Dieser Beitrag erschien zuerst auf Ollis Blog.
Nachdem ich kürzlich das erste System von Ubuntu 12.04 auf 14.04 gehoben habe, musste ich feststellen, dass der AD-Login (wie hier beschrieben: http://www.faq-o-matic.net/2014/07/28/active-directory-user-login-fr-ubuntu-debian-server/) nicht mehr funktionierte.
Der Server war weiterhin in der Domäne, und die Winbind-Tools wbinfo -u / wbinfo -g lieferten weiterhin die korrekten User/Gruppen zurück. Im Auth-Log fand ich allerdings einen Eintrag:
Aug 18 16:07:38 host login[1738]: pam_listfile(login:auth): Refused user oliver.skibbe for service login Aug 18 16:07:40 host login[1738]: pam_unix(login:auth): check pass; user unknown Aug 18 16:07:40 host login[1738]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost= Aug 18 16:07:40 host login[1738]: pam_winbind(login:auth): getting password (0x00000388) Aug 18 16:07:40 host login[1738]: pam_winbind(login:auth): pam_get_item returned a password Aug 18 16:07:42 host login[1738]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Authentication failure
Ausgehend von diesem Eintrag und der Info, dass die User weiterhin abrufbar waren, konnte ich das Problem auf nsswitch eingrenzen, und zwar gibt es seit Ubuntu 14.04 Trusty für diesen Part ein zusätzliches Paket namens: libnss-winbind:
ii libnss-winbind:amd64 2:4.1.6+dfsg-1ubuntu2.14.04.3 amd64 Samba nameservice integration plugins
Nach der Installation dieses Paketes funktionierte dann der AD-Login sofort wieder, schade das Winbind keine explizite Abhängigkeit für dieses Paket hat.
http://faq-o-matic.net/?p=6279