Я думаю, что вы смешиваете аутентификацию и авторизацию. Как видно из журналов, фаза аутентификации прошла успешно (это означает, что учетные данные были успешно проверены) ...
19 июля 14:30:39 virtualBox gdm-пароль]: pam_sss (gdm-пароль: auth): аутентификация успешна; logname = uid = 0 euid = 0 tty = / dev / tty1 ruser = rhost = user = alice
... но фаза авторизации не пройдена (это означает, что пользователю не разрешено использовать сервис, независимо от учетных данных):
19 июля, 14:30:39 virtualBox gdm-пароль]: pam_sss (gdm-пароль: учетная запись): доступ запрещен для пользователя alice: 6 (отказ от авторизации)
Поскольку это сообщение было показано самим pam_sss, оно связано с настройками SSSD. Вы настроили в ldap
качестве поставщика доступа (авторизации):
[domain/STAGENFS.FR] access_provider = ldap
Это означает, что права доступа контролируются ldap_access_order
настройкой. У вас его нет, но его значение filter
по умолчанию (согласно руководству sssd-ldap (5)).
«Фильтр» означает, что проверки доступа выполняются с использованием ldap_access_filter
параметра для запроса к серверу LDAP. У вас также нет этого параметра, и он не имеет значения по умолчанию - это обязательно, если вы хотите использовать режим «фильтра».
Вам нужно указать правильные правила авторизации - либо выберите фильтр, который вы хотите применить, либо измените ldap_access_order
настройку (или даже access_provider
) на что-то другое.