Autenticação no AD WIndows Server - senha errada após bloquear a tela...

1. Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 31/01/2019 - 11:13h

olá ...

Estou com a seguinte situação:
Eventualmente, ao tentar desbloquear o PC, é exibida mensagem de senha errada. Consequentemente, ao tentar 3x, o usuário/conta é bloqueado no AD Windows Server.
O administrador de rede diz que não tem nada errado com o servidor e, questiona se não seria o Linux com algum problema (bug).
Procuro manter o Linux atualizado (inclusive o Kernel), criando pontos de restauração com o TimeShift antes das atualizações de Kernel.
Me pareceu (ou talvez seja coincidência) que o problema começou depois de atualizar o Linux Mint Cinnamon 19 64bits para o "19.1".
Tenho um note do lado do PC, com o mesmo usuário, porém, com Windows 10, que, ao bloquear o usuário no Linux, também bloqueia no Windows (no caso, dá mensagem de "conta bloqueada").
Em alguns momentos, é só aguardar uns 20/30min que parece desbloquear sozinho, só que é chato em pleno expediente, ficar esperando o desbloqueio por entidades fantasmagóricas!
Assim, se alguém tem alguuma informação/sugestão que ajude a desvendar essa situação, agradeço.



  


2. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Matheus
pylm

(usa Gentoo)

Enviado em 31/01/2019 - 12:03h

Tenta aí:


# chmod u+s /sbin/unix_chkpwd


Tive um problema parecido com lock screens (qualquer uma) e no final era uma permissão errada no programa que checa a senha, o que fazia o pam declinar qualquer tentativa (mesmo que certa).


3. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 01/02/2019 - 08:35h

pylm escreveu:

Tenta aí:


# chmod u+s /sbin/unix_chkpwd


Tive um problema parecido com lock screens (qualquer uma) e no final era uma permissão errada no programa que checa a senha, o que fazia o pam declinar qualquer tentativa (mesmo que certa).


opa...

executei com comando... a princípio, tudo certo.

permissões... antes:
-rwxr-sr-x 1 root shadow 34816 abr  5  2018 /sbin/unix_chkpwd 


depois:
-rwsr-sr-x 1 root shadow 34816 abr  5  2018 /sbin/unix_chkpwd 


Vou aguardar o PC bloquear desbloquear ao longo do dia pra ver se vai ficar tudo certo.

Por hora, grato.



4. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 01/02/2019 - 09:20h

meianoite escreveu:

O administrador de rede deveria adotar uma melhor política de segurança na sua rede corporativa.
[...]
Opções:
1- Pode volta em uma versão em que o AD está funciona 100% ( Pontos de restauração com o TimeShift );
2- Usar uma distro estável onde não tem problema com atualizações do sistema.



1- Padronização única do sistema operacional.
Pois... aqui no trabalho o padrão é Windows mesmo. Windows Server (acho que 2012 R2). Clientes todos com Windows 7 ou 10. Além do colega que cuida da infra, do servidor em si, temos uma empresa terceirizada que dá suporte, então, não sei se nesse momento valeria umn esforço para sugerir alternativas.
Eu sou o "ovelha negra", tentando plantar sementes de software livre. Tanto que, quando passei do notebook (Windows 10) para o PC que tenho agora, eu perguntei se eu poderia utilizar Linux e a resposta foi: "Se tu consegue utilizar e produzir com Linux, instala, mas, vai ter que te virar sozinho com as configurações e solução de problemas." Bem, consigo acessar nosso ERP (TOTVS) com o Remmina, assim como os bancos de dados SQL Server remotos, e tudo mais que necessito para minhas atividades.

2- Não usar distribuições rolling release (ciclo de atualização muito alto e vários bugs) e Systemd (vários problemas e bugs)
Escolhi o Linux Mint pois já utilizava ele no PC de casa e me pareceu a melhor escolha. Naquele momento nem pensei nos init systems. Como consegui bastante documentação para colocá-lo no domínio, configurar o que precisava, nem fui atrás de outras opções. Talvez, mais a frente, eu consiga tempo para testar outras opções.

3- Usar distro com foco em estabilidade e segurança.
Quase o mesmo comentário do item 2, pois o Linux Mint me parece seguro, então, também, não fiquei testando outras opções.

Opções:
1- Pode volta em uma versão em que o AD está funciona 100% ( Pontos de restauração com o TimeShift );
Bem, depois do comando sugerido pela resposta do "pylm" ...
# chmod u+s /sbin/unix_chkpwd 

... aparentemente está funcionando. Vou aguardar para ver se ainda terei algum bloqueio ou mensagem de senha inncorreta.

2- Usar uma distro estável onde não tem problema com atualizações do sistema.
Esse item, eu terei que dispensare tempo de pesquisa, testes e análises para definir outra distro, que não será feito a curto prazo.

Por hora, grato por todos os comentários.



5. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 04/02/2019 - 06:21h

meianoite escreveu:

Se tu consegue utilizar e produzir com Linux, instala, mas, vai ter que te virar sozinho com as configurações e solução de problemas.

Esse tipo de comentário não é usado por adm de rede geralmente em 99% dos casos, eles falariam para vc usar o Windows por questão de padronização e suporte com os recursos da rede.


Importante:

Usar distro tal em casa é diferente de usar distro tal na empresa por N motivos.
Sim... porém, com vim praticando com distros baseadas no Debian (incluindo o próprio Debian), a que achei mais prática e simples foi o Linux Mint, talvez eu deveria ter escolhido mesmo o Debian. Enfim... tenho em mente que em casa é uma coisa corporação é outra.

A receita de bolo para o TOTVS + BD esta OK vai funcionar 100%.
Aqui, até o momento, tudo certo.

O desenvolvimento do TOTVS tem que melhorar muito.... Hoje em dia tudo é via aplicação web.
Penso nisso toda vez que abro a aplicação via RDP... pq não é tudo via web?

O ideal seria somente um programa de uma empresa. Só que na realidade são N programas e N empresas diferentes.
Concordo!

Coitado do pessoal do suporte ai no período de atualizações ou problemas (The Walking Dead).
Sim... ai menos no setor onde atuo, como tenho um bom conhecimento técnico, raramente acionamos o pessoal do suporte, apenas quando necessitamos de hardware.






6. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 04/02/2019 - 14:18h

pylm escreveu:

Tenta aí:


# chmod u+s /sbin/unix_chkpwd


Tive um problema parecido com lock screens (qualquer uma) e no final era uma permissão errada no programa que checa a senha, o que fazia o pam declinar qualquer tentativa (mesmo que certa).


Bem... voltou a dar senha errada ao desbloquear... e as permissões permanecem iguais, conforme o comando sugerido... então, vou pesquisar para ver o que mais poderei fazer para tentar resolver.


7. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 05/02/2019 - 22:06h

meianoite escreveu:

elvio.tche escreveu:

[quote]pylm escreveu:


Bem... voltou a dar senha errada ao desbloquear... e as permissões permanecem iguais, conforme o comando sugerido... então, vou pesquisar para ver o que mais poderei fazer para tentar resolver.



Com base nas opções....

Qual a solução?


Bem... o administrador de rede (a empresa terceirizada) verificou e disse ter feito alguns ajustes na política de segurança da rede.
Esse administrador criou um novo usuário para mim e deixou pronto para, caso eu queira, posso configurar outro HD (com a mesma ou outra distro) e ver se funciona.
Um detalhe que ele (esse administrador) comentou que pode estar acontecendo é que algum equipamento da rede esteja com algum vírus e, esse vírus, possa estar fazendo tentativas de acesso com o meu usuário, que é bem comum: "ti" (veja só, isso não foi escolhido por mim, qdo entrei, já existia e permaneceu!). Então, o servidor faz um bloqueio temporário de uns 10min no usuário suspeito.
Outro detalhe que observe em um log do SAMBA, foi uma diferença de horários... estava no log tentativas, por exemplo, as 10:30 e e estava olhando o LOG as 8:30, ou seja, diferença de horários. Assim, ajustei o relógio do sistema pelo relógio da BIOS ( timedatectl set-local-rtc 1 ), reiniciei, entrei na BIOS e ajustei a hora correta.
No período da tarde, aparentemente não congelou nem no note nem no PC... talvez, com alguns ajustes que ele tenha feito nas políticas e permissões, mais alguns ajustes que eu fiz localmente, quem sabe agora se resolva.
Verei amanhã como estarão as coisas.
O que percebi de novo, criei novo tópico para analisar e tentar resolver:
https://www.vivaolinux.com.br/topico/Linux-Mint/Linux-Mint-191-auto-ENTER-apos-digitar-root-para-ace...

Enfim... sigamos!




8. Re: Autenticação no AD WIndows Server - senha errada após bloquear a tela...

Elvio Lampugnani
elvio.tche

(usa Linux Mint)

Enviado em 06/03/2019 - 10:06h

pylm escreveu:

Tenta aí:


# chmod u+s /sbin/unix_chkpwd


Tive um problema parecido com lock screens (qualquer uma) e no final era uma permissão errada no programa que checa a senha, o que fazia o pam declinar qualquer tentativa (mesmo que certa).


Enquanto meu colega estava de férias, fiz duas coisas:
1. expliquei a situação e solicitei para a empresa terceirizada criar novo usuário e senha;
2. formatei o PC e instalei o Linux Mint 19.1 (pela prática e afinidade que tenho com o Mint).

Bem, consegui trabalhar normalmente, mapear a unidade do servidor que necessito acesso e tals. A única coisa que está faltando testar é a autenticação efetiva, porém, como está funcionando, penso em deixar tudo como está. O que o cara da terceirizada comentou é que, como eu utilizava o mesmo usuário em 2 PCs, isso poderia estar gerando conflito e bloqueio, por isso criamos um novo, me referindo ao item #1.

Valeu pelos comentários.