Bug 35487 - Рабочая станция может не пустить пользователя из-за проблем с Kerberos
Summary: Рабочая станция может не пустить пользователя из-за проблем с Kerberos
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-auth (show other bugs)
Version: unstable
Hardware: all Linux
: P3 enhancement
Assignee: Anton V. Boyarshinov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2018-10-08 15:06 MSK by Pavel Isopenko
Modified: 2022-12-16 22:11 MSK (History)
4 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Pavel Isopenko 2018-10-08 15:06:39 MSK
Если перед настройкой на Active Directory менялось имя хоста (например, системный блок поставлялся с предустановленой системой) - пользователь домена аутентифицироваться не сможет, даже если все настройки указаны верно. journalctl показывает, как хост пытается получить билет по прежнему имени хоста, которое было до смены. А учётная запись хоста в домене создавалась уже на новое.
Рабочая станция придёт в норму, если вручную удалить /etc/krb5.keytab и перезагрузиться - krb5.keytab при старте запишется заново на новое имя хоста.
Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам.
Comment 1 Evgeny Sinelnikov 2018-11-14 00:17:18 MSK
Очень странное описание. Я не могу его понять. У нас имеется проблема смены хоста для иксов. Если произошла смена хоста, то иксы, требуется перезагрузить. У винды похожее поведение - если на машине прозошла смена хоста, то требуется перезагрузка.

krb5.keytab - это кеш с паролями для учётных записей, которые привязаны к имени хоста:
[sin@tor ~]$ sudo klist -k
[sudo] password for sin:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor@DARKMASTERSIN.NET
   3 cifs/tor@DARKMASTERSIN.NET
   3 cifs/tor@DARKMASTERSIN.NET
  10 host/tor.darkmastersin.net@DARKMASTERSIN.NET
  10 host/tor.darkmastersin.net@DARKMASTERSIN.NET
  10 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   4 cifs/tor@DARKMASTERSIN.NET
   4 cifs/tor@DARKMASTERSIN.NET
   4 cifs/tor@DARKMASTERSIN.NET

Имя хоста нельзя просто так менять. Если произошла смена имени хоста, машину нужно перевводить в домен, что означает, по сути создание новых записей в krb5.keytab.

Причём для этого требуются администраторские права в домене. Просто перезагрузки недостаточно.

При этом, если у нас машина была в домене, то перевведение её в домен штатными внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не предусмотрено.
Comment 2 Ivan A. Melnikov 2018-11-16 09:28:26 MSK
> (например, системный блок поставлялся с предустановленой системой)

Обычно в этой ситуации /etc/krb5.keytab отсутвует. Откуда он может взяться?

> Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам.

А какой был предыдущий вид аутентификации?
Comment 3 Pavel Isopenko 2018-11-16 10:04:48 MSK
(В ответ на комментарий №2)
> А какой был предыдущий вид аутентификации?

Предположительно, Альт-домен. Затем тестируемый был некоторое время выключен. Затем подключение к домену Samba 4 и - отказ аутентификации.
Comment 4 Pavel Isopenko 2018-11-16 11:14:17 MSK
(В ответ на комментарий №1)

> Если произошла смена хоста, то иксы, требуется перезагрузить.
> У винды похожее поведение - если на машине прозошла смена хоста, то требуется
> перезагрузка.

Разумеется. При смене реквизитов выходит сообщение о необходимости перезагрузки, и это правильно.  И она производилась, полная перезагрузка, без положительного результата - о чём и бага. 

> При этом, если у нас машина была в домене, то перевведение её в домен штатными
> внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не
> предусмотрено.

Понятно. Тогда предложение по улучшению: предусмотреть возможность перевведения в домен штатными внутренними средствами Альт, чтобы Альты по удобству использования были лучше прочих Linux-клиентов.