Bug 50085 - Не отображаются контакты в домене freeipa при указании dc ip + Kerberos(GSSAPI)
Summary: Не отображаются контакты в домене freeipa при указании dc ip + Kerberos(GSSAPI)
Status: REOPENED
Alias: None
Product: Sisyphus
Classification: Development
Component: thunderbird (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Ajrat Makhmutov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-04-19 14:06 MSK by Murat
Modified: 2024-11-02 15:23 MSK (History)
2 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Murat 2024-04-19 14:06:23 MSK
Здравствуйте!
Для почтового клиента thunderbird мы использовали в DNS запись типа А (или CNAME) "LDAP" для гибкости, после недавних обновлений подключение с этими записями перестало работать, даже с указанием ip адреса не работает,хотя по dns имени ldap все пингуется, подключение теперь работает только с именами контроллера домена, подключение ldap проверили на windows, там таких проблем нет, все работает корректно, также работает корректно на одном хосте с альт который мы долго не обновляли. 
Подскажите пожалуйста, будет ли исправлена данная проблема? Бегать потом менять это все не хотелось бы, а DNS запись типа А и CNAME нужны нам для гибкости.
Comment 1 Murat 2024-04-23 14:23:22 MSK
Обнаружили следующую закономерность при поиске контактов через LDAP, при использовании Kerberos(GSSAPI) нужно использовать конкретно одно из имен контроллеров домена, но если указать в качестве имени сервера DNS запись типа А (или CNAME) "LDAP", то необходимо указывать имя пользователя и пароль. Раньше все работало с DNS записями типа А (или CNAME) "LDAP"
Comment 2 Nikolai Zurabishvili 2024-07-15 11:15:19 MSK
Опишите пожалуйста баг подробнее:  

- Образ на котором воспроизводится
- Версия программы на которой воспроизводится ошибка
- Необходимые шаги для воспроизведения ошибки
- Фактический результат
- Ожидаемый результат

Вывод команд:
```
# uname -a
# cat /etc/os-release
# apt-repo
```
Comment 3 Murat 2024-07-15 11:48:56 MSK
(Ответ для Nikolai Zurabishvili на комментарий #2)
> Опишите пожалуйста баг подробнее:  
> 
> - Образ на котором воспроизводится
> - Версия программы на которой воспроизводится ошибка
> - Необходимые шаги для воспроизведения ошибки
> - Фактический результат
> - Ожидаемый результат
> 
> Вывод команд:
> ```
> # uname -a
> # cat /etc/os-release
> # apt-repo
> ```

[alt-user@alt-test ~]$ uname -a
Linux alt-sokur.mrsk.kbf-mrsk-sk.ru 6.1.90-un-def-alt1 #1 SMP PREEMPT_DYNAMIC Thu May 16 14:20:50 UTC 2024 x86_64 GNU/Linux
[alt-user@alt-test ~]$ cat /etc/os-release
NAME="ALT"
VERSION="10.3"
ID=altlinux
LOGO="basealt"
VERSION_ID=10.3
PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)"
ANSI_COLOR="1;33"
CPE_NAME="cpe:/o:alt:kworkstation:10"
BUILD_ID="ALT 10.3"
ALT_BRANCH_ID="p10"
HOME_URL="https://www.basealt.ru/"
BUG_REPORT_URL="https://bugs.altlinux.org/"
DOCUMENTATION_URL="https://docs.altlinux.org/"
SUPPORT_URL="https://support.basealt.ru/"
[alt-user@alt-test ~]$ apt-repo
rpm http://localrepo/mirror p10/branch/x86_64 classic
rpm http://localrepo/mirror p10/branch/noarch classic
rpm ftp://localrepo/mirror alt-repo.r7-office.ru/r7/x86_64 r7
[alt-user@alt-test ~]$

Я немного оговорился, на Windows авторизация по учетным данным, но на alte авторизация с использованием A записи "LDAP" работало по kerberos и в один прекрасный момент перестало. Дополнительно к сведению, у нас локальные репозитории развернуты, которые обновляются ежедневно ночью.
Comment 4 Nikolai Zurabishvili 2024-07-17 14:44:35 MSK
(Ответ для Murat на комментарий #3)
> (Ответ для Nikolai Zurabishvili на комментарий #2)
> > Опишите пожалуйста баг подробнее:  
> > 
> > - Образ на котором воспроизводится
> > - Версия программы на которой воспроизводится ошибка
> > - Необходимые шаги для воспроизведения ошибки
> > - Фактический результат
> > - Ожидаемый результат
> > 
> > Вывод команд:
> > ```
> > # uname -a
> > # cat /etc/os-release
> > # apt-repo
> > ```
> 
> [alt-user@alt-test ~]$ uname -a
> Linux alt-sokur.mrsk.kbf-mrsk-sk.ru 6.1.90-un-def-alt1 #1 SMP
> PREEMPT_DYNAMIC Thu May 16 14:20:50 UTC 2024 x86_64 GNU/Linux
> [alt-user@alt-test ~]$ cat /etc/os-release
> NAME="ALT"
> VERSION="10.3"
> ID=altlinux
> LOGO="basealt"
> VERSION_ID=10.3
> PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)"
> ANSI_COLOR="1;33"
> CPE_NAME="cpe:/o:alt:kworkstation:10"
> BUILD_ID="ALT 10.3"
> ALT_BRANCH_ID="p10"
> HOME_URL="https://www.basealt.ru/"
> BUG_REPORT_URL="https://bugs.altlinux.org/"
> DOCUMENTATION_URL="https://docs.altlinux.org/"
> SUPPORT_URL="https://support.basealt.ru/"
> [alt-user@alt-test ~]$ apt-repo
> rpm http://localrepo/mirror p10/branch/x86_64 classic
> rpm http://localrepo/mirror p10/branch/noarch classic
> rpm ftp://localrepo/mirror alt-repo.r7-office.ru/r7/x86_64 r7
> [alt-user@alt-test ~]$
> 
> Я немного оговорился, на Windows авторизация по учетным данным, но на alte
> авторизация с использованием A записи "LDAP" работало по kerberos и в один
> прекрасный момент перестало. Дополнительно к сведению, у нас локальные
> репозитории развернуты, которые обновляются ежедневно ночью.

Вы не указали шаги для воспроизведения ошибки, без них я не могу подтвердить наличия конкретной ошибки в thunderbird-е
Comment 5 Murat 2024-07-17 15:02:09 MSK
Хост заведен в домен
Настройка адресной книги
когда в имени сервера указывается любой из контроллеров домена например "DC01"
и во вкладке Дополнительно Способ аутентификации "Kerberos(GSSAPI)", адресная книга доступна, если в имени сервера меняю контроллер домена на запись А "LDAP" адресная книга недоступна.

Записи А "LDAP" сопоставляем любой адрес из действующих контроллеров домена.

Не знаю как по другому объяснить
Comment 6 Nikolai Zurabishvili 2024-07-26 14:54:32 MSK
(Ответ для Murat на комментарий #5)
> Хост заведен в домен
> Настройка адресной книги
> когда в имени сервера указывается любой из контроллеров домена например
> "DC01"
> и во вкладке Дополнительно Способ аутентификации "Kerberos(GSSAPI)",
> адресная книга доступна, если в имени сервера меняю контроллер домена на
> запись А "LDAP" адресная книга недоступна.
> 
> Записи А "LDAP" сопоставляем любой адрес из действующих контроллеров домена.
> 
> Не знаю как по другому объяснить

Как поднимали домен ? Укажите конкретно по шагам, как добавляете адресную книгу в thunderbird
Comment 7 Murat 2024-07-26 15:17:55 MSK
Домен был поднят давно, до того как я устроился больше 10 лет назад, остальное расписано выше.
Comment 8 Nikolai Zurabishvili 2024-07-29 11:10:31 MSK
Не удалось воспроизвести ошибку
Comment 9 Murat 2024-07-29 11:14:53 MSK
У вас проходит авторизация по kerberos указав любой ip адрес из действующих контроллеров домена для записи A "LDAP"?
Comment 10 Murat 2024-07-29 11:16:39 MSK
(Ответ для Murat на комментарий #9)
> У вас проходит авторизация по kerberos указав любой ip адрес из действующих
> контроллеров домена для записи A "LDAP"?

точнее не авторизация, а возможность просмотра адресной книги
Comment 11 Nikolai Zurabishvili 2024-08-08 10:43:23 MSK
thunderbird-128.1.0-alt1
freeipa-4.11.2-alt2

Стенды (обновлены до p10):
Workstation 10.2 x86-64 - client
Server 10.2 office x86-64 - dc

Предусловия:
Развернут freeipa домен, клиент введен в домен

Шаги:

1. На клиенте войти в систему доменным пользователем. Открыть thunderbird, перейти в Инструменты -> Адресная книга -> Создать новую адресную книгу -> Добавить адресную книгу LDAP

2. Заполнить поля:

Название - любое
Имя сервера - ip контроллера домена
Порт - 389 (оставить по умолчанию)
Base DN - в соответствии с dc 
Bind DN - в соответствии с доменным пользователем

3. Перейти во вкладку Дополнительно -> Способ аутентификации -> Kerberos (GSSAPI)

4. Нажать ОК

5. В поле поиска созданной адресной книги ввести . или имя любого доменного пользователя 
(При запросе пароля ввести пароль текущего доменного пользователя)

Ожидаемый результат: Контакты отображаются

Фактический результат: Контакты не найдены

Доп: При выборе Способа аутентификации - "Простой" контакты корректно отображаются, как и при выборе Kerberos (GSSAPI) и вводе в поле "Имя сервера" хостнейма сервера вместо ip
Comment 12 Murat 2024-08-08 11:03:40 MSK
> Имя сервера - ip контроллера домена

Вот тут мы хотели бы использовать DNS запись типа А "LDAP" сопоставленный с IP адресом одного из контроллеров домена, это бы давало возможность поменять IP адрес в случае выхода из строя назначенного для записи А "LDAP" при выходе его из строя и использовать Способ аутентификации -> Kerberos (GSSAPI)
Comment 13 Ajrat Makhmutov 2024-09-09 11:11:09 MSK
Вышла новая версия thunderbird 128.2.0, прошу проверить с ней.
Comment 14 Murat 2024-09-09 11:50:00 MSK
Добрый день!
Пока нет в репозиториях, может вы отдельно его откуда-то берете? Может ссылку на rpm пока дадите для теста?
Comment 15 Ajrat Makhmutov 2024-09-09 12:25:00 MSK
Уже в sisyphus.
Comment 16 Murat 2024-09-09 12:39:12 MSK
Странно, но вижу пока только 115.9.0
Comment 17 Ajrat Makhmutov 2024-09-09 12:40:22 MSK
Вы точно на sisyphus? Не на p11 или p10?
Comment 18 Murat 2024-09-09 12:41:52 MSK
P10
Comment 19 Ajrat Makhmutov 2024-09-09 12:43:14 MSK
Прошу Николая проверить на sisyphus.
Comment 20 Murat 2024-09-10 11:29:39 MSK
Когда в p10 ожидать?
Comment 21 Murat 2024-11-01 08:06:45 MSK
(Ответ для Ajrat Makhmutov на комментарий #13)
> Вышла новая версия thunderbird 128.2.0, прошу проверить с ней.

Добавьте хотя бы его в репозиторий его если есть такая возможность!
Comment 22 Ajrat Makhmutov 2024-11-01 13:15:59 MSK
Я не могу ответить на вопрос. Дело в том, что для того, чтобы пакет отправился в стабильный репозиторий нужно отсутствие регрессий. В текущем состоянии 128-ой версии оно есть: #51595
Николай, прошу проверить на sisyphus, тогда будем отправлять несмотря на небольшую регрессию.
Comment 23 Murat 2024-11-01 13:19:40 MSK
Может вы сможете проверить у себя, осталась проблема или нет? Если осталась, тогда смыла нет
Comment 24 Nikolai Zurabishvili 2024-11-02 11:44:09 MSK
Проверил версию thunderbird-128.4.0-alt1.x86_64 в сизифе

Ошибка все еще воспроизводится по шагам из https://bugzilla.altlinux.org/show_bug.cgi?id=50085#c11
Comment 25 Ajrat Makhmutov 2024-11-02 15:23:53 MSK
(Ответ для Murat на комментарий #0)
> CNAME) "LDAP" для гибкости, после недавних обновлений подключение с этими
> записями перестало работать

Регрессия появилась после обновления с 102 версии до 115?