ALT Linux Bugzilla – Full Text Bug Listing
| Summary: | Ошибка авторизации пользователя с изменённым UPN суффиксом при необходимости смены пароля | ||||||
|---|---|---|---|---|---|---|---|
| Product: | Sisyphus | Reporter: | Alexander Makeenkov <amakeenk> | ||||
| Component: | sssd | Assignee: | Evgeny Sinelnikov <sin> | ||||
| Status: | NEW --- | QA Contact: | qa-sisyphus | ||||
| Severity: | normal | ||||||
| Priority: | P5 | CC: | asheplyakov, iv, liannnix, shaba, sin, slev, tatyana | ||||
| Version: | unstable | ||||||
| Hardware: | x86_64 | ||||||
| OS: | Linux | ||||||
| See Also: | https://bugzilla.altlinux.org/show_bug.cgi?id=42336 | ||||||
| Attachments: |
|
||||||
|
Description
Alexander Makeenkov
2021-12-03 16:33:46 MSK
Использовалась ли опция sssd? krb5_use_subdomain_realm (логическое значение) Указывает использовать области поддоменов для проверки подлинности ользователей из доверенных доменов. Этот параметр можно установить в значение «true», если участники-предприятия используются с upnSuffixes, неизвестными KDC родительского домена. Если этот параметр установлен в значение «true», SSSD будет пытаться отправить запрос напрямую KDC того доверенного домена, из которого пришёл пользователь. По умолчанию: false Без этой опции раньше даже логин с upn-суффиксом не отрабатывал. (Ответ для Evgeny Sinelnikov на комментарий #1) > Использовалась ли опция sssd? > > krb5_use_subdomain_realm (логическое значение) > > Указывает использовать области поддоменов для проверки подлинности > ользователей из доверенных доменов. Этот параметр можно установить в > значение «true», если участники-предприятия используются с upnSuffixes, > неизвестными KDC родительского домена. Если этот параметр установлен в > значение «true», SSSD будет пытаться отправить запрос напрямую KDC того > доверенного домена, из которого пришёл пользователь. > > По умолчанию: false > > Без этой опции раньше даже логин с upn-суффиксом не отрабатывал. Включение опции krb5_use_subdomain_realm не помогло, ошибка осталась. Конфиг sssd такой: [sssd] config_file_version = 2 services = nss, pam user = _sssd domains = SAMBA.TESTDOMAIN [nss] [pam] [domain/SAMBA.TESTDOMAIN] id_provider = ad auth_provider = ad chpass_provider = ad access_provider = ad default_shell = /bin/bash fallback_homedir = /home/%d/%u debug_level = 9 ; cache_credentials = false ad_gpo_ignore_unreadable = true ad_gpo_access_control = permissive krb5_use_subdomain_realm = true sssd-2.9.3-alt1.x86_64 - ошибка актуальна. (Ответ для Alexander Makeenkov на комментарий #0) ... > Но, если при создании пользователя не включать "Пользователь должен сменить > пароль ...", то авторизация выполняется успешно. ... Этого я не понял. Так оно, вообще, не работает или не работает при некоторых условиях? Что значит "если при создании пользователя не включать "Пользователь должен сменить пароль ...""? Это же главное основное предусловие. А смена пароля для такого пользователя, в принципе, работает? Иначе, данную задачу, получается, стоило бы тогда назвать не "Ошибка авторизации пользователя с изменённым UPN суффиксом при необходимости смены пароля", а "Ошибка смены пароля при авторизации пользователя с изменённым UPN через sssd". Кстати, а через winbind кто-нибудь проверял? А через kpasswd? А как ведёт себя kinit для пользователя с изменённым UPN, если он "должен сменить пароль при следующем входе в систему"? (Ответ для Evgeny Sinelnikov на комментарий #4) > (Ответ для Alexander Makeenkov на комментарий #0) > ... > > Но, если при создании пользователя не включать "Пользователь должен сменить > > пароль ...", то авторизация выполняется успешно. > ... > > Этого я не понял. Так оно, вообще, не работает или не работает при некоторых > условиях? Не работает при условии, что пользователю требуется сменить пароль при входе. > Кстати, а через winbind кто-нибудь проверял? Попробовал - вообще пишет "Неправильный пароль" даже без галочки "Сменить пароль". Т.е. с изменённым суффиксом UPN не удаётся авторизоваться через winbind вообще (возможно, нужно завести отдельную ошибку?). > А через kpasswd? > А как ведёт себя kinit для пользователя с изменённым UPN, если он "должен сменить пароль при следующем входе в систему"? # kpasswd test1@samba.xyz kpasswd: Cannot find KDC for requested realm getting initial ticket # kinit test1@samba.xyz kinit: Cannot find KDC for realm "samba.xyz" while getting initial credentials Таким образом, поскольку на работает даже kinit, sssd в текущей проблеме не причем. Дело в настройках сервера. Это или сам сервер, или клиентская часть его админки, то есть admc. Необходимо проверить на то же сервере добавление другого upn-суыыиксп через rsat. Если kinit после этого заработает, то значит дело в admc. Ну, так оно, скорее всего и есть. Предположу, что при установке галочки сменить пароль при первом входе, upn-суффикс на самом деле не устанавливается. Это можно проверить в атрибутах. А также командой kinit test1. (Ответ для Evgeny Sinelnikov на комментарий #6) > Таким образом, поскольку на работает даже kinit, sssd в текущей проблеме не > причем. Дело в настройках сервера. Это или сам сервер, или клиентская часть > его админки, то есть admc. > > Необходимо проверить на то же сервере добавление другого upn-суыыиксп через > rsat. Если kinit после этого заработает, то значит дело в admc. Ну, так оно, > скорее всего и есть. > > Предположу, что при установке галочки сменить пароль при первом входе, > upn-суффикс на самом деле не устанавливается. Это можно проверить в > атрибутах. А также командой kinit test1. Проверено на том же сервере: 1. В rsat создать пользователя test3 с параметром "Пользователь должен сменить пароль при следующем входе в систему"; 2. ПКМ по пользователю - свойства - Редактор атрибутов - выбрать userPrincipalName - изменить - поменять с test3@samba.testdomain на test3@samba.test - ок - ок; 3. на клиенте ALT проверить вход под test3@samba.test. Результат: успешный вход. Проверить ещё можно так, создать по тем же шагам test4, изменить суффикс и проверить работает ли kinit. kinit работает: $ kinit test4 Password for test4@SAMBA.TESTDOMAIN: Password expired. You must change it now. Enter new password: Enter it again: Warning: Your password will expire in 42 days on Пт 02 фев 2024 09:41:59 Вывод: после изменения upn-суффикса конкретно в rsat - вход на клиенте ALT под test3@samba.test выполняется корректно. Однако при обратной ситуации (при изменении суффикса в admc) и входе под пользователем с новым суффиксом завершается ошибкой, как было указано ранее. Условие остаётся единым: выставлена галочка "Пользователь должен сменить пароль при следующем входе в систему". > Однако при обратной ситуации (при изменении суффикса в admc) и входе под пользователем с новым суффиксом завершается ошибкой, как было указано ранее.
А в admc тоже менялся samba.test, или на samba.xyz, как указано в первом комментарии?
Здесь это может оказаться важным, например, поэтому:
$ host samba.xyz
samba.xyz has address 3.64.163.50
$ host samba.test
Host samba.test not found: 3(NXDOMAIN)
(Ответ для Ivan A. Melnikov на комментарий #8) > > Однако при обратной ситуации (при изменении суффикса в admc) и входе под пользователем с новым суффиксом завершается ошибкой, как было указано ранее. > > А в admc тоже менялся samba.test, или на samba.xyz, как указано в первом > комментарии? > > Здесь это может оказаться важным, например, поэтому: > > $ host samba.xyz > samba.xyz has address 3.64.163.50 > $ host samba.test > Host samba.test not found: 3(NXDOMAIN) В admc менялся на samba.test Причём $ host samba.test - пустой вывод Видит только изначально настроенный: $ host samba.testdomain samba.testdomain has address 10.88.14.84 |
