ドメインにウェブサーバーを追加しようとしました(主にウェブサーバーへのファイル転送用)。私はしばらく働いていましたが、正体不明の時点からそれはもう機能しません。

それで、私はsambaに関するいくつかのチュートリアルを読み、設定ファイルを調べましたが、問題を見つけることができませんでした。今、私はあなたの助けを求めています。

auth.log「ドメインユーザー」でログインを試みた後:

Mar 13 17:04:33 linuxwebserver login[22754]: pam_winbind(login:auth): getting password (0x00000000)
Mar 13 17:04:35 linuxwebserver login[22754]: pam_winbind(login:auth): user '<domain-username>' granted access
Mar 13 17:04:35 linuxwebserver login[22754]: pam_unix(login:account): could not identify user (from getpwnam(<domain-username>))
Mar 13 17:04:35 linuxwebserver login[22754]: User not known to the underlying authentication module

auth.log「ドメイン」\「ドメインユーザー」でログインを試みた後:

Mar 13 17:06:29 linuxwebserver login[22762]: pam_winbind(login:auth): getting password (0x00000000)
Mar 13 17:06:32 linuxwebserver login[22762]: pam_winbind(login:auth): request failed: No such user, PAM error was Benutzer bei zu Grunde liegendem Authentifizierungsmodul nicht bekannt (10), NT error was NT_STATUS_NO_SUCH_USER
Mar 13 17:06:32 linuxwebserver login[22762]: pam_unix(login:auth): check pass; user unknown
Mar 13 17:06:32 linuxwebserver login[22762]: pam_unix(login:auth): authentication failure; logname=root uid=0 euid=0 tty=pts/3 ruser= rhost=
Mar 13 17:06:34 linuxwebserver login[22762]: FAILED LOGIN (1) on 'pts/3' FOR `UNKNOWN', User not known to the underlying authentication module

私にはWebサーバーはドメインに正しくあるようですが、Linuxがアカウントの有効性をチェックする方法にいくつかの問題があります。

smb.confhttp://Pastebin.com/nXdZUEbn

nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind

hosts:          files dns wins
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

wbinfo -uを使用すると、ドメイン内のすべてのアカウントの正しいリストが表示されます(名前の前に「DOMAIN \」がない場合)

wbinfo -gを使用すると、ドメイン内のグループの正しいリストが表示されます(名前の前に「DOMAIN \」がない場合)

getent passwdを使用すると、ウェブサーバーのローカル(unix-)アカウントのリストが表示されます(ドメインユーザーなし)

getent groupを使用すると、ウェブサーバーのローカル(unix-)グループのリストが表示されます(ドメインユーザーなし)

# wbinfo -p
Ping to winbindd succeeded

私の考え:Linuxはpasswdからの情報を使用してアカウントが有効かどうかをチェックしますが、wbinfoからアカウントへの情報はチェックしません。これをnsswitch.confにwinbindを追加することで解決したと思いましたが、問題は解決しませんでした。

編集:

/etc/pam.d/common-auth

auth sufficient pam_winbind.so
auth    required        pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-account

account sufficient      pam_winbind.so
account required        pam_unix.so

/etc/pam.d/common-password

password   required   pam_unix.so nullok obscure md5

EDIT2:/etc/krb5.conf

[libdefaults]
    default_realm = <DOMAIN>.LOCAL

# The following krb5.conf variables are only for MIT Kerberos.
    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

#   default_tgs_enctypes = des3-hmac-sha1
#   default_tkt_enctypes = des3-hmac-sha1
#   permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
    v4_instance_resolve = false
    v4_name_convert = {
        Host = {
            rcmd = Host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }
    fcc-mit-ticketflags = true

[realms]
    <DOMAIN>.LOCAL = {
        kdc = <WIN DOMAIN CONTROLLER>.<DOMAIN>.local
        admin_server = <WIN DOMAIN CONTROLLER>.<DOMAIN>.local
    }


[domain_realm]
    .<DOMAIN>.local = <DOMAIN>.LOCAL

[login]
    krb4_convert = true
    krb4_get_tickets = false
sambawinbind
6
Graslandpinguin

Smb.confを変更してみてください:

idmap backend = ad

ために:

idmap backend = rid

そして、sambaサービス(主にwinbind)を再起動します。それでも機能しない場合は、次を試してください。

  1. Sambaサービスを停止する
  2. Sambaデータベースとキャッシュファイル(通常は/ var/lib/sambaの下のtdbファイル)を削除します。
  3. ネット広告をもう一度実行する
  4. Sambaサービスを開始する

どのSambaバージョンを使用していますか?

1
Migtor

コメントを投稿するのに十分な評価はありませんが、Windowsドメインへのログイン中に2つのスラッシュを使用する必要があることを思い出しているようです。それはBeyondTrustであったと私は信じています、私はクエストで2つのスラッシュを使う必要がなかったことを知っています...

DOMAIN\\user
0
driz