#45827 – Не работает фильтр применения групповых политик для системных пользователей с uid < 500

Bug 45827 - Не работает фильтр применения групповых политик для системных пользователей с uid < 500

Summary: Не работает фильтр применения групповых политик для системных пользователей с...

Status:	NEW

Alias:	None

Product:	Branch p10
Classification:	Unclassified
Component:	gpupdate (show other bugs)
Version:	не указана
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Valery Sinelnikov
QA Contact:	qa-p10@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2023-04-11 15:58 MSK by Osmolovskaya Anastasia
Modified:	2023-04-11 15:58 MSK (History)
CC List:	0 users

See Also:

Attachments
Фильтр пользователей с системными идентификаторами (53.60 KB, image/jpeg) 2023-04-11 15:58 MSK, Osmolovskaya Anastasia	no flags	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Osmolovskaya Anastasia 2023-04-11 15:58:04 MSK

Created attachment 12934 [details]
Фильтр пользователей с системными идентификаторами

Проверялось в p10 - ошибка воспроизводится

Версия пакета:
gpupdate-0.9.12.2-alt2

Тестовые стенда:
Alt Workstation K 10.1 x86-64 (клиент)
Alt Workstation 10.1 x86-64 (клиент)
Alt Education/Education-kde 10.1 x86-64 (клиент)
Alt Server 10.1 x86-64 (сервер домена)

Шаги для воспроизведения:
1. Создать локального пользователь с uid < 500: 
# useradd test2
# usermod -u 401 test2

2. Войти в систему доменным пользователем и получить билет
$ kinit Administrator 

3. Включить групповые политики:
Запустить admc -> Объекты групповой политики -> создать подразделение ou -> переместить в него тестируемый пк -> создать политику и свзять с этим подразделением -> Изменить... 

Для этого подразделения в gpui-main включить следующие политики:

* Безопасность - Разрешение для /bin/su - Включить - Любой пользователь может запускать /bin/su
 
* Групповые политики - Групповые политики для локальных пользователей - Применять для локальных пользователей - Включить

* Групповые политики - Групповые политики для локальных пользователей - Фильтровать пользователей с системными идентификаторами - Включить (см. описание политики на скриншоте во вложении) 

4. Получить и применить обновления групповых политик для текущей машины
# gpupdate
# gpoa --loglevel 0

5. Перезагрузить систему. Проверить статус 
# control  gpupdate-system-uids status
(ожидается enabled)

6. Зайти локальным пользователем test2 (uid <500). Проверить работу групповых политик - попробовать запустить /bin/su

Ожидаемые результат: групповые политики не применяются для системных пользователей. Пользователь test2 с uid <500 не должен иметь возможность запускать /bin/su

Реальный результат: групповые политики применяются для пользователей с uid < 500. Не работает фильтр для пользователей с системными идентификаторами


Дополнительно: на данный момент нет возможности проверить воспроизведение данного бага в Sisyphus из-за ошибки при попытке выполнить # gpupdate 

"2023-04-11 15:33:57.970|[E00007]| Unable to initialize Samba backend|{'error': '(sqlite3.OperationalError) unknown database "Engine(sqlite:////var/cache/gpupdate/registry.sqlite)"\n[SQL: \nCREATE TABLE "Engine(sqlite:////var/cache/gpupdate/registry.sqlite)".info (\n\tid INTEGER NOT NULL, \n\tname VARCHAR(65536), \n\tvalue VARCHAR(65536), \n\tPRIMARY KEY (id), \n\tUNIQUE (name)\n)\n\n]\n(Background on this error at: https://sqlalche.me/e/20/e3q8)'}"

Похожая проблема встречается в https://bugzilla.altlinux.org/39588