Acontece que o atributo "shadowMax" que está sendo definido está causando o erro NT_STATUS_PASSWORD_MUST_CHANGE. Ao remover o atributo mencionado nos objetos LDAP dos usuários específicos com o problema, esses usuários conseguiram efetuar login.
Estou com um problema em que os usuários que foram criados recentemente não conseguem efetuar login, mesmo que tenham sido adicionados aos grupos corretos. Ao visualizar os registros de erros, estou recebendo estes erros:
smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User name_of_the_user!
[2012/05/25 13:32:08.435697, 0] auth/pampass.c:586(smb_pam_account)
smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: name_of_the_user
[2012/05/25 13:32:08.435763, 0] auth/pampass.c:794(smb_pam_accountcheck)
O sistema que estou executando é uma máquina Debian estável com o Samba 3.5.6.
Qualquer ideia do que pode estar causando isso ou qualquer outra maneira de obter mais informações do samba (considerando que "UKNOWN PAM ERROR" é um tanto enigmático).
Editar: Conforme discutido no comentário, adicionei logs adicionais (nível de log 3). Havia muitos mais logados, embora isso seja o que eu achei que parecia ser interessante:
[2012/05/25 15:28:13.682595, 3] auth/auth.c:265(check_ntlm_password)
check_ntlm_password: sam authentication for user [name_of_user] succeeded
[2012/05/25 15:28:13.682650, 3] smbd/sec_ctx.c:210(push_sec_ctx)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2012/05/25 15:28:13.682696, 3] smbd/uid.c:429(push_conn_ctx)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2012/05/25 15:28:13.682740, 3] smbd/sec_ctx.c:310(set_sec_ctx)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/05/25 15:28:13.685803, 0] auth/pampass.c:586(smb_pam_account)
smb_pam_account: PAM: UNKNOWN PAM ERROR (12) during Account Management for User: name_of_user
[2012/05/25 15:28:13.685868, 2] auth/pampass.c:77(smb_pam_error_handler)
smb_pam_error_handler: PAM: Account Check Failed : Authentication token is no longer valid; new one required
[2012/05/25 15:28:13.685935, 0] auth/pampass.c:794(smb_pam_accountcheck)
smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User name_of_user!
[2012/05/25 15:28:13.686099, 3] smbd/sec_ctx.c:418(pop_sec_ctx)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/05/25 15:28:13.686174, 3] auth/auth.c:294(check_ntlm_password)
check_ntlm_password: PAM Account for user [name_of_user] FAILED with error NT_STATUS_PASSWORD_MUST_CHANGE
[2012/05/25 15:28:13.686352, 3] smbd/error.c:80(error_packet_set)
error packet at smbd/sesssetup.c(111) cmd=115 (SMBsesssetupX) NT_STATUS_PASSWORD_MUST_CHANGE
[2012/05/25 15:28:13.687912, 3] smbd/sec_ctx.c:310(set_sec_ctx)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/05/25 15:28:13.687992, 3] smbd/connection.c:31(yield_connection)
Yielding connection to
[2012/05/25 15:28:13.688098, 3] smbd/server.c:906(exit_server_common)
Server exit (failed to receive smb request)
Eu tentei alterar a senha do usuário com o problema, mas isso não fez nenhuma diferença (o mesmo problema ainda é relatado).
observar seu rastreio de erro parece indicar que essas senhas de usuários expiraram;
PAM: UNKNOWN PAM ERROR (12) during Account Management for User: name_of_user
PAM: Account Check Failed : Authentication token is no longer valid; new one required
PAM: Account Validation Failed - Rejecting User name_of_user!
PAM Account for user [name_of_user] FAILED with error NT_STATUS_PASSWORD_MUST_CHANGE
(SMBsesssetupX) NT_STATUS_PASSWORD_MUST_CHANGE
Assim, você provavelmente desejará definir uma expiração maior em Usuários & gerenciador de políticas de grupo ou desabilite a expiração da senha se os usuários não puderem alterar suas próprias senhas.
(você está usando o openLDAP ou o diretório ativo para armazenar os usuários?)
seus usuários estão configurados para exigir mudança de senha no primeiro login ?, você pode querer desabilitar isso se o módulo samba pam não estiver suportando isso.
Tags permissions samba pam ldap