Erreur d'authentification au passe en root

Support Debian
#1

Salut,

je viens de joindre un serveur debian squeeze samba au domaine windows serveur 2008. Tous mes groupes et utilisateurs sont reconnu, le serveur apparait bien dans l’active directory et je dois m’authentifier dans le domaine pour accéder aux partages… Petit miracle jusque la.

Par contre seul soucis qui me reste, je me conencte via ssh avec le compte sysadmin, je rentre le password puis au passage en root il me reconnait pas :

pam_winbind(sshd:account): user 'sysadmin' granted access Mar 26 10:10:10 SWCHCHXSEFS2 sshd[21995]: Accepted password for sysadmin from 10.100.7.81 port 61331 ssh2 Mar 26 10:10:10 SWCHCHXSEFS2 sshd[21995]: pam_unix(sshd:session): session opened for user sysadmin by (uid=0) Mar 26 10:10:10 SWCHCHXSEFS2 sshd[21995]: pam_unix(sshd:session): session opened for user sysadmin by (uid=0) Mar 26 10:10:25 SWCHCHXSEFS2 su[22024]: pam_winbind(su:auth): getting password (0x00000180) Mar 26 10:10:32 SWCHCHXSEFS2 su[22024]: pam_winbind(su:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user Mar 26 10:10:32 SWCHCHXSEFS2 su[22024]: pam_winbind(su:account): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND Mar 26 10:10:32 SWCHCHXSEFS2 su[22024]: Successful su for root by sysadmin Mar 26 10:10:32 SWCHCHXSEFS2 su[22024]: + /dev/pts/1 sysadmin:root Mar 26 10:10:32 SWCHCHXSEFS2 su[22024]: pam_unix(su:session): session opened for user root by sysadmin(uid=1000) Mar 26 10:10:32 SWCHCHXSEFS2 su[22024]: pam_unix(su:session): session opened for user root by sysadmin(uid=1000)

donc je tape su
password : blablbla

et la il me redemande le password et ça passe

il essaye de trouver root sur le domaine ou quoi ?

Merci de votre aide.

#2

Il semblerait que tu aies un double challenge à l’authentification.
Regarde les réglages de sshd près de PAM.

debian-fr.org/eclaircissemen … 42044.html

#3

la valeur est bien sur “no” pour le doublechallenge

#4

j’ai changé le niveau des log :

pam_winbind(sshd:account): valid_user: wbcGetpwnam gave WBC_ERR_WINBIND_NOT_AVAILABLE Mar 26 11:41:58 SWCHCHXSEFS2 sshd[2040]: Accepted password for sysadmin from 10.100.7.81 port 60882 ssh2 Mar 26 11:41:58 SWCHCHXSEFS2 sshd[2040]: pam_unix(sshd:session): session opened for user sysadmin by (uid=0) Mar 26 11:41:58 SWCHCHXSEFS2 sshd[2040]: pam_unix(sshd:session): session opened for user sysadmin by (uid=0) Mar 26 11:42:29 SWCHCHXSEFS2 su[2070]: pam_winbind(su:auth): getting password (0x00000180) Mar 26 11:42:34 SWCHCHXSEFS2 su[2070]: pam_winbind(su:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'root') Mar 26 11:42:34 SWCHCHXSEFS2 su[2070]: pam_winbind(su:account): valid_user: wbcGetpwnam gave WBC_ERR_WINBIND_NOT_AVAILABLE Mar 26 11:42:34 SWCHCHXSEFS2 su[2070]: Successful su for root by sysadmin Mar 26 11:42:34 SWCHCHXSEFS2 su[2070]: + /dev/pts/1 sysadmin:root Mar 26 11:42:34 SWCHCHXSEFS2 su[2070]: pam_unix(su:session): session opened for user root by sysadmin(uid=1000) Mar 26 11:42:34 SWCHCHXSEFS2 su[2070]: pam_unix(su:session): session opened for user root by sysadmin(uid=1000)

internal modul error :open_mouth:

#5

Salut

Tu as quoi dans ton fichier /etc/nsswitch.conf ?

Que répond

#6

voici mes 2 fichiers

[code] cat /etc/pam.d/common-* | grep -v “#”

account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
account requisite pam_deny.so
account required pam_permit.so
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
account sufficient pam_winbind.so
account required pam_unix.so

auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required pam_deny.so

password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
password requisite pam_deny.so
password required pam_permit.so

session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session required pam_unix.so
session optional pam_winbind.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session required pam_unix.so
session optional pam_winbind.so
[/code]

[code]cat /etc/nsswitch.conf

/etc/nsswitch.conf

Example configuration of GNU Name Service Switch functionality.

If you have the glibc-doc-reference' andinfo’ packages installed, try:

`info libc “Name Service Switch”’ for information about this file.

passwd: files winbind
group: files winbind
shadow: files winbind

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis
[/code]

#7

en faite /etc/pam.d/common-*

c’est 4-5 fichiers

Le premier c’est common-account dedant tu as ces deux lignes qui te donne la méthode

account sufficient pam_winbind.so account required pam_unix.so

on peu voir que winbind ton client samba est sollicité et suffisant pour passer sinon il faut absolument un compte unix

Le second c’est common-auth

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE auth sufficient pam_unix.so nullok_secure use_first_pass auth required pam_deny.so

ici c’est l’authentification on peu voir que windbind est sollicité puis unix, si aucun n’est bon -> deny

Ma solution , j’inverserai les deux lignes du fichier common-auth en sollicitant pam_unix avant pam_windbind, ça évite de faire des appels samba pour chaque authentifications. Par contre si tu veux utiliser un compte LDAP, mais que ce compte existe en local, c’est le local qui va être utilisé.

Voila

Stef

PS = attention avec pam fais des sauvegardse de tes fichiers et assure toi de pouvoir booter un live cd si blocage. Il m’est arrivé de casser l’authentification root.

#8

merci t’es au top j’ai simplement inversé et c’est bon !

#9

Cool :unamused:

Faut mettre une coche verte alors -> résolu

Stef