Bug 50096

Summary: Ошибка при создании пользователя - "Сервер не хочет выполнять".
Product: Branch p10 Reporter: Nikolai Zurabishvili <zurabishvilinn>
Component: admcAssignee: samael <samael>
Status: CLOSED FIXED QA Contact: qa-p10 <qa-p10>
Severity: normal    
Priority: P5 CC: amakeenk, boot.efi, director, greh, kevl, knyazevsr, liannnix, max.gordeef, shevchenkodyu, sin, supertuxxx, vodin26
Version: не указана   
Hardware: x86_64   
OS: Linux   
Attachments:
Description Flags
список пакетов, после обновления которых воспроизводится ошибка
none
Wireshark connection
none
Wireshark LDAP Request
none
Wireshark LDAP Response none

Description Nikolai Zurabishvili 2024-04-19 18:41:38 MSK
admc-0.16.0-alt1

Стенды (обновлены до сизифа):
Клиенты:
KWorkstation 10.2.1 x86-64
Workstation 10.2 x86-64

Server 10.1 x86-64 - контроллер домена dc 

Шаги:
1. $ kinit administrator 
$ admc
2. Создать нового пользователя:

Раскрыть список с именем домена -> ПКМ на Users -> Создать -> Пользователь

Ввести необходимые данные и включить/выключить чекбокс Пользователь должен сменить пароль при следующем входе в систему (не влияет на воспроизведение ошибки)

Нажать OK

Фактический результат: Появляется окно с ошибкой - Не удалось изменить пароль для объекта Иванов. Ошибка: "Сервер не хочет выполнять".

Ожидаемый результат: Успешное создание пользователя. Пользователь появился в списке.

В p10 не воспроизводится

Доп: Текст ошибки совершенно непонятен. По какой причине сервер не хочет выполнять ? Настроение плохое ?
На самом dc сервере при этом корректно создаются пользователи например командой: # samba-tool user create newuser 123
Comment 1 Vodin26 2024-06-20 11:12:33 MSK
admc 0.16.3

KWorkstation 11.0
Ядро 6.6.31-un-def-alt1 

Тоже проблема при попытки сбросить пароль у пользователя. 
Не удалось изменить пароль для объекта Ошибка: "Сервер не хочет выполнять".
Comment 2 Дмитрий 2024-07-02 19:11:13 MSK
Created attachment 16361 [details]
список пакетов, после обновления которых воспроизводится ошибка
Comment 3 Дмитрий 2024-07-02 19:14:05 MSK
admc 0.16.3-alt1

AltServer 10.2 x86_64
AltWorkstation 10.2 x86_64

Ошибка воспроизводится при создании пользователя, либо при попытке смены пароля через интерфейс admc. Через samba-tool все действия выполняются без ошибок.
Стало воспроизводиться после обновления системы. Список прилетевших пакетов в предыдущем комментарии во вложении
Comment 4 Дмитрий 2024-07-02 19:55:13 MSK
upd:
Ошибка воспроизводится после обновления следующих пакетов:
1: libsasl2-3-2.1.27-alt2.1            
2: libsasl2-plugin-gssapi-2.1.27-alt2.1

Проверено даунгрейдом на репозиторий 3-недельной давности и попытками обновлять вручную пакеты из списка.
Comment 5 Samael 2024-07-02 21:00:25 MSK
Добавил в бэклог
Comment 6 Andrey Limachko 2024-07-22 18:35:20 MSK
Проблема возникает при попытке admc сменить пароль созданному пользователю.
Для этого admc пытается выполнить операцию LDAP Modify (Action: replace) на атрибуте "unicodePwd". Сервер отказывает ему в этой операции с кодом ошибки 53 (Unwilling to perform).

Про unicodePwd:
https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2

Происходит это в функции AdInterface::attribute_replace_values, где вызывается функция ldap_modify_ext_s.

На контроллере домена при этом происходит следующее:
[2024/07/22 19:17:17.116789,  5] ../../source4/kdc/db-glue.c:3718(dsdb_extract_aes_256_key)
  dsdb_extract_aes_256_key: Failed to find a ENCTYPE_HMAC_SHA1_96_AES256 key in supplementalCredentials of CN=pupupu,OU=fghfgh,DC=domain,DC=alt at KVNO 1 (got 0 keys, expected 1)
[2024/07/22 19:17:17.126451,  5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text)
  DSDB Change [Modify] at [Mon, 22 Jul 2024 19:17:17.126434 +04] status [Unwilling to perform] remote host [ipv4:10.64.128.194:53866] SID [S-1-5-21-439847955-704139617-3774719554-500] DN [CN=pupupu,OU=fghfgh,DC=domain,DC=alt] attributes [repl
ace: unicodePwd [REDACTED SECRET ATTRIBUTE]]
[2024/07/22 19:17:17.126600,  5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text)
  Password Change [Reset] at [Mon, 22 Jul 2024 19:17:17.126593 +04] status [Unwilling to perform] remote host [ipv4:10.64.128.194:53866] SID [S-1-5-21-439847955-704139617-3774719554-500] DN [CN=pupupu,OU=fghfgh,DC=domain,DC=alt]
  {"timestamp": "2024-07-22T19:17:17.126630+0400", "type": "dsdbChange", "dsdbChange": {"version": {"major": 1, "minor": 0}, "statusCode": 53, "status": "Unwilling to perform", "operation": "Modify", "remoteAddress": "ipv4:10.64.128.194:53866
", "performedAsSystem": false, "userSid": "S-1-5-21-439847955-704139617-3774719554-500", "dn": "CN=pupupu,OU=fghfgh,DC=domain,DC=alt", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "sessionId": "b0c94ddf-1790-4e84-b7dc-6d9f7a8f93c4", "attributes": {"unicodePwd": {"actions": [{"action": "replace", "redacted": true}]}}}}
  {"timestamp": "2024-07-22T19:17:17.126707+0400", "type": "passwordChange", "passwordChange": {"version": {"major": 1, "minor": 1}, "eventId": 4724, "statusCode": 53, "status": "Unwilling to perform", "remoteAddress": "ipv4:10.64.128.194:538
66", "userSid": "S-1-5-21-439847955-704139617-3774719554-500", "dn": "CN=pupupu,OU=fghfgh,DC=domain,DC=alt", "action": "Reset", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "sessionId": "b0c94ddf-1790-4e84-b7dc-6d9f7a8f93c4"}}
[2024/07/22 19:17:17.126842,  5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text)
  DSDB Transaction [rollback] at [Mon, 22 Jul 2024 19:17:17.126793 +04] duration [12775]
  {"timestamp": "2024-07-22T19:17:17.126865+0400", "type": "dsdbTransaction", "dsdbTransaction": {"version": {"major": 1, "minor": 0}, "action": "rollback", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "duration": 12775}}
Comment 7 Andrey Limachko 2024-07-22 18:59:37 MSK
Wireshark говорит, что, для выполнения LDAP Modify для атрибута UnicodePwd, шифрование вообще не используется.

Выглядит так, будто для подключения sasl выбирает механизм simple bind.
Comment 8 Andrey Limachko 2024-07-22 19:01:02 MSK
Created attachment 16461 [details]
Wireshark connection
Comment 9 Andrey Limachko 2024-07-22 19:01:51 MSK
Created attachment 16462 [details]
Wireshark LDAP Request
Comment 10 Andrey Limachko 2024-07-22 19:02:22 MSK
Created attachment 16463 [details]
Wireshark LDAP Response
Comment 11 Корытов Иван 2024-07-24 15:45:48 MSK
(Ответ для Дмитрий на комментарий #4)
> upd:
> Ошибка воспроизводится после обновления следующих пакетов:
> 1: libsasl2-3-2.1.27-alt2.1            
> 2: libsasl2-plugin-gssapi-2.1.27-alt2.1
> 
> Проверено даунгрейдом на репозиторий 3-недельной давности и попытками
> обновлять вручную пакеты из списка.

Спасибо за совет. Пересобрал версию 2.1.27-alt2.2 через hasher и проблема ушла.
Comment 12 Repository Robot 2024-08-01 16:20:04 MSK
admc-0.16.4-alt1 -> sisyphus:

 Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1
 - Samba 4.20 compatibility update. Fixed related errors with security
   descriptor manipulations. (closes: 50776)
 - Fixed user creation incapability after Samba dependencies
   update. (closes: 50096)
Comment 13 Alexander Makeenkov 2024-08-12 11:03:48 MSK
В p10 воспроизводится. Версия в репозитории 0.16.3-alt1.
Comment 14 Alexander Makeenkov 2024-08-12 11:08:52 MSK
Так же падают встроенные тесты admc_test_create_object_dialog и admc_test_password_edit:

ADMCTestPasswordEdit::apply() "Failed to change password for object ADMCTEST-test-user. Error: \"Server is unwilling to perform\"."
Comment 15 globonet 2024-08-16 11:57:07 MSK
Приветствую
Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не требовалось дополнительных действий для заказчиков?
Comment 16 globonet 2024-08-16 12:01:18 MSK
На P10
На версиях пакетов
1: libsasl2-3-2.1.28-alt2            
2: libsasl2-plugin-gssapi-2.1.28-alt2

Ошибка воспроизводится
Comment 17 Шевченко Денис 2024-08-16 12:05:32 MSK
(Ответ для globonet на комментарий #15)
> Приветствую
> Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не
> требовалось дополнительных действий для заказчиков?

Проблема решается с обновлением admc до версии 0.16.4.
Данная версия попадёт в репозиторий после прохождения процедуры тестирования.
На данный момент для p10 можете проверить решение таким образом:
apt-get update
apt-get dist-upgrade
apt-repo upgrade 353175
Comment 18 Repository Robot 2024-08-20 18:08:31 MSK
admc-0.16.4-alt1 -> p11:

 Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1
 - Samba 4.20 compatibility update. Fixed related errors with security
   descriptor manipulations. (closes: 50776)
 - Fixed user creation incapability after Samba dependencies
   update. (closes: 50096)
Comment 19 Alexander Makeenkov 2024-08-20 20:24:40 MSK
Ждём в р10.
Comment 20 Repository Robot 2024-08-22 20:51:44 MSK
admc-0.16.4-alt1 -> c10f2:

 Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1
 - Samba 4.20 compatibility update. Fixed related errors with security
   descriptor manipulations. (closes: 50776)
 - Fixed user creation incapability after Samba dependencies
   update. (closes: 50096)
Comment 21 Alexander Makeenkov 2024-08-22 21:49:55 MSK
В р10 всё ещё нету.
Comment 22 Samael 2024-08-22 21:51:02 MSK
(Ответ для Alexander Makeenkov на комментарий #21)
> В р10 всё ещё нету.

В p10 будет 0.17.0
Comment 23 globonet 2024-09-18 16:26:07 MSK
(Ответ для Шевченко Денис на комментарий #17)
> (Ответ для globonet на комментарий #15)
> > Приветствую
> > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не
> > требовалось дополнительных действий для заказчиков?
> 
> Проблема решается с обновлением admc до версии 0.16.4.
> Данная версия попадёт в репозиторий после прохождения процедуры тестирования.
> На данный момент для p10 можете проверить решение таким образом:
> apt-get update
> apt-get dist-upgrade
> apt-repo upgrade 353175

В p10 обновленный пакет не появился а task 353175 убрали
Просьба вернуть task или перенести 17 версию пакета в p10
Comment 24 Samael 2024-09-18 17:10:13 MSK
(Ответ для globonet на комментарий #23)
> (Ответ для Шевченко Денис на комментарий #17)
> > (Ответ для globonet на комментарий #15)
> > > Приветствую
> > > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не
> > > требовалось дополнительных действий для заказчиков?
> > 
> > Проблема решается с обновлением admc до версии 0.16.4.
> > Данная версия попадёт в репозиторий после прохождения процедуры тестирования.
> > На данный момент для p10 можете проверить решение таким образом:
> > apt-get update
> > apt-get dist-upgrade
> > apt-repo upgrade 353175
> 
> В p10 обновленный пакет не появился а task 353175 убрали
> Просьба вернуть task или перенести 17 версию пакета в p10

355642 p10 0.17.0
Comment 25 Repository Robot 2024-10-05 08:56:47 MSK
admc-0.17.0-alt1 -> p10:

 Wed Aug 21 2024 Semyon Knyazev <samael@altlinux> 0.17.0-alt1
 - Add password settings object's creation/deletion/edition. Password
   Settings Container contains these objects and located in the System
   container (objects tree).
 - Fix empty parentheses display in the domain info widget for undefined domain
   controller's version.
 - Add the ability to view which groups a group is a member of.
 Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1
 - Samba 4.20 compatibility update. Fixed related errors with security
   descriptor manipulations. (closes: 50776)
 - Fixed user creation incapability after Samba dependencies
   update. (closes: 50096)