Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

pam_sss(login:account): Access denied for user

4 views
Skip to first unread message

Piviul

unread,
Dec 5, 2023, 9:10:04 AM12/5/23
to
Ciao a tutti, l'altro giorno per caso installando ubuntu in una rete
active directory samba durante il setup ho provato a legarlo al dominio
AD e tutto ha funzionato... sono rimasto di stucco così ho guardato come
era stato configurato e ho visto che per l'autenticazione, usava sssd
invece di winbind. Mi sembra che sssd funzioni molto bene e soprattutto
funzionano anche le cached credentials.

Allora volevo provare a vedere se riuscivo a configurare anche debian
con sssd. Ho seguito questa guida[¹]

Tutto sembra funzionare tranne che non riesco a fare il logon. in
auth.log trovo:

2023-12-05T14:30:40.701822+01:00 violetto login[1000]:
pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0
tty=/dev/tty2 ruser= rhost=  user=dominio\piviul
2023-12-05T14:30:41.152765+01:00 violetto login[1000]:
pam_sss(login:auth): authentication success; logname=LOGIN uid=0 euid=0
tty=/dev/tty2 ruser= rhost= user=dominio\piviul
2023-12-05T14:30:41.862475+01:00 violetto login[1000]:
pam_sss(login:account): Access denied for user dominio\piviul: 4 (System
error)
2023-12-05T14:30:41.865286+01:00 violetto login[1000]: System error

Ho cercato in rete, molti riscontrano l'errore ma non sono riuscito a
risolvere... a qualcuno per caso viene in mente qualcosa?

Grazie

Piviul

[¹] https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectorySssd

Piviul

unread,
Dec 6, 2023, 3:40:04 AM12/6/23
to
On 12/5/23 17:58, Diego Zuccato wrote:
> [...]
> Comunque dovrebbe esserci una riga dove si specifica quale gruppo di
> dominio contiene gli utenti autorizzati ad accedere...

hai fatto bingo! io usavo "access_provider = ad" ma di opzioni per il
controllo degli accessi nel man di sssd-ad non ne ho trovate. Ma
cercando le ho trovate nel man di sssd-simple così ho impostato
"access_provider = simple" e configurato l'opzione simple_groups e ha
funzionato!

Grazie un monte

Piviul

Marco Gaiarin

unread,
Dec 6, 2023, 4:50:05 AM12/6/23
to
Mandi! Piviul
In chel di` si favelave...

> Allora volevo provare a vedere se riuscivo a configurare anche debian
> con sssd. Ho seguito questa guida[¹]

Tu pestare grossa merda... ;-)


SSSD nasce come un 'fork' di winbindd fatto da RH quando aveva bisogno di
qualcosa che funzionasse con AD e il team samba era ancora troppo indietro.


Poi non so cosa sia successo, ma le due cose hanno inziato a divergere e da
una certa versione di samba in poi sssd è diventato sostanzialmente
incompatibile con samba; va anche detto che ormai winbind fa decentemente
quello che fa sssd.

Se chiedi in lista samba di sssd, comunque, ottieni solo Rowland che ti
ringhia dietro. ;-)


Non so cosa di preciso tu voglia fare, ma se è l'offilne logon funziona
perfettamente anche con winbind; unica nota, NON devi usare RFC2703,
attualmete c'è un baco e la cache non funziona.

--
Berlusconi: "Quando scendo io in campo per la sinistra non c'è scampo"
É proprio vero che siamo un paese di poeti, santi e navigatori...

Piviul

unread,
Dec 6, 2023, 9:00:04 AM12/6/23
to
On 12/6/23 09:59, Marco Gaiarin wrote:
[...]
Se chiedi in lista samba di sssd, comunque, ottieni solo Rowland che ti
ringhia dietro. ;-)

Non so cosa di preciso tu voglia fare, ma se è l'offilne logon funziona
perfettamente anche con winbind; unica nota, NON devi usare RFC2703,
attualmete c'è un baco e la cache non funziona.

beh, redhat non sembra avere nessuna intenzione di mandare in pensione sssd, ubuntu ha inserito il supporto al join di un dominio AD nell'installer ed usa sssd... da parte mia posso dire che le cached credentials con il conseguente offline logon sembrano funzionare molto bene con sssd mentre con winbind... anche quando sono riuscito a farlo funzionare era altalenante, talvolta dovevo riavviare winbind per poter fare il logon... un pianto. Ora avevo smesso di illudermi di poterlo utilizzare e vedendo sssd andare con un filo di gas... certo non ho l'id mapping ma del resto non ho bisogno di configurare anche il server sui clients.

Comunque se mi dici così provo su bookworm a configurare l'offline logon con winbind... nel caso mi faccio sentire ;)

Buona giornata!

Piviul

Piviul

unread,
Dec 7, 2023, 3:40:04 AM12/7/23
to
Ho provato a configurare il winbind offline logon su debian 12 bookworm
e... va e non va.

Se avvio il pc senza connessione di rete per poter effettuare l'offline
logon devo entrare nella console e riavviare winbind, altrimenti non va.

Se avvio il pc con connessione di rete ma tolgo il cavo prima del logon
allora funziona.

A voi invece va sempre?

Piviul

Marco Gaiarin

unread,
Dec 8, 2023, 12:50:04 PM12/8/23
to
Mandi! Piviul
In chel di` si favelave...

> A voi invece va sempre?

Si. Metti qui un 'testparm' che vediamo.

--
Dai diamanti non nasce niente
dal letame nascono i fior (F. De Andre`)

Piviul

unread,
Dec 11, 2023, 2:30:05 AM12/11/23
to
On 12/8/23 17:14, Marco Gaiarin wrote:
> Mandi! Piviul
> In chel di` si favelave...
>> A voi invece va sempre?
> Si. Metti qui un 'testparm' che vediamo.
# Global parameters
[global]
    client ipc min protocol = NT1
    client max protocol = SMB3
    client min protocol = NT1
    lock directory = /var/cache/samba
    log file = /var/log/samba/log.%m
    logging = file
    map to guest = Bad User
    max log size = 1000
    obey pam restrictions = Yes
    pam password change = Yes
    panic action = /usr/share/samba/panic-action %d
    passwd chat = *Enter\snew\s*\spassword:* %n\n
*Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    passwd program = /usr/bin/passwd %u
    realm = AD.CSARICERCHE.COM
    security = ADS
    server role = standalone server
    server string = %h server
    template shell = /bin/bash
    unix password sync = Yes
    winbind enum groups = Yes
    winbind enum users = Yes
    winbind expand groups = 1
    winbind offline logon = Yes
    winbind refresh tickets = Yes
    winbind request timeout = 10
    workgroup = DOMINIOCSA
    idmap config dominiocsa : range = 10000-24999
    idmap config dominiocsa : backend = rid
    idmap config * : range = 3000-9999
    idmap config * : backend = tdb


[homes]
    browseable = No
    comment = Home Directories
    create mask = 0700
    directory mask = 0700


Grazie Marco!

Paolo

Marco Gaiarin

unread,
Dec 17, 2023, 3:50:03 PM12/17/23
to
Mandi! Piviul
In chel di` si favelave...

>> Si. Metti qui un 'testparm' che vediamo.
> # Global parameters

Scusa, ma questo è il domain member, vero?

> [global]
[...]
>     obey pam restrictions = Yes
>     pam password change = Yes
>     panic action = /usr/share/samba/panic-action %d
>     passwd chat = *Enter\snew\s*\spassword:* %n\n
> *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
>     passwd program = /usr/bin/passwd %u
>     unix password sync = Yes

se si, questi non servono a nulla...


>     server role = standalone server

Direi idem...


>     winbind enum groups = Yes
>     winbind enum users = Yes
>     winbind expand groups = 1

qui togli;


>     winbind refresh tickets = Yes

questo non ricordo...


>     winbind offline logon = Yes
>     winbind request timeout = 10

Ottimo. segui:

https://wiki.samba.org/index.php/PAM_Offline_Authentication

dovrebbe bastare...

--
Che ruolo può avere all'interno di una società uno che non parla ed il cui
curriculum é misero? IL Presidente. (Si Può Fare - Nello)

Piviul

unread,
Dec 18, 2023, 10:50:04 AM12/18/23
to
On 12/17/23 21:27, Marco Gaiarin wrote:
> Mandi! Piviul
> In chel di` si favelave...
>
>>> Si. Metti qui un 'testparm' che vediamo.
>> # Global parameters
> Scusa, ma questo è il domain member, vero?

yes!


>> [global]
> [...]
>>     obey pam restrictions = Yes
>>     pam password change = Yes
>>     panic action = /usr/share/samba/panic-action %d
>>     passwd chat = *Enter\snew\s*\spassword:* %n\n
>> *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
>>     passwd program = /usr/bin/passwd %u
>>     unix password sync = Yes
> se si, questi non servono a nulla...
>
>
>>     server role = standalone server
> Direi idem...

ok, grazie, tutto commentato.


> [...]
>>     winbind offline logon = Yes
>>     winbind request timeout = 10
> Ottimo. segui:
>
> https://wiki.samba.org/index.php/PAM_Offline_Authentication

il documento lo avevo già guardato ed infatti i parametri sopra ne sono
la testimonianza insieme al parametro lock directory per il  bug #1468
(https://bugzilla.samba.org/show_bug.cgi?id=14618).

Cos'altro devo guardare?

Piviul

Marco Gaiarin

unread,
Dec 19, 2023, 3:50:04 PM12/19/23
to
Mandi! Piviul
In chel di` si favelave...

> Cos'altro devo guardare?

Hai verificato che il file /etc/security/pam_winbind.conf esista e che
contanga quanto nel wiki?

--
E i professori dell'altroieri stanno affrettandosi a cambiare altare
hanno indossato le nuove maschere
e rincominciano a respirare (F. De Gregori)

Piviul

unread,
Jan 8, 2024, 9:00:04 AMJan 8
to
On 12/19/23 21:08, Marco Gaiarin wrote:
> Mandi! Piviul
> In chel di` si favelave...
>> Cos'altro devo guardare?
> Hai verificato che il file /etc/security/pam_winbind.conf esista e che
> contanga quanto nel wiki?
$ grep cached /etc/security/pam_winbind.conf
# request a cached login if possible
cached_login = yes

c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo
un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di
rete per poter effettuare il logon offline devo entrare nella console e
riavviare winbind.

sssd invece non sbaglia un colpo, ma vedrò di non farlo sapere a Rawland! ;)

Grazie

Piviul

Marco Gaiarin

unread,
Jan 8, 2024, 5:20:06 PMJan 8
to
Mandi! Piviul
In chel di` si favelave...

> c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo
> un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di
> rete per poter effettuare il logon offline devo entrare nella console e
> riavviare winbind.

Guarda, avevo fatto tante prove con un portatile Ubuntu 22.04, ma che poi
vedo nessuno usa. Quindi magari è così...


> sssd invece non sbaglia un colpo, ma vedrò di non farlo sapere a Rawland! ;)

Eh... ;-)

--
Utopia aveva una sorella maggiore,
che si chiamava Verita` senza errore (Nomadi)

Piviul

unread,
Jan 9, 2024, 4:50:04 AMJan 9
to
On 1/8/24 22:20, Marco Gaiarin wrote:
> Mandi! Piviul
> In chel di` si favelave...
>> c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo
>> un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di
>> rete per poter effettuare il logon offline devo entrare nella console e
>> riavviare winbind.
> Guarda, avevo fatto tante prove con un portatile Ubuntu 22.04, ma che poi
> vedo nessuno usa. Quindi magari è così...

beh, non trovi che sia grave? Se la rete c'è, l'offline logon non serve
ma funziona e se la rete non c'è per poter fare il logon devo riavviare
winbind oppure devo dirglielo esplicitamente che siamo offline con
smbcontrol winbind offline. Forse è per questo che nessuno usa quel
portatile ;)... oppure che sia perché ha Ubuntu invece di Debian :P?

Piviul

Marco Gaiarin

unread,
Jan 11, 2024, 12:50:05 PMJan 11
to
Mandi! Piviul
In chel di` si favelave...

> beh, non trovi che sia grave? Se la rete c'è, l'offline logon non serve

Oh si, certo; ma adesso non so dove è finito quel portatile, e non ho tempo
di andarlo a cercare... se mi verrà a cercare lui, vi faccio sapere. ;-)

--
We certainly would not want to have the same kind of democracy as they
have in Iraq (President Vladimir Putin, responding to U.S.
President George W. Bush's suggestion that Russia
should be more democratic, taken from NewsWeek)
0 new messages