Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 12/05/2016, à 14:52

jjack

Certains user AD ne se connectent pas .... sont rejetés

Bonjour,

j'ai des users définit dans AD qui n'arrivent pas à se connecter à Ubuntu. Lors de l'ouverture de sessions, je rentre le user, puis le mot de passe, je fais entrée et dans les 2 secondes qui suivent la mire se réaffiche vierge
Mon code user ainsi que celui d'un collègue fonctionne...
Je n'arrive pas a saisir pourquoi ces users ne peuvent pas a se connecter, alors que si je mets un mauvais mot de passe, j'ai bien un message qui me dit que le user/ mot de passe est invalide.
N'étant pas un Windaubien  Le problème est t'il dans AD ?
J'ai utilisé OpenPbis pour l'intégration, et les les modules Pam pout l'authentification et les montages de répertoires

Merci de vos réponses

PS: J'ai utilisé OpenPbis pour l'intégration, et les les modules Pam pour l'authentification et les montages de répertoires.
Le su d'un user AD lui fonctionne...

Dernière modification par jjack (Le 13/05/2016, à 10:01)


Ubuntu 14.04 Lts installé sur LENOVO (Entreprise)
Ubuntu 14.04 Lts installé sur LENOVO T420s (Entreprise) en Dual Boot

Hors ligne

#2 Le 13/05/2016, à 19:02

HPIR40

Re : Certains user AD ne se connectent pas .... sont rejetés

Il faut vérifier si les groupes auquels ils appartiennent sont les mêmes ou non et les diffs entre ceux qui fonctionnent et ceux qui ne fonctionnent pas.

Ensuite verifier en ssh si le home du user a problème est créé ou non, si oui supprimer le fichier .xauthority de son home et retenter une connexion.

si ça ne fonctionne pas, la meilleure solution est de supprimer le user de AD et de le recréer avec le même login par défaut a changer à la première connexion, en demandant dans un premier temps a ce que le user utilise un mot de passe simple, si la sessions s'ouvre, dans AD reinitialiser son mot de passe par défaut et le user va donc une nouvelle fois changer son mdp, et donc mettre son mdp normal.

Si alors pas de connexion, c'est que son mot de passe ne répond pas aux régles dictée par AD (présence de caractères spéciaux par exemple et non validé par AD, ou longueur)

Cela fait plus de 10 mois que j'utilise openpbis pour mes users ubuntu et je n'ai jamais rencontré ce problème

Hors ligne

#3 Le 17/05/2016, à 11:18

jjack

Re : Certains user AD ne se connectent pas .... sont rejetés

Merci HPIR40

J'ai supprimé le répertoire du user et à la tentative de connexion le répertoire est bien créé (Verif après connexion avec un autre user AD),
J'ai vérifié, mais le fichier  .Xauthority n'existe pas contrairement à mon propre user AD qui lui a bien le fichier.

J'ai fait un extrait du fichier /var/log/auth.log dans lequel je vois bien la connexion de mon user 012090 contrairement au user 012027 ou il y a une erreur.
J'ai voulut mettre en italique, mais ça ne fonctionne pas... Pourrais tu m'éclaicir à ce sujet ?

May 17 10:26:50 uc2828 systemd-logind[876]: New seat seat0.
May 17 10:26:50 uc2828 systemd-logind[876]: Watching system buttons on /dev/input/event2 (Power Button)
May 17 10:26:50 uc2828 systemd-logind[876]: Watching system buttons on /dev/input/event6 (Video Bus)
May 17 10:26:50 uc2828 systemd-logind[876]: Watching system buttons on /dev/input/event0 (Lid Switch)
May 17 10:26:50 uc2828 systemd-logind[876]: Watching system buttons on /dev/input/event1 (Sleep Button)
May 17 10:26:50 uc2828 systemd-logind[876]: Watching system buttons on /dev/input/event5 (ThinkPad Extra Buttons)
May 17 10:26:51 uc2828 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
May 17 10:26:51 uc2828 lightdm: PAM adding faulty module: pam_kwallet.so
May 17 10:26:51 uc2828 lightdm: pam_unix(lightdm-greeter:session): session opened for user lightdm by (uid=0)
May 17 10:26:51 uc2828 lightdm: (pam_mount.c:477): warning: could not obtain password interactively either
May 17 10:26:51 uc2828 lightdm: (mount.c:72): Messages from underlying mount program:
May 17 10:26:51 uc2828 lightdm: (mount.c:76): mount error(101): Network is unreachable
May 17 10:26:51 uc2828 lightdm: (mount.c:76): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
May 17 10:26:51 uc2828 lightdm: (pam_mount.c:522): mount of ST failed
May 17 10:26:51 uc2828 lightdm: (mount.c:72): Messages from underlying mount program:
May 17 10:26:51 uc2828 lightdm: (mount.c:76): mount error(101): Network is unreachable
May 17 10:26:51 uc2828 lightdm: (mount.c:76): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
May 17 10:26:51 uc2828 lightdm: (pam_mount.c:522): mount of refcommun failed
May 17 10:26:51 uc2828 lightdm: (pam_mount.c:477): warning: could not obtain password interactively either
May 17 10:26:51 uc2828 systemd-logind[876]: New session c1 of user lightdm.
May 17 10:26:51 uc2828 systemd-logind[876]: Linked /tmp/.X11-unix/X0 to /run/user/112/X11-display.
May 17 10:26:52 uc2828 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
May 17 10:26:52 uc2828 lightdm: PAM adding faulty module: pam_kwallet.so
May 17 10:26:52 uc2828 lightdm: PAM unable to dlopen(pam.mount.so): /lib/security/pam.mount.so: cannot open shared object file: No such file or directory
May 17 10:26:52 uc2828 lightdm: PAM adding faulty module: pam.mount.so
May 17 10:26:54 uc2828 dbus[816]: [system] Rejected send message, 7 matched rules; type="method_return", sender=":1.38" (uid=0 pid=1919 comm="/usr/sbin/dnsmasq --no-resolv --keep-in-foreground") interface="(unset)" member="(unset)" error name="(unset)" requested_reply="0" destination=":1.4" (uid=0 pid=898 comm="NetworkManager ")
May 17 10:28:02 uc2828 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "012027"
May 17 10:28:09 uc2828 lightdm: (pam_mount.c:101): unknown pam_mount option "use_first_pass"
May 17 10:28:09 uc2828 lightdm: pam_unix(lightdm-greeter:session): session closed for user lightdm
May 17 10:28:09 uc2828 lightdm: (mount.c:72): umount messages:
May 17 10:28:09 uc2828 lightdm: (mount.c:76): umount: /media/U:(Refcommun): not mounted
May 17 10:28:09 uc2828 lightdm: (mount.c:892): unmount of refcommun failed
May 17 10:28:09 uc2828 lightdm: (mount.c:72): umount messages:
May 17 10:28:09 uc2828 lightdm: (mount.c:76): umount: /media/ST: not mounted
May 17 10:28:09 uc2828 lightdm: (mount.c:892): unmount of ST failed
[i]May 17 10:28:09 uc2828 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
May 17 10:28:09 uc2828 lightdm: PAM adding faulty module: pam_kwallet.so
May 17 10:28:09 uc2828 lightdm: pam_unix(lightdm-greeter:session): session opened for user lightdm by (uid=0)
May 17 10:28:09 uc2828 lightdm: (pam_mount.c:477): warning: could not obtain password interactively either[/i]
May 17 10:28:09 uc2828 lightdm: (mount.c:72): Messages from underlying mount program:
May 17 10:28:09 uc2828 lightdm: (mount.c:76): mount error(13): Permission denied
May 17 10:28:09 uc2828 lightdm: (mount.c:76): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
May 17 10:28:09 uc2828 lightdm: (pam_mount.c:522): mount of ST failed
May 17 10:28:09 uc2828 lightdm: (mount.c:72): Messages from underlying mount program:
May 17 10:28:09 uc2828 lightdm: (mount.c:76): mount error(13): Permission denied
May 17 10:28:09 uc2828 lightdm: (mount.c:76): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
May 17 10:28:09 uc2828 lightdm: (pam_mount.c:522): mount of refcommun failed
May 17 10:28:09 uc2828 lightdm: (pam_mount.c:477): warning: could not obtain password interactively either
May 17 10:28:09 uc2828 systemd-logind[876]: New session c2 of user lightdm.
May 17 10:28:09 uc2828 lightdm: PAM unable to dlopen(pam_kwallet.so): /lib/security/pam_kwallet.so: cannot open shared object file: No such file or directory
May 17 10:28:09 uc2828 lightdm: PAM adding faulty module: pam_kwallet.so
May 17 10:28:09 uc2828 lightdm: PAM unable to dlopen(pam.mount.so): /lib/security/pam.mount.so: cannot open shared object file: No such file or directory
May 17 10:28:09 uc2828 lightdm: PAM adding faulty module: pam.mount.so
May 17 10:28:14 uc2828 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "012090"
May 17 10:28:19 uc2828 lightdm: (pam_mount.c:101): unknown pam_mount option "use_first_pass"
May 17 10:28:20 uc2828 lightdm: pam_unix(lightdm-greeter:session): session closed for user lightdm
May 17 10:28:20 uc2828 lightdm: (mount.c:72): umount messages:
May 17 10:28:20 uc2828 lightdm: (mount.c:76): umount: /media/U:(Refcommun): not mounted
May 17 10:28:20 uc2828 lightdm: (mount.c:892): unmount of refcommun failed
May 17 10:28:20 uc2828 lightdm: (mount.c:72): umount messages:
May 17 10:28:20 uc2828 lightdm: (mount.c:76): umount: /media/ST: not mounted
May 17 10:28:20 uc2828 lightdm: (mount.c:892): unmount of ST failed
[i]May 17 10:28:20 uc2828 lightdm: pam_unix(lightdm:session): session opened for user 012090 by (uid=0)
May 17 10:28:20 uc2828 systemd-logind[876]: New session c3 of user 012090.[/i]
May 17 10:28:20 uc2828 systemd-logind[876]: Linked /tmp/.X11-unix/X0 to /run/user/913310730/X11-display.
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: failed to unlock login keyring on startup
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: couldn't set environment variable in session: The name org.gnome.SessionManager was not provided by any .service files
May 17 10:28:21 uc2828 systemd-logind[876]: Removed session c2.
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: message repeated 2 times: [ couldn't set environment variable in session: The name org.gnome.SessionManager was not provided by any .service files]
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: The PKCS#11 component was already initialized
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: The SSH agent was already initialized
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: The GPG agent was already initialized
May 17 10:28:21 uc2828 gnome-keyring-daemon[2306]: The Secret Service was already initialized
May 17 10:28:22 uc2828 polkitd(authority=local): Registered Authentication Agent for unix-session:c3 (system bus name :1.93 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fr_FR.UTF-8)
May 17 10:28:36 uc2828 sudo:   012090 : TTY=pts/9 ; PWD=/home/012090 ; USER=root ; COMMAND=/bin/bash
May 17 10:28:36 uc2828 sudo: pam_unix(sudo:session): session opened for user root by 012090(uid=0)

Dernière modification par jjack (Le 17/05/2016, à 11:24)


Ubuntu 14.04 Lts installé sur LENOVO (Entreprise)
Ubuntu 14.04 Lts installé sur LENOVO T420s (Entreprise) en Dual Boot

Hors ligne

#4 Le 17/05/2016, à 15:50

HPIR40

Re : Certains user AD ne se connectent pas .... sont rejetés

Bonjour

ce que je vois c'est surtout c'est:

May 17 10:28:02 uc2828 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "012027"
May 17 10:28:09 uc2828 lightdm: (pam_mount.c:101): unknown pam_mount option "use_first_pass"
May 17 10:28:09 uc2828 lightdm: pam_unix(lightdm-greeter:session): session closed for user lightdm

c'est dans ta config PAM qu'il y a un truc qui ne plait pas au systeme

regarde du coté de : pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met

peut etre un debut de solution: http://ubuntuforums.org/showthread.php? … 8ae7918fe0

Dernière modification par HPIR40 (Le 17/05/2016, à 15:57)

Hors ligne

#5 Le 20/05/2016, à 13:56

jjack

Re : Certains user AD ne se connectent pas .... sont rejetés

Bonjour HPIR40,
merci pour ton aide a nouveau.

j'avais  supprimé le "use_first_pass" après avoir posté la log. J'ai ajouté le "session required pam_mkhomedir.so skel=/etc/skel umask=002 " dans /etc/pam.d/common-session car en effet le répertoire ne se créé pas lors du Login, mais se créait lors d'un su....
Même punition si je supprime le répertoire et je me reconnecte, il n'est pas créé car c'est lors du processus de connexion, je pense qu'il est créé.

Pour le "user ingroup nopasswdlogin" je ne comprends pas. Ce Group est bien dans /etc/group , mais comment peut t'il être affecté au user 012027 qui se situe dans AD ??


Ubuntu 14.04 Lts installé sur LENOVO (Entreprise)
Ubuntu 14.04 Lts installé sur LENOVO T420s (Entreprise) en Dual Boot

Hors ligne

#6 Le 20/05/2016, à 17:28

HPIR40

Re : Certains user AD ne se connectent pas .... sont rejetés

c'est une hypothese:

user ingroup nopasswdlogin permet de:

If the computer is used by several people, which makes automatic login unsuitable, you may want to allow some users to log in without entering their password. This feature can be enabled as a per-user option in the users-admin tool from the gnome-system-tools; it is achieved by checking that the user is member a Unix group called "nopasswdlogin" before asking for a password. For this to work, the PAM configuration file for the "gdm" service must include a line such as

Hors c'est une chose qui n'existe pas dans AD, et dans notre cas le domaine est géré par AD qui prend le relais et la tête des opérations

Il faudra que je regarde ma config de /etc/pam.d/common-session sur mes clients ubuntu, je ne l'ai pas en tête, mais perso je n'ai pas permis l'authentification sans mot de passe.

Dernière modification par HPIR40 (Le 20/05/2016, à 17:33)

Hors ligne

#7 Le 23/05/2016, à 11:47

HPIR40

Re : Certains user AD ne se connectent pas .... sont rejetés

Bonjour

voila mon common-session, il est vraiment basique

#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session [default=1]                     pam_permit.so
# here's the fallback if no module succeeds
session requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session required                        pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional        pam_umask.so
# and here are more per-package modules (the "Additional" block)
session required        pam_unix.so 
session [success=ok default=ignore]     pam_lsass.so 
session optional        pam_mount.so 
session optional        pam_systemd.so 
session optional                        pam_ck_connector.so nox11
# end of pam-auth-update config

Hors ligne

#8 Le 24/05/2016, à 14:51

jjack

Re : Certains user AD ne se connectent pas .... sont rejetés

Merci,

Je regarde dès Lundi. Le common-session je ne l'avais pas modifié...


Ubuntu 14.04 Lts installé sur LENOVO (Entreprise)
Ubuntu 14.04 Lts installé sur LENOVO T420s (Entreprise) en Dual Boot

Hors ligne

#9 Le 30/05/2016, à 08:49

jjack

Re : Certains user AD ne se connectent pas .... sont rejetés

Bonjour HPIR40

Mon /etc/pam.d/common-session est équivalent au tiens..

# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive).
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
session	[default=1]			pam_permit.so
# here's the fallback if no module succeeds
session	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
session	required			pam_permit.so
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional			pam_umask.so
# and here are more per-package modules (the "Additional" block)
session	required	pam_unix.so 
#session	optional	pam_lsass.so 
session	[success=ok default=ignore]	pam_lsass.so
session	optional	pam_mount.so 
session	optional	pam_systemd.so 
#
#
session	required	pam_mkhomedir.so skel=/etc/skel umask=0022
# end of pam-auth-update config

En regardant de plus près c'est dans le /etc/pam.d/Lightdm que se trouve  les "user ingroup nopasswdlogin" et c'est en enlevant "user ingroup nopasswdlogin" que l'on arrive à se connecter sans mot de passe .... Test a l'appuie hmm
J'avoue ne plus comprendre, alors que le user n'est tjrs pas dans le groupe...

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    sufficient      pam_succeed_if.so user ingroup nopasswdlogin
#auth    sufficient      pam_succeed_if.so 
@include common-auth
auth    optional        pam_gnome_keyring.so
auth    optional        pam_kwallet.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so close
#session required        pam_loginuid.so
session required        pam_limits.so
@include common-session
session [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
session optional        pam_gnome_keyring.so auto_start
session optional        pam_kwallet.so auto_start
session required        pam_env.so readenv=1
session required        pam_env.so readenv=1 user_readenv=1 envfile=/etc/default/locale
@include common-password
@include common-pammount

Pourrais tu me montrer le contenu de ton fichier /etc/nsswitch.conf ?

Dernière modification par jjack (Le 30/05/2016, à 11:43)


Ubuntu 14.04 Lts installé sur LENOVO (Entreprise)
Ubuntu 14.04 Lts installé sur LENOVO T420s (Entreprise) en Dual Boot

Hors ligne