El paso a paso o código que hallarás en este artículo es la resolución más eficiente y válida que encontramos a esta duda o problema.
Solución:
los key la linea es esta:
sshd[18237]: error: PAM: User account has expired for DOMAIN\USER from HOSTNAME
Esto indica que un módulo PAM cree que la cuenta ha caducado. me concentraría menos en auth
/session
y más sobre account
, que es la instalación centrada en las propiedades de la cuenta no relacionadas con la autenticación. Su primera tarea es identificar el módulo que causa el problema. Una vez que sepa eso, debería ser mucho más fácil identificar por qué el módulo piensa que el usuario debe ser bloqueado.
Revise lo aplicable account
módulos uno por uno, e intente agregar el debug
marque las entradas individuales para expandir la salida de registro si necesita más sugerencias. Si realmente está perplejo y no violaría la seguridad de un entorno crítico, también puede intentar comentar el account
Líneas una a la vez hasta que identifiques al culpable.
En cuanto a lo que cambió, lo más probable es que su configuración PAM se modificó cuando se instalaron estos paquetes. Lo más probable es que los usuarios en cuestión hayan estado en este estado todo el tiempo, pero la base de datos asociada con el mal comportamiento account
el módulo estaba siendo puenteado. (omitido, comentado, no presente en absoluto, etc.)
Para tu información: domainjoin-cli configure --enable pam
también volverá a agregar estas líneas después de una actualización. PBIS Open 8.x y superior entregan adecuadamente un /usr/share/pam-configs/pbis
configuración para que esto no suceda en el futuro.
Además, PBIS registra errores más específicos en la instalación del daemon de syslog, para que pueda verlos en ubuntu en /var/log/syslog
más bien que /var/log/secure
.