Linux

LDAP 使用者可以從 tty 登錄,但不能從登錄管理器登錄

  • December 21, 2018

配置

  • CentOS 7.5.1804
  • 經 GDM、LightDM、SDDM 測試
  • yum 組“KDE Plasma Workspaces”作為桌面環境,GNOME 也進行了測試
  • 由 sssd 提供的 LDAP 登錄,/home/* 通過 NFS 上的 autofs 掛載

問題

以 root 使用者身份登錄,以及任何其他本地使用者。通過切換到 TTY2 繞過登錄螢幕,通過終端登錄到 ldap 使用者,並執行 startx 也可以,但是從顯示管理器本身登錄會暫停半秒,然後反彈回顯示管理器。

輸出systemctl status gdm——

Jun 18 15:04:55 hpcl1-1.salisbury.edu systemd[1]: Starting GNOME Display Manager...
Jun 18 15:04:55 hpcl1-1.salisbury.edu systemd[1]: Started GNOME Display Manager.
Jun 18 15:05:12 hpcl1-1.salisbury.edu gdm-password][4421]: pam_sss(gdm-password:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=rquackenbush1
Jun 18 15:05:15 hpcl1-1.salisbury.edu gdm[4144]: Failed to remove greeter program access to the display. Trying to proceed.

問題是使用者的登錄 shell 是一個包裝器(繼承自遺留系統),我們正在升級作業系統,預設情況下啟用了 selinux。切換到 selinux permissive 修復了它,但我們的永久修復是刪除包裝器並通過 PAM 限制 SSH 進入我們的伺服器。

引用自:https://serverfault.com/questions/917166