#44699 – Ломается вход по паролю после включения и отключения опции SMARTCARD_REQUIRED

Bug 44699 - Ломается вход по паролю после включения и отключения опции SMARTCARD_REQUIRED

Summary: Ломается вход по паролю после включения и отключения опции SMARTCARD_REQUIRED

Status:	NEW

Alias:	None

Product:	Branch p10
Classification:	Unclassified
Component:	admc (show other bugs)
Version:	не указана
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Evgeny Sinelnikov
QA Contact:	qa-p10@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2022-12-21 15:06 MSK by Vera Blagoveschenskaya
Modified:	2024-08-20 10:13 MSK (History)
CC List:	1 user (show)

See Also:	51206

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Vera Blagoveschenskaya 2022-12-21 15:06:15 MSK

1) Настроить доменную двухфакторную аутентификацию (Samba-AD)
2) Проверить вход пользователем:
- с подключенным токеном = успешно, вход по pin от токена (в тестировании токен Рутокен ЭЦП2.0 3000)
- с отключенным токеном = успешно, вход по паролю
Оба результата корректны.
3) Включила пользователю опцию SMARTCARD_REQUIRED, что должно запретить вход без токена.
4) Проверила вход:
- с подключенным токеном = успешно, вход по pin от токену
- с отключенным токеном, вход не разрешен.
Оба результата корректны.
5) Отключить для пользователя опцию SMARTCARD_REQUIRED
6) Выполнить вход по токену и без токена (по паролю)

Результат: вход по токену выполняется успешно. Вход без токена по-прежнему невозможен.
Лог входа по паролю:
дек 21 12:07:30 work.test5.alt lightdm[6527]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "rt_smb" 
дек 21 12:07:30 work.test5.alt systemd[1]: Started PC/SC Smart Card Daemon.
дек 21 12:07:33 work.test5.alt krb5_child[6558]: Pre-authentication failed: Invalid argument
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt lightdm[6527]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=rt_smb
дек 21 12:07:45 work.test5.alt lightdm[6527]: pam_sss(lightdm:auth): received for user rt_smb: 7 (Сбой при проверке подлинности)
дек 21 12:07:45 work.test5.alt lightdm[6527]: gkr-pam: no password is available for user
дек 21 12:07:46 work.test5.alt lightdm[6561]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "rt_smb" 
дек 21 12:07:48 work.test5.alt krb5_child[6587]: Pre-authentication failed: Invalid argument

Ожидаемый результат: После отключения опции SMARTCARD_REQUIRED ожидается, что вход по паролю будет возможен.

Дополнительно: для "починки" входа по паролю помогает сброс пароля.

Comment 1 Vera Blagoveschenskaya 2022-12-26 13:59:49 MSK

Актуально для версий
admc-0.10.0-alt3
admc-0.11.0-alt1

Comment 2 Evgeny Sinelnikov 2022-12-26 14:21:51 MSK

Очень похоже на ошибку обратного переключения. Чтобы исключить други варианты, требуется сделать проверку отключения через RSAT. Если поведение будет аналогичным, то дело не в admc, а в sssd.

Кстати, это, вообще может быть не ошибка, а настройка застрявшая в Кеше. Тогда она тоже будет воспроизводится через RSAT. Но, в этом случае, достаточно почистить кеш sssd.

Comment 3 Vera Blagoveschenskaya 2022-12-26 16:51:44 MSK

(Ответ для Evgeny Sinelnikov на комментарий #2)
> Очень похоже на ошибку обратного переключения. Чтобы исключить други
> варианты, требуется сделать проверку отключения через RSAT. Если поведение
> будет аналогичным, то дело не в admc, а в sssd.
> 
> Кстати, это, вообще может быть не ошибка, а настройка застрявшая в Кеше.
> Тогда она тоже будет воспроизводится через RSAT. Но, в этом случае,
> достаточно почистить кеш sssd.

При выполнении данного теста я чистила кэш, это не помогало.

Comment 4 Evgeny Sinelnikov 2022-12-26 16:53:19 MSK

(Ответ для Vera Blagoveschenskaya на комментарий #3)
...
> При выполнении данного теста я чистила кэш, это не помогало.

Нужно тогда проверить поведение при отключении данной опции через RSAT.

Comment 5 Алексей Родыгин 2023-10-05 09:52:41 MSK

 
> Нужно тогда проверить поведение при отключении данной опции через RSAT.

В RSAT поведение аналогичное, после отключения функции вход по паролю ломается.