Bug 44699 - Ломается вход по паролю после включения и отключения опции SMARTCARD_REQUIRED
Summary: Ломается вход по паролю после включения и отключения опции SMARTCARD_REQUIRED
Status: NEW
Alias: None
Product: Branch p10
Classification: Unclassified
Component: admc (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2022-12-21 15:06 MSK by Vera Blagoveschenskaya
Modified: 2024-08-20 10:13 MSK (History)
1 user (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Vera Blagoveschenskaya 2022-12-21 15:06:15 MSK
1) Настроить доменную двухфакторную аутентификацию (Samba-AD)
2) Проверить вход пользователем:
- с подключенным токеном = успешно, вход по pin от токена (в тестировании токен Рутокен ЭЦП2.0 3000)
- с отключенным токеном = успешно, вход по паролю
Оба результата корректны.
3) Включила пользователю опцию SMARTCARD_REQUIRED, что должно запретить вход без токена.
4) Проверила вход:
- с подключенным токеном = успешно, вход по pin от токену
- с отключенным токеном, вход не разрешен.
Оба результата корректны.
5) Отключить для пользователя опцию SMARTCARD_REQUIRED
6) Выполнить вход по токену и без токена (по паролю)

Результат: вход по токену выполняется успешно. Вход без токена по-прежнему невозможен.
Лог входа по паролю:
дек 21 12:07:30 work.test5.alt lightdm[6527]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "rt_smb" 
дек 21 12:07:30 work.test5.alt systemd[1]: Started PC/SC Smart Card Daemon.
дек 21 12:07:33 work.test5.alt krb5_child[6558]: Pre-authentication failed: Invalid argument
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt lightdm[6527]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=rt_smb
дек 21 12:07:45 work.test5.alt lightdm[6527]: pam_sss(lightdm:auth): received for user rt_smb: 7 (Сбой при проверке подлинности)
дек 21 12:07:45 work.test5.alt lightdm[6527]: gkr-pam: no password is available for user
дек 21 12:07:46 work.test5.alt lightdm[6561]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "rt_smb" 
дек 21 12:07:48 work.test5.alt krb5_child[6587]: Pre-authentication failed: Invalid argument

Ожидаемый результат: После отключения опции SMARTCARD_REQUIRED ожидается, что вход по паролю будет возможен.

Дополнительно: для "починки" входа по паролю помогает сброс пароля.
Comment 1 Vera Blagoveschenskaya 2022-12-26 13:59:49 MSK
Актуально для версий
admc-0.10.0-alt3
admc-0.11.0-alt1
Comment 2 Evgeny Sinelnikov 2022-12-26 14:21:51 MSK
Очень похоже на ошибку обратного переключения. Чтобы исключить други варианты, требуется сделать проверку отключения через RSAT. Если поведение будет аналогичным, то дело не в admc, а в sssd.

Кстати, это, вообще может быть не ошибка, а настройка застрявшая в Кеше. Тогда она тоже будет воспроизводится через RSAT. Но, в этом случае, достаточно почистить кеш sssd.
Comment 3 Vera Blagoveschenskaya 2022-12-26 16:51:44 MSK
(Ответ для Evgeny Sinelnikov на комментарий #2)
> Очень похоже на ошибку обратного переключения. Чтобы исключить други
> варианты, требуется сделать проверку отключения через RSAT. Если поведение
> будет аналогичным, то дело не в admc, а в sssd.
> 
> Кстати, это, вообще может быть не ошибка, а настройка застрявшая в Кеше.
> Тогда она тоже будет воспроизводится через RSAT. Но, в этом случае,
> достаточно почистить кеш sssd.

При выполнении данного теста я чистила кэш, это не помогало.
Comment 4 Evgeny Sinelnikov 2022-12-26 16:53:19 MSK
(Ответ для Vera Blagoveschenskaya на комментарий #3)
...
> При выполнении данного теста я чистила кэш, это не помогало.

Нужно тогда проверить поведение при отключении данной опции через RSAT.
Comment 5 Алексей Родыгин 2023-10-05 09:52:41 MSK
 
> Нужно тогда проверить поведение при отключении данной опции через RSAT.

В RSAT поведение аналогичное, после отключения функции вход по паролю ломается.