admc-0.16.0-alt1 Стенды (обновлены до сизифа): Клиенты: KWorkstation 10.2.1 x86-64 Workstation 10.2 x86-64 Server 10.1 x86-64 - контроллер домена dc Шаги: 1. $ kinit administrator $ admc 2. Создать нового пользователя: Раскрыть список с именем домена -> ПКМ на Users -> Создать -> Пользователь Ввести необходимые данные и включить/выключить чекбокс Пользователь должен сменить пароль при следующем входе в систему (не влияет на воспроизведение ошибки) Нажать OK Фактический результат: Появляется окно с ошибкой - Не удалось изменить пароль для объекта Иванов. Ошибка: "Сервер не хочет выполнять". Ожидаемый результат: Успешное создание пользователя. Пользователь появился в списке. В p10 не воспроизводится Доп: Текст ошибки совершенно непонятен. По какой причине сервер не хочет выполнять ? Настроение плохое ? На самом dc сервере при этом корректно создаются пользователи например командой: # samba-tool user create newuser 123
admc 0.16.3 KWorkstation 11.0 Ядро 6.6.31-un-def-alt1 Тоже проблема при попытки сбросить пароль у пользователя. Не удалось изменить пароль для объекта Ошибка: "Сервер не хочет выполнять".
Created attachment 16361 [details] список пакетов, после обновления которых воспроизводится ошибка
admc 0.16.3-alt1 AltServer 10.2 x86_64 AltWorkstation 10.2 x86_64 Ошибка воспроизводится при создании пользователя, либо при попытке смены пароля через интерфейс admc. Через samba-tool все действия выполняются без ошибок. Стало воспроизводиться после обновления системы. Список прилетевших пакетов в предыдущем комментарии во вложении
upd: Ошибка воспроизводится после обновления следующих пакетов: 1: libsasl2-3-2.1.27-alt2.1 2: libsasl2-plugin-gssapi-2.1.27-alt2.1 Проверено даунгрейдом на репозиторий 3-недельной давности и попытками обновлять вручную пакеты из списка.
Добавил в бэклог
Проблема возникает при попытке admc сменить пароль созданному пользователю. Для этого admc пытается выполнить операцию LDAP Modify (Action: replace) на атрибуте "unicodePwd". Сервер отказывает ему в этой операции с кодом ошибки 53 (Unwilling to perform). Про unicodePwd: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-adts/6e803168-f140-4d23-b2d3-c3a8ab5917d2 Происходит это в функции AdInterface::attribute_replace_values, где вызывается функция ldap_modify_ext_s. На контроллере домена при этом происходит следующее: [2024/07/22 19:17:17.116789, 5] ../../source4/kdc/db-glue.c:3718(dsdb_extract_aes_256_key) dsdb_extract_aes_256_key: Failed to find a ENCTYPE_HMAC_SHA1_96_AES256 key in supplementalCredentials of CN=pupupu,OU=fghfgh,DC=domain,DC=alt at KVNO 1 (got 0 keys, expected 1) [2024/07/22 19:17:17.126451, 5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text) DSDB Change [Modify] at [Mon, 22 Jul 2024 19:17:17.126434 +04] status [Unwilling to perform] remote host [ipv4:10.64.128.194:53866] SID [S-1-5-21-439847955-704139617-3774719554-500] DN [CN=pupupu,OU=fghfgh,DC=domain,DC=alt] attributes [repl ace: unicodePwd [REDACTED SECRET ATTRIBUTE]] [2024/07/22 19:17:17.126600, 5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text) Password Change [Reset] at [Mon, 22 Jul 2024 19:17:17.126593 +04] status [Unwilling to perform] remote host [ipv4:10.64.128.194:53866] SID [S-1-5-21-439847955-704139617-3774719554-500] DN [CN=pupupu,OU=fghfgh,DC=domain,DC=alt] {"timestamp": "2024-07-22T19:17:17.126630+0400", "type": "dsdbChange", "dsdbChange": {"version": {"major": 1, "minor": 0}, "statusCode": 53, "status": "Unwilling to perform", "operation": "Modify", "remoteAddress": "ipv4:10.64.128.194:53866 ", "performedAsSystem": false, "userSid": "S-1-5-21-439847955-704139617-3774719554-500", "dn": "CN=pupupu,OU=fghfgh,DC=domain,DC=alt", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "sessionId": "b0c94ddf-1790-4e84-b7dc-6d9f7a8f93c4", "attributes": {"unicodePwd": {"actions": [{"action": "replace", "redacted": true}]}}}} {"timestamp": "2024-07-22T19:17:17.126707+0400", "type": "passwordChange", "passwordChange": {"version": {"major": 1, "minor": 1}, "eventId": 4724, "statusCode": 53, "status": "Unwilling to perform", "remoteAddress": "ipv4:10.64.128.194:538 66", "userSid": "S-1-5-21-439847955-704139617-3774719554-500", "dn": "CN=pupupu,OU=fghfgh,DC=domain,DC=alt", "action": "Reset", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "sessionId": "b0c94ddf-1790-4e84-b7dc-6d9f7a8f93c4"}} [2024/07/22 19:17:17.126842, 5] ../../lib/audit_logging/audit_logging.c:97(audit_log_human_text) DSDB Transaction [rollback] at [Mon, 22 Jul 2024 19:17:17.126793 +04] duration [12775] {"timestamp": "2024-07-22T19:17:17.126865+0400", "type": "dsdbTransaction", "dsdbTransaction": {"version": {"major": 1, "minor": 0}, "action": "rollback", "transactionId": "cfb02dc3-367a-40a1-b263-e6830a82e4d1", "duration": 12775}}
Wireshark говорит, что, для выполнения LDAP Modify для атрибута UnicodePwd, шифрование вообще не используется. Выглядит так, будто для подключения sasl выбирает механизм simple bind.
Created attachment 16461 [details] Wireshark connection
Created attachment 16462 [details] Wireshark LDAP Request
Created attachment 16463 [details] Wireshark LDAP Response
(Ответ для Дмитрий на комментарий #4) > upd: > Ошибка воспроизводится после обновления следующих пакетов: > 1: libsasl2-3-2.1.27-alt2.1 > 2: libsasl2-plugin-gssapi-2.1.27-alt2.1 > > Проверено даунгрейдом на репозиторий 3-недельной давности и попытками > обновлять вручную пакеты из списка. Спасибо за совет. Пересобрал версию 2.1.27-alt2.2 через hasher и проблема ушла.
admc-0.16.4-alt1 -> sisyphus: Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096)
В p10 воспроизводится. Версия в репозитории 0.16.3-alt1.
Так же падают встроенные тесты admc_test_create_object_dialog и admc_test_password_edit: ADMCTestPasswordEdit::apply() "Failed to change password for object ADMCTEST-test-user. Error: \"Server is unwilling to perform\"."
Приветствую Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не требовалось дополнительных действий для заказчиков?
На P10 На версиях пакетов 1: libsasl2-3-2.1.28-alt2 2: libsasl2-plugin-gssapi-2.1.28-alt2 Ошибка воспроизводится
(Ответ для globonet на комментарий #15) > Приветствую > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не > требовалось дополнительных действий для заказчиков? Проблема решается с обновлением admc до версии 0.16.4. Данная версия попадёт в репозиторий после прохождения процедуры тестирования. На данный момент для p10 можете проверить решение таким образом: apt-get update apt-get dist-upgrade apt-repo upgrade 353175
admc-0.16.4-alt1 -> p11: Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096)
Ждём в р10.
admc-0.16.4-alt1 -> c10f2: Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096)
В р10 всё ещё нету.
(Ответ для Alexander Makeenkov на комментарий #21) > В р10 всё ещё нету. В p10 будет 0.17.0
(Ответ для Шевченко Денис на комментарий #17) > (Ответ для globonet на комментарий #15) > > Приветствую > > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не > > требовалось дополнительных действий для заказчиков? > > Проблема решается с обновлением admc до версии 0.16.4. > Данная версия попадёт в репозиторий после прохождения процедуры тестирования. > На данный момент для p10 можете проверить решение таким образом: > apt-get update > apt-get dist-upgrade > apt-repo upgrade 353175 В p10 обновленный пакет не появился а task 353175 убрали Просьба вернуть task или перенести 17 версию пакета в p10
(Ответ для globonet на комментарий #23) > (Ответ для Шевченко Денис на комментарий #17) > > (Ответ для globonet на комментарий #15) > > > Приветствую > > > Хочется уточнить когда будет обновление пакетов с исправлением, чтобы не > > > требовалось дополнительных действий для заказчиков? > > > > Проблема решается с обновлением admc до версии 0.16.4. > > Данная версия попадёт в репозиторий после прохождения процедуры тестирования. > > На данный момент для p10 можете проверить решение таким образом: > > apt-get update > > apt-get dist-upgrade > > apt-repo upgrade 353175 > > В p10 обновленный пакет не появился а task 353175 убрали > Просьба вернуть task или перенести 17 версию пакета в p10 355642 p10 0.17.0
admc-0.17.0-alt1 -> p10: Wed Aug 21 2024 Semyon Knyazev <samael@altlinux> 0.17.0-alt1 - Add password settings object's creation/deletion/edition. Password Settings Container contains these objects and located in the System container (objects tree). - Fix empty parentheses display in the domain info widget for undefined domain controller's version. - Add the ability to view which groups a group is a member of. Tue Jul 30 2024 Semyon Knyazev <samael@altlinux> 0.16.4-alt1 - Samba 4.20 compatibility update. Fixed related errors with security descriptor manipulations. (closes: 50776) - Fixed user creation incapability after Samba dependencies update. (closes: 50096)
