Ubuntu 14.04-Cliente OpenLDAP apresentando erros após ser configurado para autenticar na Base LDAP

ferselva
(usa Debian)

Enviado em 16/05/2014 - 12:12h

Bom dia, é a primeira vez que recorro ao VIVA O LINUX de maneira ativa, sempre encontro o que preciso pesquisando bastante, porem, com o lançamento do ubuntu/lubuntu 14.04 as coisas não estão como preciso, explico:

possuo um servidor OpenLDAP + samba com autenticação centralizada e perfil móvel dos usuários, ou seja, o home de cada usuário fica no meu servidor, o auge desse esquema foi com o ubuntu 10.04, interface gráfica leve, Gnome etc, com a chegada do unity as coisas começaram a ficar ruins, alguns bugs mas contornáveis, porem, após com o 14.04 a coisa foi mais séria: rodei meu script passo a passo e quando rodo o comando: "auth-client-config -a -p lac_ldap" para que as novas configurações entrem em vigou, na proxima reinicialização o sistema operacional alerta para um erro de PID, nao aceita dispositivos usb "not authorized to perform operation" e não aceita o desligamento/reinicialização do PC via gráfico, ou seja, pra desligar preciso entrar como root ou fisicamente, no modo grafico o desligamento gera o seguinte erro logo abaixo da caixa de botoes: "GDBus.Error:org.freedesktop.DBus.Error.AccessDenied: Operation Not Permitted" atualmente estou trabalhando com o Lubuntu 14.04, e no 13.10 estava normal, segue abaixo meu script completo:


Obrigado a quem ao menos ler esse topigo

Atenciosamente!!!


###################################inicio####################################

#!/bin/bash -x

#Script de configuração da autenticação LDAP no ubuntu

#Mudando o usuário para root
#su

#Pacotes necessários para autenticação LDAP
apt-get install libpam-ldap libnss-ldap nss-updatedb libnss-db libpam-cracklib ldap-auth-config

#Caso precise reconfigurar o cliente LDAP - dpkg-reconfigure ldap-auth-config

# ldap://xxx.xxx.xxx.xxx:389
# dc=empresa,dc=xx,dc=xx,dc=br
# 3
# Não
# Não


#Alterando valores da biblioteca PAM
echo "
[lac_ldap]
nss_passwd=passwd: files ldap
nss_group=group: files ldap
nss_shadow=shadow: files ldap
nss_netgroup=netgroup: files ldap
pam_auth=auth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
#the following line (containing pam_group.so) must be placed before pam_ldap.so
#for ldap users to be placed in local groups such as fuse, plugdev, scanner, etc ...
auth required pam_group.so use_first_pass
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
pam_account=account sufficient pam_unix.so
account sufficient pam_ldap.so
account required pam_deny.so
pam_password=password sufficient pam_ldap.so
password requerid pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
password required pam_deny.so
pam_session=session required pam_limits.so
session required pam_mkhomedir.so skel=/etc/skel/
session required pam_unix.so
session optional pam_ldap.so " > /etc/auth-client-config/profile.d/ldap-auth-config

#Alterando o perfil do auth-client-config para utilizar as novas configurações
auth-client-config -a -p lac_ldap

#Desabilitando o comando sudo para qualquer usuário
if ! cat /etc/sudoers |grep "#%admin" > /dev/null ;
then
sed 's/\%admin/#%admin/g' /etc/sudoers > /etc/sudoers.old && mv -f /etc/sudoers.old /etc/sudoers
chmod 0440 /etc/sudoers
fi

#Alterando o servidor NTP para xxx.xxx.xxx.xxx
if ! cat /etc/ntp.conf |grep "xxx.xxx.xxx.xxx" > /dev/null ;
then
sed 's/ntp.ubuntu.com/xxx.xxx.xxx.xxx/g' /etc/ntp.conf > /etc/ntp.conf.old && mv -f /etc/ntp.conf.old /etc/ntp.conf
fi


#Permitindo a utilização de grupos locais com usuários LDAP
if ! cat /etc/security/group.conf |grep "*;*;*;Al0000-2400;" > /dev/null ;
then
echo "*;*;*;Al0000-2400;adm,audio,cdrom,floppy,plugdev,sambashare,admin,users,lpadmin" >> /etc/security/group.conf
fi



#Trocar o home do usuario "local" para pasta /opt no arquivo /etc/passwd
#sed '/local/s/home/opt/g' /etc/passwd

#Pacotes para NFS
apt-get install -y nfs-common portmap

#Motando o nfs do servidor, localmente
if ! cat /etc/fstab |grep "xxx.xxx.xxx.xxx" > /dev/null ;
then
mkdir /Rede -v
chmod 777 /Rede -v
echo "xxx.xxx.xxx.xxx:/home /home nfs nolock 0 3" >> /etc/fstab
echo "xxx.xxx.xxx.xxx:/Rede /Rede nfs nolock 0 4" >> /etc/fstab
fi

#Para certificar que esta funcionando o client ldap
#getent passwd - "Deve aparecer todos os usuarios (locais + ldap)
#getent group - "Deve aparecer todos os grupos (locais + ldap)


############################################fim###################################################

ferselva
(usa Debian)

Enviado em 19/05/2014 - 11:14h

Bom dia, como ninguem ainda se propos a dar uma olhada no meu problema estou tentando de outras maneiras... no ubuntu 14.04 nao tenho o erro de PID inicial, porem o problema de nao montar pendrive (incapaz de montar "nome do dispositivo" Not authorized to perform operation) e ainda nao aceita o desligamento do sistema.
como root tudo funciona normalmente, e tudo isso só ocorre quando a linha "auth-client-config -a -p lac_ldap " é inserida... penso que ela bloqueia algum privilégio de usuario comum...

danielmb
(usa Gentoo)

Enviado em 11/07/2014 - 14:44h

ferselva,
eu ainda não consegui encontrar uma solução. Mas pelo que vejo você vai ter que verificar as mudanças de arquitetura realizadas nas atualizações do kernel. Sei que existem algumas mudanças na forma que o dbus é configurado e outras abordagens que eu não acompanhei de perto, mas que vale a pena você pesquisar. Estas alterações de arquitetura do Linux são importantes para o bom funcionamento do seu script

ferselva
(usa Debian)

Enviado em 08/09/2014 - 12:13h

Bom dia Danielmb, obrigado pela atenção no meu tópico. Consegui contornar meu problema com o comando "pam-auth-update" ele simplesmente desbloqueia tudo como passe de magica. Acredito no seu comentario sobre mudanças de arquitetura e com isso reestruturação do meu script seja necessário, mas vou manter assim o que ainda esta funcionando. Grato.

tecodorneles
(usa Ubuntu)

Enviado em 29/09/2014 - 20:28h

Boa noite pessoal. Consegui resolver o problema de não desligar, de não abrir pendrive e não tocar som com o comando relatado pelo colega Ferselva - Viva o Linux - 16-05-2014.
Segue os comandos:

#Caso precise reconfigurar o cliente LDAP -
dpkg-reconfigure ldap-auth-config

# Desbloquear permissões
pam-auth-update (este foi o comando que eu executei e resolvi meu problema)

Um abraço a todos.