Bug 41375 - Зависает первая авторизация пользователя после включения FreeIPA desktop profile
Summary: Зависает первая авторизация пользователя после включения FreeIPA desktop profile
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: sssd (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-11-18 13:08 MSK by Alexander Makeenkov
Modified: 2023-12-13 15:24 MSK (History)
5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Alexander Makeenkov 2021-11-18 13:08:22 MSK 
Шаги воспроизведения:
1. Развернуть FreeIPA домен (сервер + клиент), создать доменного пользователя testuser
2. Настройка сервера:
# apt-get install freeipa-desktop-profile
# kinit admin
# rm -rf  ~/.cache/ipa && ipa deskprofileconfig-show
# cat > testprofile.json <<EOF
{
  "org.gnome.gsettings": [
    {
      "key": "/org/mate/desktop/background/picture-filename",
      "schema": "org.mate.background",
      "signature": "s",
      "value": "'/usr/share/backgrounds/mate/desktop/MATE-Stripes-Light.png'"
    }
  ],
  "org.libreoffice.registry": [],
  "org.chromium.Policies": [],
  "com.google.chrome.Policies": [],
  "org.mozilla.firefox": [],
  "org.mozilla.firefox.Bookmarks": [],
  "org.freedesktop.NetworkManager": []
}
EOF
# cat testprofile.json | base64 > testprofile.jsonb
# ipa deskprofile-add testprofile --data=testprofile.jsonb
# ipa deskprofilerule-add testprofilerule --profile="testprofile" --prio=100
# ipa deskprofilerule-add-user testprofilerule --users testuser
# ipa deskprofilerule-add-host testprofilerule --hosts <CLIENT_HOSTNAME>

3. На клиенте выполнить:
# su - testuser

Ожидаемый результат:
- успешная смена пользователя
- в директории /var/lib/sss/deskprofile создался профиль для данного пользователя

Получаемый результат:
Смена пользователя зависает и через некоторое время падает с ошибкой:
su: Authentication service cannot retrieve authentication info

При этом профиль в директории /var/lib/sss/deskprofile создаётся.

Повторная и дальнейшие смены пользователя уже выполняются успешно.
Comment 1 Stanislav Levin 2021-11-24 16:34:01 MSK 
filed upstream ticket for discussion:
https://github.com/SSSD/sssd/issues/5888
Comment 2 Stanislav Levin 2021-11-24 17:19:25 MSK 
harmless workaround:

[root@client-arfaz ~]# cat /etc/dbus-1/system.d/sssd_be.conf 
<?xml version="1.0"?>

<!DOCTYPE busconfig PUBLIC
 "-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
 "http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">

<busconfig>
  <policy user="_sssd">
  <allow send_destination="org.freedesktop.DBus"
         send_path="/org/freedesktop/DBus"
         send_interface="org.freedesktop.DBus"
         send_member="Hello"/>
  </policy>
</busconfig>
Comment 3 Alexander Makeenkov 2023-12-13 15:20:36 MSK 
Актуально для sssd-2.9.3-alt1.x86_64
Comment 4 Alexander Makeenkov 2023-12-13 15:24:01 MSK 
(Ответ для Stanislav Levin на комментарий #2)
> harmless workaround:
> 
> [root@client-arfaz ~]# cat /etc/dbus-1/system.d/sssd_be.conf 
> <?xml version="1.0"?>
> 
> <!DOCTYPE busconfig PUBLIC
>  "-//freedesktop//DTD D-BUS Bus Configuration 1.0//EN"
>  "http://www.freedesktop.org/standards/dbus/1.0/busconfig.dtd">
> 
> <busconfig>
>   <policy user="_sssd">
>   <allow send_destination="org.freedesktop.DBus"
>          send_path="/org/freedesktop/DBus"
>          send_interface="org.freedesktop.DBus"
>          send_member="Hello"/>
>   </policy>
> </busconfig>

Создание такого файла помогает.