Summary: | Ошибка при создании пользователя - "Сервер не хочет выполнять". | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Product: | Branch p10 | Reporter: | Nikolai Zurabishvili <zurabishvilinn> | ||||||||||
Component: | admc | Assignee: | samael <samael> | ||||||||||
Status: | CLOSED FIXED | QA Contact: | qa-p10 <qa-p10> | ||||||||||
Severity: | normal | ||||||||||||
Priority: | P5 | CC: | amakeenk, boot.efi, director, greh, kevl, knyazevsr, liannnix, max.gordeef, shevchenkodyu, sin, supertuxxx, vodin26 | ||||||||||
Version: | не указана | ||||||||||||
Hardware: | x86_64 | ||||||||||||
OS: | Linux | ||||||||||||
Attachments: |
|
Description
Nikolai Zurabishvili
2024-04-19 18:41:38 MSK
admc 0.16.3 KWorkstation 11.0 Ядро 6.6.31-un-def-alt1 Тоже проблема при попытки сбросить пароль у пользователя. Не удалось изменить пароль для объекта Ошибка: "Сервер не хочет выполнять". Created attachment 16361 [details]
список пакетов, после обновления которых воспроизводится ошибка
admc 0.16.3-alt1 AltServer 10.2 x86_64 AltWorkstation 10.2 x86_64 Ошибка воспроизводится при создании пользователя, либо при попытке смены пароля через интерфейс admc. Через samba-tool все действия выполняются без ошибок. Стало воспроизводиться после обновления системы. Список прилетевших пакетов в предыдущем комментарии во вложении upd: Ошибка воспроизводится после обновления следующих пакетов: 1: libsasl2-3-2.1.27-alt2.1 2: libsasl2-plugin-gssapi-2.1.27-alt2.1 Проверено даунгрейдом на репозиторий 3-недельной давности и попытками обновлять вручную пакеты из списка. Добавил в бэклог Проблема возникает при попытке admc сменить пароль созданному пользователю. Для этого admc пытается выполнить операцию LDAP Modify (Action: replace) на атрибуте "unicodePwd". Сервер отказывает ему в этой операции с кодом ошибки 53 (Unwilling to perform). Про unicodePwd: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2 Происходит это в функции AdInterface::attribute_replace_values, где вызывается функция ldap_modify_ext_s. На контроллере домена при этом происходит следующее: [2024/07/22 19:17:17.116789, 5] ../../source4/kdc/db-glue.c:3718(dsdb_extract_aes_256_key) dsdb_extract_aes_256_key: Failed to find a ENCTYPE_HMAC_SHA1_96_AES256 key in supplementalCredentials of CN=pupupu,OU=fghfgh,DC=domain,DC=alt at KVNO 1 (got 0 keys, expected 1) [2024/07/22 19:17:17.126451, 5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text) DSDB Change [Modify] at [Mon, 22 Jul 2024 19:17:17.126434 +04] status [Unwilling to perform] remote host [ipv4:10.64.128.194:53866] SID [S-1-5-21-439847955-704139617-3774719554-500] DN [CN=pupupu,OU=fghfgh,DC=domain,DC=alt] attributes [repl ace: unicodePwd [REDACTED SECRET ATTRIBUTE]] [2024/07/22 19:17:17.126600, 5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text) Password Change [Reset] at [Mon, 22 Jul 2024 19:17:17.126593 +04] status [Unwilling to perform] remote host [ipv4:10.64.128.194:53866] SID [S-1-5-21-439847955-704139617-3774719554-500] DN [CN=pupupu,OU=fghfgh,DC=domain,DC=alt] {"timestamp": "2024-07-22T19:17:17.126630+0400", "type": "dsdbChange", "dsdbChange": {"version": {"major": 1, "minor": 0}, "statusCode": 53, "status": "Unwilling to perform", "operation": "Modify", "remoteAddress": "ipv4:10.64.128.194:53866 ", "performedAsSystem": false, "userSid": "S-1-5-21-439847955-704139617-3774719554-500", "dn": "CN=pupupu,OU=fghfgh,DC=domain,DC=alt", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "sessionId": "b0c94ddf-1790-4e84-b7dc-6d9f7a8f93c4", "attributes": {"unicodePwd": {"actions": [{"action": "replace", "redacted": true}]}}}} {"timestamp": "2024-07-22T19:17:17.126707+0400", "type": "passwordChange", "passwordChange": {"version": {"major": 1, "minor": 1}, "eventId": 4724, "statusCode": 53, "status": "Unwilling to perform", "remoteAddress": "ipv4:10.64.128.194:538 66", "userSid": "S-1-5-21-439847955-704139617-3774719554-500", "dn": "CN=pupupu,OU=fghfgh,DC=domain,DC=alt", "action": "Reset", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "sessionId": "b0c94ddf-1790-4e84-b7dc-6d9f7a8f93c4"}} [2024/07/22 19:17:17.126842, 5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text) DSDB Transaction [rollback] at [Mon, 22 Jul 2024 19:17:17.126793 +04] duration [12775] {"timestamp": "2024-07-22T19:17:17.126865+0400", "type": "dsdbTransaction", "dsdbTransaction": {"version": {"major": 1, "minor": 0}, "action": "rollback", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "duration": 12775}} Wireshark говорит, что, для выполнения LDAP Modify для атрибута UnicodePwd, шифрование вообще не используется. Выглядит так, будто для подключения sasl выбирает механизм simple bind. Created attachment 16461 [details]
Wireshark connection
Created attachment 16462 [details]
Wireshark LDAP Request
Created attachment 16463 [details]
Wireshark LDAP Response
(Ответ для Дмитрий на комментарий #4) > upd: > Ошибка воспроизводится после обновления следующих пакетов: > 1: libsasl2-3-2.1.27-alt2.1 > 2: libsasl2-plugin-gssapi-2.1.27-alt2.1 > > Проверено даунгрейдом на репозиторий 3-недельной давности и попытками > обновлять вручную пакеты из списка. Спасибо за совет. Пересобрал версию 2.1.27-alt2.2 через hasher и проблема ушла. admc-0.16.4-alt1 -> sisyphus: Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096) В p10 воспроизводится. Версия в репозитории 0.16.3-alt1. Так же падают встроенные тесты admc_test_create_object_dialog и admc_test_password_edit: ADMCTestPasswordEdit::apply() "Failed to change password for object ADMCTEST-test-user. Error: \"Server is unwilling to perform\"." Приветствую Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не требовалось дополнительных действий для заказчиков? На P10 На версиях пакетов 1: libsasl2-3-2.1.28-alt2 2: libsasl2-plugin-gssapi-2.1.28-alt2 Ошибка воспроизводится (Ответ для globonet на комментарий #15) > Приветствую > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не > требовалось дополнительных действий для заказчиков? Проблема решается с обновлением admc до версии 0.16.4. Данная версия попадёт в репозиторий после прохождения процедуры тестирования. На данный момент для p10 можете проверить решение таким образом: apt-get update apt-get dist-upgrade apt-repo upgrade 353175 admc-0.16.4-alt1 -> p11: Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096) Ждём в р10. admc-0.16.4-alt1 -> c10f2: Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096) В р10 всё ещё нету. (Ответ для Alexander Makeenkov на комментарий #21) > В р10 всё ещё нету. В p10 будет 0.17.0 (Ответ для Шевченко Денис на комментарий #17) > (Ответ для globonet на комментарий #15) > > Приветствую > > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не > > требовалось дополнительных действий для заказчиков? > > Проблема решается с обновлением admc до версии 0.16.4. > Данная версия попадёт в репозиторий после прохождения процедуры тестирования. > На данный момент для p10 можете проверить решение таким образом: > apt-get update > apt-get dist-upgrade > apt-repo upgrade 353175 В p10 обновленный пакет не появился а task 353175 убрали Просьба вернуть task или перенести 17 версию пакета в p10 (Ответ для globonet на комментарий #23) > (Ответ для Шевченко Денис на комментарий #17) > > (Ответ для globonet на комментарий #15) > > > Приветствую > > > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не > > > требовалось дополнительных действий для заказчиков? > > > > Проблема решается с обновлением admc до версии 0.16.4. > > Данная версия попадёт в репозиторий после прохождения процедуры тестирования. > > На данный момент для p10 можете проверить решение таким образом: > > apt-get update > > apt-get dist-upgrade > > apt-repo upgrade 353175 > > В p10 обновленный пакет не появился а task 353175 убрали > Просьба вернуть task или перенести 17 версию пакета в p10 355642 p10 0.17.0 admc-0.17.0-alt1 -> p10: Wed Aug 21 2024 Semyon Knyazev <samael@altlinux> 0.17.0-alt1 - Add password settings object's creation/deletion/edition. Password Settings Container contains these objects and located in the System container (objects tree). - Fix empty parentheses display in the domain info widget for undefined domain controller's version. - Add the ability to view which groups a group is a member of. Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096) |