A autenticação PBIS Open pára de funcionar no Ubuntu com erros: “a conta do usuário expirou” e “a sua conta está bloqueada?”

Navegue suas respostas
5

Estamos usando o PowerBroker Identity Services Open para autenticar com êxito os usuários do Active Directory dos hosts do Ubuntu por seis meses.

Recentemente, a autenticação do AD parou de funcionar em várias estações de trabalho depois que os usuários executaram um apt-get upgrade de mais de 200 pacotes de uma só vez. As tentativas de autenticação fornecem os erros "senha inválida", "a conta de usuário expirou" ou "sua conta está bloqueada?"

Eu não consegui vincular o problema a um upgrade de pacote específico, mas as estações de trabalho foram criadas do zero com as mesmas versões de pacote que não experimentam o problema. Eu tentei reinstalar o PBIS e validado todos os arquivos de configuração, mas estou faltando alguma coisa .... Eu estou em uma perda e adoraria qualquer conselho que alguém tem. Eu prefiro não ter que reconstruir outra caixa da próxima vez que isso acontecer!

Tentativas de autenticação

Primeiramente, verifiquei se a conta de usuário do AD estava ativada, não estava bloqueada e não tinha expirado. Autenticação de usuário local funciona bem através de lightdm e ssh.

  1. lightdm

    • credenciais válidas
      • erro retornado ao usuário "Senha inválida, tente novamente."
      • auth.log: nada
      • syslog: nada

    • senha incorreta

      • erro retornado ao usuário "Senha inválida, tente novamente."

      • auth.log: 

        lightdm: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:username][error code:40022]

      • syslog: 

        lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
lsass: [lsass] Failed to authenticate user (name = 'username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 17768

  2. ssh

    • credenciais válidas

      • ssh desconectar com "Conexão fechada por IP_ADDRESS".

      • auth.log: 

        sshd[18237]: error: PAM: User account has expired for DOMAIN\USER from HOSTNAME
sshd[18237]: error: Received disconnect from IP_ADDRESS: 13: Unable to authenticate [preauth]
      • syslog: nada

    • senha incorreta

      • ssh desconectar com "Conexão fechada por IP_ADDRESS".

      • auth.log: 

        sshd[18276]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:domain\username][error code:40022]
sshd[18272]: error: PAM: Authentication failure for domain\username from hostname

      • syslog 

        lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
lsass: [lsass] Failed to authenticate user (name = 'domain\username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 18276

  3. Apenas tentando algumas coisas locais loucas (e não, a conta não está bloqueada no AD) 

            root@hostname:~# su - domain\username
        su: Authentication failure
        (Ignored)
        reenter password for pam_mount:
        DOMAIN\username@hostname:~$ sudo cat /etc/fstab
        [sudo] password for DOMAIN\username:
        sudo: account validation failure, is your account locked?
        DOMAIN\username@hostname:~$

Configuração

  • Ubuntu 14.04
  • PBIS Open 8.0.1.2029 (pbis-open-8.0.1.2029.linux.x86_64.deb.sh)

  • / opt / pbis / bin / config --dump 

    AllowDeleteTo ""  
AllowReadTo ""  
AllowWriteTo ""
MaxDiskUsage 104857600
MaxEventLifespan 90
MaxNumEvents 100000
DomainSeparator "\"
SpaceReplacement "^"
EnableEventlog false
Providers "ActiveDirectory"
DisplayMotd false
PAMLogLevel "error"
UserNotAllowedError "Access denied"
AssumeDefaultDomain true
CreateHomeDir true
CreateK5Login true
SyncSystemTime true
TrimUserMembership true
LdapSignAndSeal false
LogADNetworkConnectionEvents true
NssEnumerationEnabled true
NssGroupMembersQueryCacheOnly true
NssUserMembershipQueryCacheOnly false
RefreshUserCredentials true
CacheEntryExpiry 14400
DomainManagerCheckDomainOnlineInterval 300
DomainManagerUnknownDomainCacheTimeout 3600
MachinePasswordLifespan 2592000
MemoryCacheSizeCap 0
HomeDirPrefix "/home"
HomeDirTemplate "%H/%D/%U"
RemoteHomeDirTemplate ""
HomeDirUmask "022"
LoginShellTemplate "/bin/bash"
SkeletonDirs "/etc/skel"
UserDomainPrefix "DOMAIN.COM"
DomainManagerIgnoreAllTrusts false
DomainManagerIncludeTrustsList
DomainManagerExcludeTrustsList
RequireMembershipOf "DOMAIN\DOMAIN-GROUP"
Local_AcceptNTLMv1 true
Local_HomeDirTemplate "%H/local/%D/%U"
Local_HomeDirUmask "022"
Local_LoginShellTemplate "/bin/sh"
Local_SkeletonDirs "/etc/skel"
UserMonitorCheckInterval 1800
LsassAutostart true
EventlogAutostart true

  • / opt / pbis / bin / get-status 

    LSA Server Status:

Compiled daemon version: 8.0.1.2029
Packaged product version: 8.0.2029.67662
Uptime:        1 days 1 hours 4 minutes 26 seconds

[Authentication provider: lsa-activedirectory-provider]

        Status:        Online
        Mode:          Un-provisioned
        Domain:        DOMAIN.COM
        Domain SID:    S-1-5-21-3537566271-1428921453-776812789
        Forest:        domain.com
        Site:          NYC
        Online check interval:  300 seconds
        [Trusted Domains: 1]


        [Domain: DOMAIN]

                DNS Domain:       domain.com
                Netbios name:     DOMAIN
                Forest name:      domain.com
                Trustee DNS name:
                Client site name: NYC
                Domain SID:       S-1-5-21-3537566271-1428921453-776812789
                Domain GUID:      0b6b6d88-ea48-314a-8bad-a997a57bc1f4
                Trust Flags:      [0x001d]
                                  [0x0001 - In forest]
                                  [0x0004 - Tree root]
                                  [0x0008 - Primary]
                                  [0x0010 - Native]
                Trust type:       Up Level
                Trust Attributes: [0x0000]
                Trust Direction:  Primary Domain
                Trust Mode:       In my forest Trust (MFT)
                Domain flags:     [0x0001]
                                  [0x0001 - Primary]

                [Domain Controller (DC) Information]

                        DC Name:              dc2.nyc.domain.com
                        DC Address:           10.x.x.50
                        DC Site:              NYC
                        DC Flags:             [0x0000f1fc]
                        DC Is PDC:            no
                        DC is time server:    yes
                        DC has writeable DS:  yes
                        DC is Global Catalog: yes
                        DC is running KDC:    yes

                [Global Catalog (GC) Information]

                        GC Name:              dc1.nyc.domain.com
                        GC Address:           10.x.x.50
                        GC Site:              NYC
                        GC Flags:             [0x0000f3fd]
                        GC Is PDC:            yes
                        GC is time server:    yes
                        GC has writeable DS:  yes
                        GC is running KDC:    yes

  • / opt / pbis / bin / find-objects - usuário USERNAME 

    User object [1 of 1] (S-1-5-21-3537566271-1428921453-776812789-1107)
============
Enabled: yes
Distinguished name: CN=USERNAME,OU=User,OU=User Accounts,DC=domain,DC=com
SAM account name: username
NetBIOS domain name: DOMAIN
UPN: [email protected]
Display Name: First Last
Alias: <null>
UNIX name: DOMAIN\username
GECOS: First LAst
Shell: /bin/bash
Home directory: /home/DOMAIN/username
Windows home directory: \domain.com\dfs\NYC\Users\username
Local windows home directory:
UID: 1023411283
Primary group SID: S-1-5-21-3537566271-1428921453-776812789-513
Primary GID: 1023410689
Password expired: no
Password never expires: yes
Change password on next logon: no
User can change password: yes
Account disabled: no
Account expired: no
Account locked: no

  • /etc/pbis/pbis-krb5-ad.conf 

    [libdefaults]
    default_tgs_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
    default_tkt_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
    preferred_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
    dns_lookup_kdc = true
    pkinit_kdc_hostname = <DNS>
    pkinit_anchors = DIR:/var/lib/pbis/trusted_certs
    pkinit_cert_match = &&<EKU>msScLogin<PRINCIPAL>
    pkinit_eku_checking = kpServerAuth
    pkinit_win2k_require_binding = false
    pkinit_identities = PKCS11:/opt/pbis/lib/libpkcs11.so

  • /etc/pam.d/common-session 

    session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session optional                        pam_umask.so
session required                        pam_unix.so
session optional                        pam_mount.so
session [success=ok default=ignore]     pam_lsass.so
session optional                        pam_systemd.so

  • /etc/pam.d/common-auth 

    auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_lsass.so try_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional                        pam_cap.so
auth    optional                        pam_mount.so

  • /opt/pbis/share/pbis.pam-auth-update 

    Name: Likewise
Default: yes
Priority: 250
Conflicts: winbind
Auth-Type: Primary
Auth:
        [success=end default=ignore]    pam_lsass.so try_first_pass
Auth-Initial:
        [success=end default=ignore]    pam_lsass.so
Account-Type: Primary
Account:
        [success=ok new_authtok_reqd=ok default=ignore]         pam_lsass.so unknown_ok
        [success=end new_authtok_reqd=done default=ignore]      pam_lsass.so
Session-Type: Additional
Session:
        sufficient      pam_lsass.so
Password-Type: Primary
Password:
        [success=end default=ignore]    pam_lsass.so use_authtok try_first_pass
Password-Initial:
        [success=end default=ignore]    pam_lsass.so

  • /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf 

    [SeatDefaults]
user-session=ubuntu
greeter-show-manual-login=true

  • /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf 

    [SeatDefaults]
allow-guest=false
greeter-show-remote-login=false
greeter-show-manual-login=true
greeter-session=unity-greeter
por Peter M 24.09.2014 / 02:36

4 respostas

3

A linha chave é esta:

sshd[18237]: error: PAM: User account has expired for DOMAIN\USER from HOSTNAME

Isso indica que um módulo PAM acredita que a conta expirou. Eu me concentraria menos em auth / session e mais em account , que é a facilidade focada nas propriedades da conta não relacionadas à autenticação. Sua primeira tarefa é identificar o módulo que está causando o problema. Uma vez que você sabe disso, deve ser muito mais fácil identificar porque o módulo acha que o usuário deve estar bloqueado.

Revise os módulos account aplicáveis, um a um, e tente adicionar o sinalizador debug às entradas individuais para expandir a saída do registro, se precisar de mais dicas. Se realmente estiver perplexo e não violar a segurança de um ambiente crítico, você também pode tentar comentar as linhas account uma por vez até identificar seu culpado.

Quanto ao que mudou, mais do que provavelmente sua configuração do PAM foi modificada quando esses pacotes foram instalados. É provável que os usuários em questão estivessem nesse estado o tempo todo, mas o banco de dados associado ao módulo account de mau comportamento estava sendo ignorado. (ignorado, comentado, não presente, etc.)

    
por 25.09.2014 / 04:22
2

FYI: domainjoin-cli configure --enable pam irá adicionar novamente essas linhas após uma atualização também. O PBIS Open 8.xe superior entregam corretamente uma configuração /usr/share/pam-configs/pbis para que isso não aconteça no futuro.

Além disso, o PBIS registra erros mais específicos no recurso do daemon do syslog, para que você possa visualizá-los no Ubuntu em /var/log/syslog em vez de /var/log/secure .

    
por 25.06.2015 / 21:34
1

Obrigado novamente a @Andrew B por me ajudar a encontrar a solução.

Para o registro, aqui está uma cópia da configuração /etc/pam.d/common-account correta que CORRIGE meu problema (as duas linhas pam_lsass.so estavam faltando nos sistemas que não estavam funcionando): 

 account [success=3 new_authtok_reqd=done default=ignore]        pam_unix.so
 account [success=ok new_authtok_reqd=ok default=ignore]         pam_lsass.so unknown_ok
 account [success=1 new_authtok_reqd=done default=ignore]        pam_lsass.so
 account requisite                       pam_deny.so
 account required                        pam_permit.so
    
por 25.09.2014 / 15:44
0

Eu experimentei esse problema em um dos nossos servidores Ubuntu 14.04.4 para um usuário. O usuário tinha um ø no nome de exibição no AD. Quando eu substituí o ø pelo o, ele conseguiu entrar. Por que isso foi um problema em apenas um servidor, eu ainda não descobri.

    
por 22.02.2016 / 15:57

Tags

Por que o dig + trace às vezes falha no DNS do Windows Server? Como os servidores / clientes VPN evitam rotear seus próprios pacotes de conexão remota através deles?