LDAP na máquina cliente para de funcionar

Iniciado por velox256, 06 de Agosto de 2018, 10:36

tópico anterior - próximo tópico

velox256

Prezados, montei uma rede só com máquinas Linux (Ubuntu) e estou usando LDAP para gerenciar usuários. Tudo funciona sem problemas, mas (sempre tem isso) está ocorrendo uma coisa chata: se por acaso um usuário logar com um usuário criado no servidor e esta conta estiver com algum problema, a máquina cliente usada para logar esse usuário "morre" pra fazer qq outro login (de outros usuários), até mesmo do usuário local que administra a máquina (diz que não foi possível autenticar e volta pra tela de login). Digamos que todas as máquinas tenham o usuário sidserra como administrador local das máquinas. Se um usuário ir até uma máquina e digitar um login com algum tipo de problema, ESSA máquina em particular não autentica mais ninguém, nem mesmo o usuário sidserra local. Aí, só reiniciando essa máquina para ela voltar ao normal. O servidor continua funcionando sem problemas. Alguém tem uma dica aí?  :)
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

Qual a versão do Ubuntu que vc está usando?

Qual é o servidor LDAP que você está usando?

Pode postar a configuração do PAM que você usou pra ativar o LDAP?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

velox256

Versão do Ubuntu: 18.04
Versão do LDAP é a que está nos repositórios, usei a opção versão 3 do protocolo.

Citarroot@ubuntu:/home/ldap# slapd -V
@(#) $OpenLDAP: slapd  (Ubuntu) (Jul 28 2017 12:49:07) $
Debian OpenLDAP Maintainers <pkg-openldap-devel@lists.alioth.debian.org

Já a configuração do PAM nas máquinas clientes (arquivo nsswitch.conf) as partes que eu mexi foram (em vermelho):

Citar#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap #systemd
group:          compat ldap #systemd
shadow:         compat ldap

gshadow:        files

hosts:          files mdns4_minimal [NOTFOUND=return] dns myhostname
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

O arquivo /etc/pam.d/commom-session coloquei a linha:

Citarsession required        pam_mkhomedir.so skel=/etc/skel umask=0022

Note que o conjunto (servidor e máquinas clientes) está funcionando sem problemas, o rolo está justamente na máquina cliente (seja ela qual for) cujo usuário "problemático" criado no servidor tenta logar em qualquer máquina cliente, essa máquina então não loga mais ninguém, nem o usuário local. Vou fazer uns testes aqui e vou te dizer qual a situação de "usuário problemático", enquanto isso me ajuda aí (como fala o Datena...), hehehe...  ;D

Citação de: zekkerj online 06 de Agosto de 2018, 15:12
Qual a versão do Ubuntu que vc está usando?

Qual é o servidor LDAP que você está usando?

Pode postar a configuração do PAM que você usou pra ativar o LDAP?
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

Faz um teste pra mim, por favor.

getent.ldap passwd <problematico>
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

velox256

Bom, eu uso o Phpldapadmin para gerenciar o LDAP, tive uns problemas de instalação mas resolvi-os. Agora de sacanagem todos os usuários estão funcionando, eu apaguei a base de dados (o sistema ainda não está em produção) e recriei os usuários. Agora tenho que esperar dar defeito e, pra me ferrar, não vai acontecer, hehehe... Mas segue um pequeno relatório, só pra constar:

1- Usuário que não existe: sem problemas, digitando um usuário e senha não cadastrados, simplesmente tem o aviso "sorry, that didn't work. Please try again" e basta digitar um login correto que funciona;
2- Senha errada: também sem problemas, aparece o aviso "sorry, that didn't work. Please try again" e basta digitar a senha certa que funciona;

Num desses testes, ocorreu o problema de determinado usuário ficar voltando pra tela de login, bastou apagar a pasta home dele na máquina cliente com esse problema e voltou ao normal.


Citação de: zekkerj online 06 de Agosto de 2018, 18:42
Faz um teste pra mim, por favor.

getent.ldap passwd <problematico>
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

velox256

Bom, criei 4 usuários na ordem de primeirousuario ao quartousuario e não loguei nenhum deles e rodei esse comando:

getent passwd

e a saída de texto está aqui:

Citar
primeirousuario:*:1000:500:Primeiro Usuario:/home/users/primeirousuario:/bin/sh
segundousuario:*:1001:500:Segundo Usuario:/home/users/segundousuario:/bin/sh
terceirousuario:*:1002:500:Terceiro Usuario:/home/users/terceirousuario:/bin/sh
quartousuario:*:1003:500:Quarto Usuario:/home/users/quartousuario:/bin/sh

Isso mostra que há comunicação entre as máquinas. Mas uma coisa que eu notei é que é sempre o primeiro usuário criado no LDAP que fica com esse problema. No meu exemplo, o primeirousuario provoca aquele problema na máquina cliente de não poder logar mais ninguém, nem a conta local, tendo que reiniciar a máquina para poder logar na máquina cliente com os outros usuários que foram criados depois...


Citação de: zekkerj online 06 de Agosto de 2018, 18:42
Faz um teste pra mim, por favor.

getent.ldap passwd <problematico>
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

Já viu se o problema não é na criação do home dir?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

velox256

Não creio pq os usuários subsequentes ao primeiro criado logam normalmente, aparece a msg de criando pasta /home/users/tal qdo ocorre o primeiro login e o desktop aparece normalmente. É sempre o primeiro criado que dá zebra. Não chega a ser um problemão, mas incomoda... No caso do primeiro usuário criado (o que dá problema), qdo se digita o login dele (o usuário, antes da senha), o campo de senha não aparece, fica girando a bolinha como se estivesse procurando alguma coisa, aí diz que houve um erro e já era, não loga mais ninguém nessa máquina, nem a conta local e tem que reiniciar a máquina cliente pros outros logins poderem funcionar nessa máquina. Note que isso ocorre com o usuário, se fizer o login em qq máquina da rede com o usuário "problemático", a máquina usada para logar "morre" e só reiniciando; os demais usuários continuam funcionando sem problemas nas outras máquinas da rede (o server não morre).


Citação de: zekkerj online 08 de Agosto de 2018, 11:40
Já viu se o problema não é na criação do home dir?
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

Olha na lista dos usuários locais, e confirma se já não existe um usuário com UID 1000.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

velox256

Dá uma olhada aqui, são só 4 minutos:

Citarhttps://www.youtube.com/watch?v=yCpUzQZdQ0c


Citação de: zekkerj online 08 de Agosto de 2018, 12:58
Olha na lista dos usuários locais, e confirma se já não existe um usuário com UID 1000.
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

Verificou os usuários duplicados? Pq chamou minha atenção de vc estar reclamando do primeiro usuário, justamente o com UID 1000, que é o mesmo UID usado pelo usuário inicial, administrador do Ubuntu.

Aliás, seria uma boa ideia você revisar a instalação, para que os usuários do LDAP não sejam atribuídos com UIDs começados em 1000, o ideal é colocá-los em outras faixas que você saiba que não sejam usadas por nenhum dos sistemas que você por ventura venha a usar.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

velox256

Pelo jeito é isso mesmo, testei criando os usuários e atribuindo UIDNumber acima de 1500 e todos os logins funcionaram independente da ordem criada. Só falta descobrir como fazer o LDAP criar os usuários em um range diferente, hehehe... Ô vida... :)

Citação de: zekkerj online 08 de Agosto de 2018, 15:30
Verificou os usuários duplicados? Pq chamou minha atenção de vc estar reclamando do primeiro usuário, justamente o com UID 1000, que é o mesmo UID usado pelo usuário inicial, administrador do Ubuntu.

Aliás, seria uma boa ideia você revisar a instalação, para que os usuários do LDAP não sejam atribuídos com UIDs começados em 1000, o ideal é colocá-los em outras faixas que você saiba que não sejam usadas por nenhum dos sistemas que você por ventura venha a usar.
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

zekkerj

Isso é configurado no servidor LDAP. Qual você está usando?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

velox256

É o que vem no Ubuntu 18.04, a descrição do ambiente e arquivos de configuração estão mais lá pra cima no início desse post... :)

Citação de: zekkerj online 08 de Agosto de 2018, 19:49
Isso é configurado no servidor LDAP. Qual você está usando?
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.

velox256

Ah sim, esse erro do primeiro usuário só ocorre nas máquinas Linux, se a rede for só de clientes Windows funciona tudo normalmente.


Citação de: velox256 online 08 de Agosto de 2018, 22:39
É o que vem no Ubuntu 18.04, a descrição do ambiente e arquivos de configuração estão mais lá pra cima no início desse post... :)

Citação de: zekkerj online 08 de Agosto de 2018, 19:49
Isso é configurado no servidor LDAP. Qual você está usando?
Computador perereca, com disco perereca, monitor perereca e sistema super xuxu. Visitem a minha página em http://sidserra.k6.com.br ou meu blog em http://sidserra.blogspot.com.br.