Bug 7981

Summary: Not exactly worked
Product: Sisyphus Reporter: Andy Gorev <master>
Component: nss_ldapAssignee: Serge A. Volkov <vserge>
Status: CLOSED DUPLICATE QA Contact: qa-sisyphus
Severity: critical    
Priority: P2 CC: boyarsh, imz, klark, ldv, shaba, slev, vitty, viy
Version: unstable   
Hardware: all   
OS: Linux   
Attachments:
Description Flags
strace -o /tmp/log su - gorev -c /bin/true none

Description Andy Gorev 2005-09-16 23:26:00 MSD
При переходе с 227-alt1 из бранча на 239-alt1 из сизифа имеются следующие
симптомы (nss_ldap.conf сохраняем от предыдущей версии (а где, кстати noreplace??)):
1. После перезагрузки с консоли не пускает никого кто есть в базе. При этом
авторизация на сервере проходит.
2. Если отломать сеть, то пустит локального рута с локальным паролем. Далее
поднимаем сеть и у рута не работает sudo, su. `sudo true` банально сегфолтится.
3. getent при этом работает.
Comment 1 Eugene Ostapets 2005-09-17 10:06:50 MSD
По поводу "не пускает"... Что написано в /etc/pam.d/system-auth?
Comment 2 Andy Gorev 2005-09-17 15:57:36 MSD
#%PAM-1.0
auth    sufficient      /lib/security/pam_ldap.so
auth     required       pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
account sufficient      /lib/security/pam_ldap.so
account  required       pam_tcb.so shadow fork
password sufficient     /lib/security/pam_ldap.so
password required       pam_passwdqc.so min=disabled,24,12,8,7 max=40
passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password required       pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8
write_to=tcb
session optional        /lib/security/pam_ldap.so
session required        /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=002
session  required       pam_tcb.so
session  required       pam_limits.so
Comment 3 Eugene Ostapets 2005-09-17 22:06:15 MSD
Значит бага может быть и в pam_ldap и просто в pam, nss_ldap тут скорее всего не
при чем!

Попробуйте сделать sudo -u user true от рута, предварительно настроив для user
право выполнять /bin/true... Если будет падать, то естественно strace -o log и
этот лог в студию...
Comment 4 Andy Gorev 2005-09-18 14:00:26 MSD
Created attachment 1119 [details]
strace -o /tmp/log su - gorev -c /bin/true

Запущено от рута сразу после rpm -Uvh nss_ldap-239-alt1.i586.rpm
Comment 5 Andy Gorev 2005-09-18 14:01:18 MSD
Да, Женя я понимаю что проблема может быть в чем угодно. Я потратил 3 часа на
колупание в strace-логах чтобы утверждать, что она в nss_ldap. Даже сейчас, сидя
за чистым мастером, я не смог сделать твой testcase только потому, что сразу
после установки сизифного nss_ldap все перестает работать. Это может легко
воспроизвести каждый. Единственно что могу добавить, это вот:

[gorev@smart gorev]$ sudo su
Segmentation fault
[gorev@smart gorev]$ strace -o /tmp/log sudo su
Sorry, sudo must be setuid root.

Ежели все-таки нужен хоть какой strace, то вывод команды `strace -o /tmp/log su
- gorev -c /bin/true` приложен.
Comment 6 Markelov Alexander 2005-11-03 10:01:08 MSK
Готов подтвердить странное поведение связки pam_ldap nss_ldap. 
При установленом в nsswitch.conf поиске в ldap вот так:
passwd:     files ldap nisplus nis
shadow:     tcb files ldap nisplus nis
group:      files ldap nisplus nis
Система становится не работоспособна, как более детально объяснить не знаю.
После загрузки не войти ни локально ни удаленно.
PAM настроен как описанно тут http://wiki.sisyphus.ru/admin/LdapWinbindUsers
Так же, по косвенным признакам, отваливаются все процессы которые пытаются
запустится не от root'а.
При удалении записи об ldap в nsswitch.conf система успешно грузится. Заходим
рутом возвращаем ldap в nsswitch.conf, перезапускаем nscd. И успешно работаем,
делаем su в юзера и т.д...
Пришлось убить 3 часа что бы все таки понять что система не работоспособна из за
записи ldap в nsswitch.conf.
Comment 7 Andrew Kornilov 2005-11-25 13:31:46 MSK
Смотрите #8410.
У нас (с Nick S. Grechukh) уже есть давно рабочие сборки и мы их используем.
Майнтейнер почему-то молчит...
Comment 8 Nick S. Grechukh 2005-11-25 15:49:44 MSK

*** This bug has been marked as a duplicate of 8410 ***