No xenial, a tela de bloqueio não funciona para mim. Se eu digitar a senha correta ou não, não vai me deixar entrar. No entanto, se eu clicar no menu no canto superior direito da tela e escolha "mudar de usuário", mas escolha o mesmo usuário que na tela de bloqueio isso me permite entrar.
Na tela de bloqueio, a autenticação parece funcionar corretamente. Isso simplesmente não me autoriza. Aqui está o que eu vejo em /var/log/auth.log:
May 3 11:57:44 hostname compiz: pam_krb5(unity:auth): user myuser authenticated as [email protected]
May 3 11:57:44 hostname compiz: gkr-pam: unlocked login keyring
May 3 11:57:44 hostname compiz: pam_sss(unity:account): Access denied for user myuser: 6 (Permission denied)
A autenticação é de um domínio do Active Directory. Eu estou usando sssd. Essa mesma configuração funciona bem em Trusty, Vivid e Wily. Só parece estar quebrado no Xenial. Eu tentei em uma estação de trabalho que foi atualizada do Wily, bem como uma nova instalação. Eu estou tendo um monte de tempo para descobrir o que precisa ser feito de forma diferente.
Apenas contas do AD são afetadas por isso. Contas locais não são.
Ele também falha ao executar algo através do GUI que requer privilégios elevados. Por exemplo, ao instalar software do Ubuntu Software Center. Não permitirá que uma conta do AD autorize a instalação, mas permitirá que um usuário local a autorize. No entanto, a partir da linha de comando, as contas do AD podem usar o sudo sem problemas.
Algo está deixando o pam infeliz. Alguma ideia do que poderia ser?
Esta correção foi postada como um comentário para o bug que o vargax enviou. Se você adicionar:
ad_gpo_map_interactive = +unity
para a seção [domain / domainname] do /etc/sssd/sssd.conf, o problema da tela de bloqueio desaparece.
Infelizmente, isso não resolve o problema com privilégios elevados no gui.
Verifique se o / etc / fstab está configurado corretamente nas partições do disco.
Então eu iria reconfigurar o próprio lightdm
Para o último recurso, eu tentaria reinstalar o próprio Ubuntu, procurando as configurações de usuário e senha durante a instalação.
O PAM parece ser muito complicado.
Esses são dois erros separados (mas provavelmente relacionados). Ninguém postou um log que demonstra o erro dos privilégios elevados, então não posso dizer qual opção adicionar ao sssd.conf para consertá-lo.
Eu recebi "unity" de "pam_sss (unity: account): Acesso negado" (o texto antes da ": account" é o nome do serviço PAM que está sendo contatado).
O problema aqui é que o mantenedor do Ubuntu downstream não ajustou o conjunto padrão de valores para o provedor AD para incluir qualquer serviço PAM em uso aqui, e ele nega por padrão se é desconhecido.
O ad_gpo_map_interactive = +unity é uma solução alternativa; Eu enviei um patch para SSSD upstream para adicionar isso por padrão. Eu poderia fazer o mesmo por qualquer coisa que esteja afetando os privilégios elevados se não entrar em conflito com qualquer outra coisa. Caso contrário, será responsabilidade do Ubuntu modificá-lo no pacote downstream.