[RISOLTO] Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Discussioni relative a Debian e Linux

[RISOLTO] Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Messaggioda manstt » 08/05/2015, 15:53

Ciao a tutti,

in questi giorni ho fatto l'upgrade da wheezy a jessie, con qualche problemino che sono riuscito a risolvere.
Rimane un problema che invece sembra abbastanza ostico, il mio pc è configurato con l' autenticazione LDAP che funziona correttamente sia da console che dal login KDE.

Quando si attiva il blocco schermo dell'utente non è possibile sbloccarlo, ovvero da sempre password errata. Ci tengo a ribadire che con la medesima configurazione ldap in wheezy funzionava tutto correttamente.

Questo il log del journal

Codice: Seleziona tutto
mag 08 09:24:58 clientx kcheckpass[2976]: pam_unix(kdm:auth): authentication failure; logname=user uid=100xx euid=100xx tty=:0 ruser= rhost=  user=user
mag 08 09:24:58 clientx kcheckpass[2976]: pam_ldap: error trying to bind (Server is unwilling to perform)
mag 08 09:24:58 clientx kcheckpass[2976]: Authentication failure for user (invoked by uid 100xx)



il file /etc/pam-d/kdm è configurato così
Codice: Seleziona tutto
#
# /etc/pam.d/kdm - specify the PAM behaviour of kdm
#
auth       required     pam_nologin.so
auth       required     pam_env.so readenv=1
auth       required     pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
# SELinux needs to be the first session rule. This ensures that any
# lingering context has been cleared. Without out this it is possible
# that a module could execute code in the wrong domain.
session    [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close
session    required     pam_limits.so
session    required     pam_loginuid.so
@include common-session
# SELinux needs to intervene at login time to ensure that the process
# starts in the proper default security context. Only sessions which are
# intended to run in the user's context should be run after this.
session    [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open
@include common-account
@include common-password


common-auth
Codice: Seleziona tutto
auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so


common-session
Codice: Seleziona tutto
session [default=1]                     pam_permit.so
session required        pam_unix.so
session optional                        pam_ldap.so
session optional        pam_systemd.so
session optional                        pam_ck_connector.so nox11
session [default=1]                   pam_permit.so
session requisite                     pam_deny.so
session required                      pam_permit.so
session required                      pam_unix.so
session optional                      pam_ldap.so
session optional                      pam_ck_connector.so nox11
session required                      pam_mkhomedir.so


common-account
Codice: Seleziona tutto
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so
account [success=1 default=ignore]      pam_ldap.so
account requisite                       pam_deny.so
account required                        pam_permit.so


common-password
Codice: Seleziona tutto
password        [success=2 default=ignore]      pam_unix.so obscure sha512
password        [success=1 user_unknown=ignore default=die]     pam_ldap.so use_authtok try_first_pass
password        requisite                       pam_deny.so
password        required                        pam_permit.so
Ultima modifica di manstt il 11/05/2015, 16:03, modificato 1 volta in totale.
manstt
Jr. Member
Jr. Member
 
Messaggi: 55
Iscritto il: 26/08/2011, 14:04

Re: Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Messaggioda HAL 9000 » 08/05/2015, 19:25

I tre messaggi di errore fanno riferimento al contenuto del file common-auth, quindi si può supporre che il resto non c'entri e non causi problemi, o sarebbe risultato nei log.

In particolare fallisce l'autenticazione locale e poi anche quella LDAP, che utilizza la stessa password. Hai provato banalmente ad assegnare una password semplice all'utente, in modo da controllare che non sia un problema di codifica dei caratteri?

Un errore del genere mi era capitato con CUPS.

EDIT:

Risultano due bug di gravità "important" presenti al momento, riguardanti proprio il blocco schermo di KDE, ma non è chiaro se sia il tuo problema.
Più un altro riguardante l'uso del blocco schermo e LDAP, ma immagino sia il tuo, essendo di un italiano circa una settimana fa.

Una soluzione al problema, proposta in una delle due segnalazioni, è di aggiungere il bit setuid a /usr/lib/kde4/libexec/kcheckpass:
Codice: Seleziona tutto
# chmod u+s /usr/lib/kde4/libexec/kcheckpass

(vedi qui)

Non posso confermare a ogni modo, non utilizzando KDE, e mi sto limitando a riportare la soluzione proposta da un utente che ha fatto la segnalazione, non quella di un Debian Developer.
Se qualcuno del forum utilizza KDE, dovrebbe riuscire a replicare il problema con Jessie, posto ovviamente che faccia uso del blocco schermo.
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 9 "Stretch" (amd64): installazione, aggiornamento da Debian 8.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1483
Iscritto il: 10/08/2009, 10:01

Re: Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Messaggioda manstt » 08/05/2015, 20:46

Grazie mille per le info.
Solo che non riesco a provarle subito. I pc sono azienda...:(
manstt
Jr. Member
Jr. Member
 
Messaggi: 55
Iscritto il: 26/08/2011, 14:04

Re: Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Messaggioda manstt » 11/05/2015, 15:37

Grande.... ho provato la modifica del bit setuid è funziona alla grande, quindi ora tutti i miei utenti ldap posso sbloccare la propria sessione KDE.

Grazie mille di nuovo
manstt
Jr. Member
Jr. Member
 
Messaggi: 55
Iscritto il: 26/08/2011, 14:04

Re: Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Messaggioda HAL 9000 » 11/05/2015, 15:44

Quindi è un bug di KDE? Se è così, e la segnalazione del bug era tua, potresti aggiungere anche la soluzione trovata, in modo che sia applicata da chi si occupa del pacchetto o altrimenti venga giustificato il perché non è adatta, in caso ci siano problemi con la nuova configurazione. ;)

Inoltre fai attenzione che con successivi aggiornamenti il bit setuid verrebbe rimosso nuovamente. Per renderlo permanente sarebbe necessario ricorrere a dpkg-statoverride. Per esempio:
Codice: Seleziona tutto
# dpkg-statoverride --update --add root root 4755 /usr/lib/kde4/libexec/kcheckpass


Mentre per ripristinare:
Codice: Seleziona tutto
# dpkg-statoverride --remove /usr/lib/kde4/libexec/kcheckpass

E poi togliere manualmente il bit setuid:
Codice: Seleziona tutto
# chmod u-s /usr/lib/kde4/libexec/kcheckpass
Ricordarsi di modificare il primo messaggio della discussione per aggiungere [RISOLTO] prima del titolo, quando conclusa.

Wiki: APT e Repository, Comandi utili, Collabora.
Manuali di Debian 9 "Stretch" (amd64): installazione, aggiornamento da Debian 8.
Avatar utente
HAL 9000
wiki member
wiki member
 
Messaggi: 1483
Iscritto il: 10/08/2009, 10:01

Re: Aggiornamentro wheezy -> Jessie problemi KDE LDAP

Messaggioda manstt » 11/05/2015, 16:02

A questo punto si, però verificando nella vecchia wheezy i permessi erano uguali :

Codice: Seleziona tutto
-rwxr-xr-x 1 root root 18928 gen 21  2013 kcheckpass


Si, scusa non te l'avevo detto, stavo già inviando la mail per non "far perdere tempo". Grazie per le ulteriori info.
manstt
Jr. Member
Jr. Member
 
Messaggi: 55
Iscritto il: 26/08/2011, 14:04

Re: [RISOLTO] Aggiornamentro wheezy -> Jessie problemi KDE L

Messaggioda manstt » 04/07/2018, 10:23

solo per info il problema persiste anche con debian 9 Stretch

Codice: Seleziona tutto
chmod u+s /usr/lib/x86_64-linux-gnu/libexec/kcheckpass
dpkg-statoverride --update --add root root 4755 /usr/lib/x86_64-linux-gnu/libexec/kcheckpass
manstt
Jr. Member
Jr. Member
 
Messaggi: 55
Iscritto il: 26/08/2011, 14:04


Torna a Generale

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti