#46549 – AD

Bug 46549 - AD

Summary: AD

Status:	CLOSED NOTABUG

Alias:	None

Product:	Branch p10
Classification:	Unclassified
Component:	sssd-krb5 (show other bugs)
Version:	не указана
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	qa-team@altlinux.org
QA Contact:	qa-p10@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2023-06-15 11:45 MSK by kessys
Modified:	2023-10-05 12:29 MSK (History)
CC List:	2 users (show)

See Also:

Attachments
ADL (384.28 KB, text/plain) 2023-06-20 15:55 MSK, kessys	no flags	Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description kessys 2023-06-15 11:45:32 MSK

Компьютер beta 10.2 3 версии обновленный пк. apt-get update apt-get dist-upgrade, update-kernel
Введены команды  apt-get install task-auth-ad-sssd task-auth-ad-ldap
После запуска пк и входа в доменного пользователя на сетевые диски попадает по доменной уз, спустя какое-то время при повторном входе запрашивает логин пароль, при этом из учётки комп не выходил.
Какие ещё пакеты нужны?
Дополняю пакеты krb5-ticket-watcher pam_cifscreds sssd-krb5
Этого хватит или ещё что надо?
Требуется только SSSD

Comment 1 Evgeny Shesteperov 2023-06-18 18:09:01 MSK

В качестве сервера AD Windows Server 2012R2?

Сколько дней компьютер не выходил из сессии?

Comment 2 kessys 2023-06-18 18:15:25 MSK

(Ответ для Evgeny Shesteperov на комментарий #1)
> В качестве сервера AD Windows Server 2012R2?
> 
> Сколько дней компьютер не выходил из сессии?

День, два

Comment 3 Evgeny Shesteperov 2023-06-18 20:04:34 MSK

(Ответ для kessys на комментарий #2)
> (Ответ для Evgeny Shesteperov на комментарий #1)
> > В качестве сервера AD Windows Server 2012R2?

Ответьте на первый вопрос, это необходимо, чтобы сделать стенд для воспроизведения.

Comment 4 kessys 2023-06-20 15:55:42 MSK

Created attachment 13556 [details]
ADL

Comment 5 kessys 2023-06-20 15:56:20 MSK

июн 14 10.11.20 Время данного события
Приложен лог с компьютера от вкл до выкл

Comment 6 Evgeny Shesteperov 2023-06-30 10:30:44 MSK

Создал стенд для наблюдения:

* ALT KWorkstation 10.1 (в качестве клиента)
* ALT Server 10.1 (в качестве сервера)

Стенд обновлён до текущего P10.

Посмотрим, воспроизведётся ли.

Comment 7 Evgeny Shesteperov 2023-07-01 20:59:37 MSK

Я проверил. Действительно, так и происходит, но это не ошибка:

    $ klist
    Ticket cache: KEYRING:persistent:93401103:krb_ccache_3Zt0BRk
    Default principal: testuser@SAMBA.TESTDOMAIN

    Valid starting       Expires              Service principal
    01.07.2023 20:49:37  02.07.2023 06:49:36  cifs/dc@
            renew until 08.07.2023 20:49:36
            Ticket server: cifs/dc@SAMBA.TESTDOMAIN
    01.07.2023 20:49:36  02.07.2023 06:49:36  krbtgt/SAMBA.TESTDOMAIN@SAMBA.TESTDOMAIN
            renew until 08.07.2023 20:49:36

Подробнее https://www.altlinux.org/Домен/Kerberos#Нюансы_работы

Comment 8 kessys 2023-07-01 22:08:06 MSK

(Ответ для Evgeny Shesteperov на комментарий #7)
> Я проверил. Действительно, так и происходит, но это не ошибка:
> 
>     $ klist
>     Ticket cache: KEYRING:persistent:93401103:krb_ccache_3Zt0BRk
>     Default principal: testuser@SAMBA.TESTDOMAIN
> 
>     Valid starting       Expires              Service principal
>     01.07.2023 20:49:37  02.07.2023 06:49:36  cifs/dc@
>             renew until 08.07.2023 20:49:36
>             Ticket server: cifs/dc@SAMBA.TESTDOMAIN
>     01.07.2023 20:49:36  02.07.2023 06:49:36 
> krbtgt/SAMBA.TESTDOMAIN@SAMBA.TESTDOMAIN
>             renew until 08.07.2023 20:49:36
> 
> Подробнее https://www.altlinux.org/Домен/Kerberos#Нюансы_работы

Какие пакеты по итогу нужны чтобы билет продолжил получение и авторизацию?
То есть нужен не только 1 пакет для входа, а также рекомендованный список пакетов для работы Linux с AD.
Пакеты которые доустановил позже прям заметно что ничего не убегает с сетевых дисков.
В связи с чем больший интерес с тем что есть моменты когда пользователя выгоняют из УЗ

Comment 9 Alexander Makeenkov 2023-07-02 20:49:31 MSK

(Ответ для kessys на комментарий #8)
> Какие пакеты по итогу нужны чтобы билет продолжил получение и авторизацию?
> То есть нужен не только 1 пакет для входа, а также рекомендованный список
> пакетов для работы Linux с AD.

Всё, что нужно установить для работы с AD, можно найти в этих статьях https://www.altlinux.org/ActiveDirectory

Так же можете задать данный вопрос на форуме https://forum.altlinux.org/, в телеграм чате https://t.me/alt_linux или в техподдержке, на крайний случай. Возможно, кто-то знает ответ.

Но опять же, читаем https://www.altlinux.org/Домен/Kerberos#Нюансы_работы :

Тикет Kerberos по умолчанию выдаётся не более чем на 1 сутки. Если хотите выдавать тикет больше, чем на сутки, пропишите:
max_life = 30d
(максимальный срок выдаваемого тикета — 30 дней)

Т.е. через 30 дней билет в любом случае придётся снова получать.

Comment 10 kessys 2023-10-05 11:04:32 MSK

А как увеличить срок работы сессии обновляемого билета?
Т.е. Обновлять до тех пор пока не вышел из учетной записи.

max_life = 30d - редактировать не вариант, т.к. права и роли могут меняться согласно обращению.
1. это первое которое относится к клиентам пользователей.
2. если сервера законнектить в домен как клиент, он тоже так шустро вылетать будет?

Comment 11 Evgeny Shesteperov 2023-10-05 11:09:47 MSK

(Ответ для kessys на комментарий #10)
> А как увеличить срок работы сессии обновляемого билета?

https://www.altlinux.org/Домен/Kerberos#Нюансы_работы

Comment 12 kessys 2023-10-05 12:29:24 MSK

(Ответ для Evgeny Shesteperov на комментарий #11)
> (Ответ для kessys на комментарий #10)
> > А как увеличить срок работы сессии обновляемого билета?
> 
> https://www.altlinux.org/Домен/Kerberos#Нюансы_работы

Здесь нет ответа на вопрос