Здравствуйте! Для почтового клиента thunderbird мы использовали в DNS запись типа А (или CNAME) "LDAP" для гибкости, после недавних обновлений подключение с этими записями перестало работать, даже с указанием ip адреса не работает,хотя по dns имени ldap все пингуется, подключение теперь работает только с именами контроллера домена, подключение ldap проверили на windows, там таких проблем нет, все работает корректно, также работает корректно на одном хосте с альт который мы долго не обновляли. Подскажите пожалуйста, будет ли исправлена данная проблема? Бегать потом менять это все не хотелось бы, а DNS запись типа А и CNAME нужны нам для гибкости.
Обнаружили следующую закономерность при поиске контактов через LDAP, при использовании Kerberos(GSSAPI) нужно использовать конкретно одно из имен контроллеров домена, но если указать в качестве имени сервера DNS запись типа А (или CNAME) "LDAP", то необходимо указывать имя пользователя и пароль. Раньше все работало с DNS записями типа А (или CNAME) "LDAP"
Опишите пожалуйста баг подробнее: - Образ на котором воспроизводится - Версия программы на которой воспроизводится ошибка - Необходимые шаги для воспроизведения ошибки - Фактический результат - Ожидаемый результат Вывод команд: ``` # uname -a # cat /etc/os-release # apt-repo ```
(Ответ для Nikolai Zurabishvili на комментарий #2) > Опишите пожалуйста баг подробнее: > > - Образ на котором воспроизводится > - Версия программы на которой воспроизводится ошибка > - Необходимые шаги для воспроизведения ошибки > - Фактический результат > - Ожидаемый результат > > Вывод команд: > ``` > # uname -a > # cat /etc/os-release > # apt-repo > ``` [alt-user@alt-test ~]$ uname -a Linux alt-sokur.mrsk.kbf-mrsk-sk.ru 6.1.90-un-def-alt1 #1 SMP PREEMPT_DYNAMIC Thu May 16 14:20:50 UTC 2024 x86_64 GNU/Linux [alt-user@alt-test ~]$ cat /etc/os-release NAME="ALT" VERSION="10.3" ID=altlinux LOGO="basealt" VERSION_ID=10.3 PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)" ANSI_COLOR="1;33" CPE_NAME="cpe:/o:alt:kworkstation:10" BUILD_ID="ALT 10.3" ALT_BRANCH_ID="p10" HOME_URL="https://www.basealt.ru/" BUG_REPORT_URL="https://bugs.altlinux.org/" DOCUMENTATION_URL="https://docs.altlinux.org/" SUPPORT_URL="https://support.basealt.ru/" [alt-user@alt-test ~]$ apt-repo rpm http://localrepo/mirror p10/branch/x86_64 classic rpm http://localrepo/mirror p10/branch/noarch classic rpm ftp://localrepo/mirror alt-repo.r7-office.ru/r7/x86_64 r7 [alt-user@alt-test ~]$ Я немного оговорился, на Windows авторизация по учетным данным, но на alte авторизация с использованием A записи "LDAP" работало по kerberos и в один прекрасный момент перестало. Дополнительно к сведению, у нас локальные репозитории развернуты, которые обновляются ежедневно ночью.
(Ответ для Murat на комментарий #3) > (Ответ для Nikolai Zurabishvili на комментарий #2) > > Опишите пожалуйста баг подробнее: > > > > - Образ на котором воспроизводится > > - Версия программы на которой воспроизводится ошибка > > - Необходимые шаги для воспроизведения ошибки > > - Фактический результат > > - Ожидаемый результат > > > > Вывод команд: > > ``` > > # uname -a > > # cat /etc/os-release > > # apt-repo > > ``` > > [alt-user@alt-test ~]$ uname -a > Linux alt-sokur.mrsk.kbf-mrsk-sk.ru 6.1.90-un-def-alt1 #1 SMP > PREEMPT_DYNAMIC Thu May 16 14:20:50 UTC 2024 x86_64 GNU/Linux > [alt-user@alt-test ~]$ cat /etc/os-release > NAME="ALT" > VERSION="10.3" > ID=altlinux > LOGO="basealt" > VERSION_ID=10.3 > PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)" > ANSI_COLOR="1;33" > CPE_NAME="cpe:/o:alt:kworkstation:10" > BUILD_ID="ALT 10.3" > ALT_BRANCH_ID="p10" > HOME_URL="https://www.basealt.ru/" > BUG_REPORT_URL="https://bugs.altlinux.org/" > DOCUMENTATION_URL="https://docs.altlinux.org/" > SUPPORT_URL="https://support.basealt.ru/" > [alt-user@alt-test ~]$ apt-repo > rpm http://localrepo/mirror p10/branch/x86_64 classic > rpm http://localrepo/mirror p10/branch/noarch classic > rpm ftp://localrepo/mirror alt-repo.r7-office.ru/r7/x86_64 r7 > [alt-user@alt-test ~]$ > > Я немного оговорился, на Windows авторизация по учетным данным, но на alte > авторизация с использованием A записи "LDAP" работало по kerberos и в один > прекрасный момент перестало. Дополнительно к сведению, у нас локальные > репозитории развернуты, которые обновляются ежедневно ночью. Вы не указали шаги для воспроизведения ошибки, без них я не могу подтвердить наличия конкретной ошибки в thunderbird-е
Хост заведен в домен Настройка адресной книги когда в имени сервера указывается любой из контроллеров домена например "DC01" и во вкладке Дополнительно Способ аутентификации "Kerberos(GSSAPI)", адресная книга доступна, если в имени сервера меняю контроллер домена на запись А "LDAP" адресная книга недоступна. Записи А "LDAP" сопоставляем любой адрес из действующих контроллеров домена. Не знаю как по другому объяснить
(Ответ для Murat на комментарий #5) > Хост заведен в домен > Настройка адресной книги > когда в имени сервера указывается любой из контроллеров домена например > "DC01" > и во вкладке Дополнительно Способ аутентификации "Kerberos(GSSAPI)", > адресная книга доступна, если в имени сервера меняю контроллер домена на > запись А "LDAP" адресная книга недоступна. > > Записи А "LDAP" сопоставляем любой адрес из действующих контроллеров домена. > > Не знаю как по другому объяснить Как поднимали домен ? Укажите конкретно по шагам, как добавляете адресную книгу в thunderbird
Домен был поднят давно, до того как я устроился больше 10 лет назад, остальное расписано выше.
Не удалось воспроизвести ошибку
У вас проходит авторизация по kerberos указав любой ip адрес из действующих контроллеров домена для записи A "LDAP"?
(Ответ для Murat на комментарий #9) > У вас проходит авторизация по kerberos указав любой ip адрес из действующих > контроллеров домена для записи A "LDAP"? точнее не авторизация, а возможность просмотра адресной книги
thunderbird-128.1.0-alt1 freeipa-4.11.2-alt2 Стенды (обновлены до p10): Workstation 10.2 x86-64 - client Server 10.2 office x86-64 - dc Предусловия: Развернут freeipa домен, клиент введен в домен Шаги: 1. На клиенте войти в систему доменным пользователем. Открыть thunderbird, перейти в Инструменты -> Адресная книга -> Создать новую адресную книгу -> Добавить адресную книгу LDAP 2. Заполнить поля: Название - любое Имя сервера - ip контроллера домена Порт - 389 (оставить по умолчанию) Base DN - в соответствии с dc Bind DN - в соответствии с доменным пользователем 3. Перейти во вкладку Дополнительно -> Способ аутентификации -> Kerberos (GSSAPI) 4. Нажать ОК 5. В поле поиска созданной адресной книги ввести . или имя любого доменного пользователя (При запросе пароля ввести пароль текущего доменного пользователя) Ожидаемый результат: Контакты отображаются Фактический результат: Контакты не найдены Доп: При выборе Способа аутентификации - "Простой" контакты корректно отображаются, как и при выборе Kerberos (GSSAPI) и вводе в поле "Имя сервера" хостнейма сервера вместо ip
> Имя сервера - ip контроллера домена Вот тут мы хотели бы использовать DNS запись типа А "LDAP" сопоставленный с IP адресом одного из контроллеров домена, это бы давало возможность поменять IP адрес в случае выхода из строя назначенного для записи А "LDAP" при выходе его из строя и использовать Способ аутентификации -> Kerberos (GSSAPI)
Вышла новая версия thunderbird 128.2.0, прошу проверить с ней.
Добрый день! Пока нет в репозиториях, может вы отдельно его откуда-то берете? Может ссылку на rpm пока дадите для теста?
Уже в sisyphus.
Странно, но вижу пока только 115.9.0
Вы точно на sisyphus? Не на p11 или p10?
P10
Прошу Николая проверить на sisyphus.
Когда в p10 ожидать?
(Ответ для Ajrat Makhmutov на комментарий #13) > Вышла новая версия thunderbird 128.2.0, прошу проверить с ней. Добавьте хотя бы его в репозиторий его если есть такая возможность!
Я не могу ответить на вопрос. Дело в том, что для того, чтобы пакет отправился в стабильный репозиторий нужно отсутствие регрессий. В текущем состоянии 128-ой версии оно есть: #51595 Николай, прошу проверить на sisyphus, тогда будем отправлять несмотря на небольшую регрессию.
Может вы сможете проверить у себя, осталась проблема или нет? Если осталась, тогда смыла нет
Проверил версию thunderbird-128.4.0-alt1.x86_64 в сизифе Ошибка все еще воспроизводится по шагам из https://bugzilla.altlinux.org/show_bug.cgi?id=50085#c11
(Ответ для Murat на комментарий #0) > CNAME) "LDAP" для гибкости, после недавних обновлений подключение с этими > записями перестало работать Регрессия появилась после обновления с 102 версии до 115?