Linux
LDAP 使用者可以從 tty 登錄,但不能從登錄管理器登錄
配置
- CentOS 7.5.1804
- 經 GDM、LightDM、SDDM 測試
- yum 組“KDE Plasma Workspaces”作為桌面環境,GNOME 也進行了測試
- 由 sssd 提供的 LDAP 登錄,/home/* 通過 NFS 上的 autofs 掛載
問題
以 root 使用者身份登錄,以及任何其他本地使用者。通過切換到 TTY2 繞過登錄螢幕,通過終端登錄到 ldap 使用者,並執行 startx 也可以,但是從顯示管理器本身登錄會暫停半秒,然後反彈回顯示管理器。
輸出
systemctl status gdm
——Jun 18 15:04:55 hpcl1-1.salisbury.edu systemd[1]: Starting GNOME Display Manager... Jun 18 15:04:55 hpcl1-1.salisbury.edu systemd[1]: Started GNOME Display Manager. Jun 18 15:05:12 hpcl1-1.salisbury.edu gdm-password][4421]: pam_sss(gdm-password:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty1 ruser= rhost= user=rquackenbush1 Jun 18 15:05:15 hpcl1-1.salisbury.edu gdm[4144]: Failed to remove greeter program access to the display. Trying to proceed.
問題是使用者的登錄 shell 是一個包裝器(繼承自遺留系統),我們正在升級作業系統,預設情況下啟用了 selinux。切換到 selinux permissive 修復了它,但我們的永久修復是刪除包裝器並通過 PAM 限制 SSH 進入我們的伺服器。