A autenticação PBIS Open pára de funcionar no Ubuntu com erros: “a conta do usuário expirou” e “a sua conta está bloqueada?”

5

Estamos usando o PowerBroker Identity Services Open para autenticar com êxito os usuários do Active Directory dos hosts do Ubuntu por seis meses.

Recentemente, a autenticação do AD parou de funcionar em várias estações de trabalho depois que os usuários executaram um apt-get upgrade de mais de 200 pacotes de uma só vez. As tentativas de autenticação fornecem os erros "senha inválida", "a conta de usuário expirou" ou "sua conta está bloqueada?"

Eu não consegui vincular o problema a um upgrade de pacote específico, mas as estações de trabalho foram criadas do zero com as mesmas versões de pacote que não experimentam o problema. Eu tentei reinstalar o PBIS e validado todos os arquivos de configuração, mas estou faltando alguma coisa .... Eu estou em uma perda e adoraria qualquer conselho que alguém tem. Eu prefiro não ter que reconstruir outra caixa da próxima vez que isso acontecer!

Tentativas de autenticação

Primeiramente, verifiquei se a conta de usuário do AD estava ativada, não estava bloqueada e não tinha expirado. Autenticação de usuário local funciona bem através de lightdm e ssh.

  1. lightdm

    • credenciais válidas
      • erro retornado ao usuário "Senha inválida, tente novamente."
      • auth.log: nada
      • syslog: nada
    • senha incorreta

      • erro retornado ao usuário "Senha inválida, tente novamente."
      • auth.log:

        lightdm: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:username][error code:40022]
        
      • syslog:

        lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
        lsass: [lsass] Failed to authenticate user (name = 'username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 17768
        
  2. ssh

    • credenciais válidas

      • ssh desconectar com "Conexão fechada por IP_ADDRESS".
      • auth.log:

        sshd[18237]: error: PAM: User account has expired for DOMAIN\USER from HOSTNAME
        sshd[18237]: error: Received disconnect from IP_ADDRESS: 13: Unable to authenticate [preauth]
        
      • syslog: nada
    • senha incorreta

      • ssh desconectar com "Conexão fechada por IP_ADDRESS".
      • auth.log:

        sshd[18276]: [lsass-pam] [module:pam_lsass]pam_sm_authenticate error [login:domain\username][error code:40022]
        sshd[18272]: error: PAM: Authentication failure for domain\username from hostname
        
      • syslog

        lsass: [LwKrb5GetTgtImpl /builder/src-buildserver/Platform-8.0/src/linux/lwadvapi/threaded/krbtgt.c:276] KRB5 Error code: -1765328360 (Message: Preauthentication failed)
        lsass: [lsass] Failed to authenticate user (name = 'domain\username') -> error = 40022, symbol = LW_ERROR_PASSWORD_MISMATCH, client pid = 18276
        
  3. Apenas tentando algumas coisas locais loucas (e não, a conta não está bloqueada no AD)

            root@hostname:~# su - domain\username
            su: Authentication failure
            (Ignored)
            reenter password for pam_mount:
            DOMAIN\username@hostname:~$ sudo cat /etc/fstab
            [sudo] password for DOMAIN\username:
            sudo: account validation failure, is your account locked?
            DOMAIN\username@hostname:~$
    

Configuração

  • Ubuntu 14.04
  • PBIS Open 8.0.1.2029 (pbis-open-8.0.1.2029.linux.x86_64.deb.sh)
  • / opt / pbis / bin / config --dump

    AllowDeleteTo ""  
    AllowReadTo ""  
    AllowWriteTo ""
    MaxDiskUsage 104857600
    MaxEventLifespan 90
    MaxNumEvents 100000
    DomainSeparator "\"
    SpaceReplacement "^"
    EnableEventlog false
    Providers "ActiveDirectory"
    DisplayMotd false
    PAMLogLevel "error"
    UserNotAllowedError "Access denied"
    AssumeDefaultDomain true
    CreateHomeDir true
    CreateK5Login true
    SyncSystemTime true
    TrimUserMembership true
    LdapSignAndSeal false
    LogADNetworkConnectionEvents true
    NssEnumerationEnabled true
    NssGroupMembersQueryCacheOnly true
    NssUserMembershipQueryCacheOnly false
    RefreshUserCredentials true
    CacheEntryExpiry 14400
    DomainManagerCheckDomainOnlineInterval 300
    DomainManagerUnknownDomainCacheTimeout 3600
    MachinePasswordLifespan 2592000
    MemoryCacheSizeCap 0
    HomeDirPrefix "/home"
    HomeDirTemplate "%H/%D/%U"
    RemoteHomeDirTemplate ""
    HomeDirUmask "022"
    LoginShellTemplate "/bin/bash"
    SkeletonDirs "/etc/skel"
    UserDomainPrefix "DOMAIN.COM"
    DomainManagerIgnoreAllTrusts false
    DomainManagerIncludeTrustsList
    DomainManagerExcludeTrustsList
    RequireMembershipOf "DOMAIN\DOMAIN-GROUP"
    Local_AcceptNTLMv1 true
    Local_HomeDirTemplate "%H/local/%D/%U"
    Local_HomeDirUmask "022"
    Local_LoginShellTemplate "/bin/sh"
    Local_SkeletonDirs "/etc/skel"
    UserMonitorCheckInterval 1800
    LsassAutostart true
    EventlogAutostart true
    
  • / opt / pbis / bin / get-status

    LSA Server Status:
    
    Compiled daemon version: 8.0.1.2029
    Packaged product version: 8.0.2029.67662
    Uptime:        1 days 1 hours 4 minutes 26 seconds
    
    [Authentication provider: lsa-activedirectory-provider]
    
            Status:        Online
            Mode:          Un-provisioned
            Domain:        DOMAIN.COM
            Domain SID:    S-1-5-21-3537566271-1428921453-776812789
            Forest:        domain.com
            Site:          NYC
            Online check interval:  300 seconds
            [Trusted Domains: 1]
    
    
            [Domain: DOMAIN]
    
                    DNS Domain:       domain.com
                    Netbios name:     DOMAIN
                    Forest name:      domain.com
                    Trustee DNS name:
                    Client site name: NYC
                    Domain SID:       S-1-5-21-3537566271-1428921453-776812789
                    Domain GUID:      0b6b6d88-ea48-314a-8bad-a997a57bc1f4
                    Trust Flags:      [0x001d]
                                      [0x0001 - In forest]
                                      [0x0004 - Tree root]
                                      [0x0008 - Primary]
                                      [0x0010 - Native]
                    Trust type:       Up Level
                    Trust Attributes: [0x0000]
                    Trust Direction:  Primary Domain
                    Trust Mode:       In my forest Trust (MFT)
                    Domain flags:     [0x0001]
                                      [0x0001 - Primary]
    
                    [Domain Controller (DC) Information]
    
                            DC Name:              dc2.nyc.domain.com
                            DC Address:           10.x.x.50
                            DC Site:              NYC
                            DC Flags:             [0x0000f1fc]
                            DC Is PDC:            no
                            DC is time server:    yes
                            DC has writeable DS:  yes
                            DC is Global Catalog: yes
                            DC is running KDC:    yes
    
                    [Global Catalog (GC) Information]
    
                            GC Name:              dc1.nyc.domain.com
                            GC Address:           10.x.x.50
                            GC Site:              NYC
                            GC Flags:             [0x0000f3fd]
                            GC Is PDC:            yes
                            GC is time server:    yes
                            GC has writeable DS:  yes
                            GC is running KDC:    yes
    
  • / opt / pbis / bin / find-objects - usuário USERNAME

    User object [1 of 1] (S-1-5-21-3537566271-1428921453-776812789-1107)
    ============
    Enabled: yes
    Distinguished name: CN=USERNAME,OU=User,OU=User Accounts,DC=domain,DC=com
    SAM account name: username
    NetBIOS domain name: DOMAIN
    UPN: [email protected]
    Display Name: First Last
    Alias: <null>
    UNIX name: DOMAIN\username
    GECOS: First LAst
    Shell: /bin/bash
    Home directory: /home/DOMAIN/username
    Windows home directory: \domain.com\dfs\NYC\Users\username
    Local windows home directory:
    UID: 1023411283
    Primary group SID: S-1-5-21-3537566271-1428921453-776812789-513
    Primary GID: 1023410689
    Password expired: no
    Password never expires: yes
    Change password on next logon: no
    User can change password: yes
    Account disabled: no
    Account expired: no
    Account locked: no    
    
  • /etc/pbis/pbis-krb5-ad.conf

    [libdefaults]
        default_tgs_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
        default_tkt_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
        preferred_enctypes = AES256-CTS AES128-CTS RC4-HMAC DES-CBC-MD5 DES-CBC-CRC
        dns_lookup_kdc = true
        pkinit_kdc_hostname = <DNS>
        pkinit_anchors = DIR:/var/lib/pbis/trusted_certs
        pkinit_cert_match = &&<EKU>msScLogin<PRINCIPAL>
        pkinit_eku_checking = kpServerAuth
        pkinit_win2k_require_binding = false
        pkinit_identities = PKCS11:/opt/pbis/lib/libpkcs11.so
    
  • /etc/pam.d/common-session

    session [default=1]                     pam_permit.so
    session requisite                       pam_deny.so
    session required                        pam_permit.so
    session optional                        pam_umask.so
    session required                        pam_unix.so
    session optional                        pam_mount.so
    session [success=ok default=ignore]     pam_lsass.so
    session optional                        pam_systemd.so
    
  • /etc/pam.d/common-auth

    auth    [success=2 default=ignore]      pam_unix.so nullok_secure
    auth    [success=1 default=ignore]      pam_lsass.so try_first_pass
    auth    requisite                       pam_deny.so
    auth    required                        pam_permit.so
    auth    optional                        pam_cap.so
    auth    optional                        pam_mount.so
    
  • /opt/pbis/share/pbis.pam-auth-update

    Name: Likewise
    Default: yes
    Priority: 250
    Conflicts: winbind
    Auth-Type: Primary
    Auth:
            [success=end default=ignore]    pam_lsass.so try_first_pass
    Auth-Initial:
            [success=end default=ignore]    pam_lsass.so
    Account-Type: Primary
    Account:
            [success=ok new_authtok_reqd=ok default=ignore]         pam_lsass.so unknown_ok
            [success=end new_authtok_reqd=done default=ignore]      pam_lsass.so
    Session-Type: Additional
    Session:
            sufficient      pam_lsass.so
    Password-Type: Primary
    Password:
            [success=end default=ignore]    pam_lsass.so use_authtok try_first_pass
    Password-Initial:
            [success=end default=ignore]    pam_lsass.so
    
  • /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf

    [SeatDefaults]
    user-session=ubuntu
    greeter-show-manual-login=true
    
  • /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf

    [SeatDefaults]
    allow-guest=false
    greeter-show-remote-login=false
    greeter-show-manual-login=true
    greeter-session=unity-greeter
    
por Peter M 24.09.2014 / 02:36

4 respostas

3

A linha chave é esta:

sshd[18237]: error: PAM: User account has expired for DOMAIN\USER from HOSTNAME

Isso indica que um módulo PAM acredita que a conta expirou. Eu me concentraria menos em auth / session e mais em account , que é a facilidade focada nas propriedades da conta não relacionadas à autenticação. Sua primeira tarefa é identificar o módulo que está causando o problema. Uma vez que você sabe disso, deve ser muito mais fácil identificar porque o módulo acha que o usuário deve estar bloqueado.

Revise os módulos account aplicáveis, um a um, e tente adicionar o sinalizador debug às entradas individuais para expandir a saída do registro, se precisar de mais dicas. Se realmente estiver perplexo e não violar a segurança de um ambiente crítico, você também pode tentar comentar as linhas account uma por vez até identificar seu culpado.

Quanto ao que mudou, mais do que provavelmente sua configuração do PAM foi modificada quando esses pacotes foram instalados. É provável que os usuários em questão estivessem nesse estado o tempo todo, mas o banco de dados associado ao módulo account de mau comportamento estava sendo ignorado. (ignorado, comentado, não presente, etc.)

    
por 25.09.2014 / 04:22
2

FYI: domainjoin-cli configure --enable pam irá adicionar novamente essas linhas após uma atualização também. O PBIS Open 8.xe superior entregam corretamente uma configuração /usr/share/pam-configs/pbis para que isso não aconteça no futuro.

Além disso, o PBIS registra erros mais específicos no recurso do daemon do syslog, para que você possa visualizá-los no Ubuntu em /var/log/syslog em vez de /var/log/secure .

    
por 25.06.2015 / 21:34
1

Obrigado novamente a @Andrew B por me ajudar a encontrar a solução.

Para o registro, aqui está uma cópia da configuração /etc/pam.d/common-account correta que CORRIGE meu problema (as duas linhas pam_lsass.so estavam faltando nos sistemas que não estavam funcionando):

 account [success=3 new_authtok_reqd=done default=ignore]        pam_unix.so
 account [success=ok new_authtok_reqd=ok default=ignore]         pam_lsass.so unknown_ok
 account [success=1 new_authtok_reqd=done default=ignore]        pam_lsass.so
 account requisite                       pam_deny.so
 account required                        pam_permit.so
    
por 25.09.2014 / 15:44
0

Eu experimentei esse problema em um dos nossos servidores Ubuntu 14.04.4 para um usuário. O usuário tinha um ø no nome de exibição no AD. Quando eu substituí o ø pelo o, ele conseguiu entrar. Por que isso foi um problema em apenas um servidor, eu ainda não descobri.

    
por 22.02.2016 / 15:57