Bug 43109 - Альт Сервер 10 отваливается от домена
Summary: Альт Сервер 10 отваливается от домена
Status: CLOSED WORKSFORME
Alias: None
Product: Branch p10
Classification: Unclassified
Component: samba (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: qa-team@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2022-06-29 20:12 MSK by kl0p
Modified: 2023-05-01 09:22 MSK (History)
5 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description kl0p 2022-06-29 20:12:28 MSK 
Имею Альт Сервер 10 в качестве члена домена под управлением Windows Server 2008R2. В домен сервер вводил через Центр управления системой - Аутентификация. Примерно через месяц после ввода в домен началось "отваливание" Альт Сервера от домена со следующим сообщением в логе:

ldap_child[49602]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.

после чего сервер невозможен доступ доменных пользователей (логин в ssh/xrdp, открытие общего каталога). Проблему решает вывод и последующий ввод в домен. Через сутки ситуация повторяется, опять то же сообщение и опять решение через вывод и ввод в домен.

Проблему вижу в том, что номера KVNO в krb5.keytab на линуксе и на контроллере домена разные, на линуксе klist -tke сообщает, что с каждым выводом-вводом в домен KVNO увеличивается и сейчас достиг 9, а команда kvno -S host dc.domain.local сообщает, что на сервере KVNO=122. На линуксе активны sssd и smbd (расшарен каталог).

Вопросы обычные, русские: кто виноват и что делать?
Comment 1 Evgeny Sinelnikov 2022-09-26 20:10:20 MSK 
Одну из таких проблем мы исправили в alterator-auth-0.43.13-alt1:
https://git.altlinux.org/gears/a/alterator-auth.git?p=alterator-auth.git;a=commitdiff;h=6998fb705c666636de5ac9f8e94a73159cd151d0

В smb.conf доабвлена опция:
       machine password timeout = 0

В sssd.conf:
       ad_update_samba_machine_account_password = true

Если эти опции отсутствуют, то при устаревании пароля за его обновление идёт гонка между sssd и winbind. Плюс в системе должен быть установлен adcli.

Далее есть множество закрытых CVE, которые могут влиять при не синхронном обновлении серверов и клиентов.
Comment 2 Илья Демьянов 2022-12-06 09:22:36 MSK 
Подтверждаю - почти после каждой перезагрузки перестает авторизовывать, пока не перезаведешь в домен.

> rpm -q samba sssd 
>samba-4.16.6-alt2.x86_64
>sssd-2.8.1-alt1.x86_64

Опции 
>machine password timeout = 0
и 
>
ad_update_samba_machine_account_password = true

в конфигах есть, adcli установлен.
Comment 3 Evgeny Shesteperov 2023-04-07 12:58:19 MSK 
Добрый день!

Пожалуйста, дополнительно предоставьте следующую информацию:

1. Операционная система, версия, на которой воспроизвелась ошибка.
2. Выводы следующих команд:

        $ uname -a
        $ cat /etc/os-release
        $ apt-repo

3. Обновлена ли система до текущего состояния репозитория?
4. Укажите настройки сервера, которые вы считаете необходимы для воспроизведения данной ошибки.
5. Укажите необходимые шаги воспроизведения.


Пока создал стенд для наблюдения:

- ALT Server 10.1 (в качестве клиента)
- Windows Server 2008R2 (в качестве сервера)
Comment 4 Evgeny Shesteperov 2023-05-01 09:22:59 MSK 
С момента создания стенда (2023-04-07, Комментарий 3) ошибки не обнаружено.