Created attachment 15832 [details] Текст сообщения на экране. При входе в Альт К 10.2.1 (и 10.3) неадминистративным MS AD-пользователем появляется сообщение: "Ошибка создания вспомогательного процесса ввода/вывода. Не удалось создать сокет для запуска вспомогательного процесса ввода-вывода для протокола «tags»." Если же войти в Альт AD-администратором - сообщения нет. Неадминистративный пользователь входит в MS AD-группы "Пользователи" и "Пользователи домена". При этом этот пользователь без проблем перемещается по папкам на подключённом сетевом ресурсе в MS AD (с авторизацией подключения через krb5) - ему позволено иметь доступ к файлам и папкам в соответствии с правами этого пользователя в MS AD и также ему недоступны файлы и папки, доступ к которым для него закрыт правами MS AD. Это свидетельствует о корректности авторизации пользователя в AD. В чём может быть причина появления такого сообщения об ошибке?
Прилагаю klist неадминистративного AD-пользователя: bash-4.4$ klist Ticket cache: KEYRING:persistent:1346201140:krb_ccache_DE2BZgm Default principal: user@DOMAIN.LOCAL Valid starting Expires Service principal 08.04.2024 11:37:18 08.04.2024 21:37:18 cifs/data2.domain.local@ renew until 08.04.2024 21:37:18 Ticket server: cifs/data2.domain.local@DOMAIN.LOCAL 08.04.2024 11:37:18 08.04.2024 21:37:18 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL renew until 08.04.2024 21:37:18 bash-4.4$
(Ответ для rsrs на комментарий #0) > Если же войти в Альт AD-администратором - сообщения нет. Полагаю, что-то с конфигурацией окружения пользователя.
С конфигурацией окружения пользователя где? На станции с Альт? Как понять - где именно? Что можно использовать для диагностики?
Напишите подробно после каких-шагов у вас начало появляется данное сообщение. Еще можете написать доп-информацию: - Образ на котором воспроизводится - Версия программы на которой воспроизводится ошибка - Шаги воспроизведения - Реальный результат - Ожидаемый результат - Вывод команд: # uname -a # cat /etc/os-release # apt-repo Можете также приложить вывод команд: # gpupdate &> gpupdate.log && gpoa --loglevel 0 &> gpoa.log
(Ответ для Nikolai Zurabishvili на комментарий #4) > Напишите подробно после каких-шагов у вас начало появляется данное > сообщение. > > Еще можете написать доп-информацию: > - Образ на котором воспроизводится > - Версия программы на которой воспроизводится ошибка > - Шаги воспроизведения Установка ОС из alt-kworkstation-10.2.1-install-x86_64.iso Далее apt-get dist-upgrade до версии 10.3 Затем ввод компьютера в домен. > - Реальный результат AD-админ входит в сеанс без ошибок AD-неадмин входит в сеанс с текстом ошибки на фоне Рабочего стола "Ошибка создания вспомогательного процесса ввода/вывода. Не удалось создать сокет для запуска вспомогательного процесса ввода-вывода для протокола «desktop»." Через некоторое время всплывет окно с похожим сообщением "Ошибка создания вспомогательного процесса ввода/вывода. Не удалось создать сокет для запуска вспомогательного процесса ввода-вывода для протокола «tags»." > - Ожидаемый результат Ожидается, что AD-неадмин входит в сессию без ошибок, также, как и AD-админ. > - Вывод команд: > # uname -a > # cat /etc/os-release > # apt-repo [root@alt10 ~]# uname -a Linux alt10.uszn.local 6.1.57-un-def-alt1 #1 SMP PREEMPT_DYNAMIC Wed Oct 11 00:30:07 UTC 2023 x86_64 GNU/Linux [root@alt10 ~]# cat /etc/os-release NAME="ALT" VERSION="10.3" ID=altlinux LOGO="basealt" VERSION_ID=10.3 PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)" ANSI_COLOR="1;33" CPE_NAME="cpe:/o:alt:kworkstation:10" BUILD_ID="ALT 10.2" ALT_BRANCH_ID="p10" HOME_URL="https://www.basealt.ru/" BUG_REPORT_URL="https://bugs.altlinux.org/" DOCUMENTATION_URL="https://docs.altlinux.org/" SUPPORT_URL="https://support.basealt.ru/" [root@alt10 ~]# apt-repo rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64 classic gostcrypto rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/x86_64-i586 classic rpm [p10] http://ftp.altlinux.org/pub/distributions/ALTLinux p10/branch/noarch classic [root@alt10 ~]#
Created attachment 15905 [details] gpupdate &> gpupdate.log && gpoa --loglevel 0 &> gpoa.log Прилагаю три лога: в папке root - выполнен при входе пользователя сессию AD-админа и после перехода su - (в контексте суперпользователя) в папке ad-admin- выполнен при входе сессию AD-админа, лог собран в контексте пользователя AD-админа в папке ad-noadmin- выполнен при входе в сессию AD-админа, лог собран в контексте пользователя AD-неадмина
(Ответ для rsrs на комментарий #6) > Создано вложение 15905 [details] [подробности] > gpupdate &> gpupdate.log && gpoa --loglevel 0 &> gpoa.log > > Прилагаю три лога: > > в папке root - выполнен при входе пользователя сессию AD-админа и после > перехода su - (в контексте суперпользователя) > > в папке ad-admin- выполнен при входе сессию AD-админа, лог собран в > контексте пользователя AD-админа > > в папке ad-noadmin- выполнен при входе в сессию AD-админа, лог собран в > контексте пользователя AD-неадмина Под пользователем ad-admin ошибки входа в сессию нет. Под пользователем ad-noadmin ошибка входа в сессию есть.
(Ответ для rsrs на комментарий #5) > (Ответ для Nikolai Zurabishvili на комментарий #4) > > Напишите подробно после каких-шагов у вас начало появляется данное > > сообщение. > > > > Еще можете написать доп-информацию: > > - Образ на котором воспроизводится > > - Версия программы на которой воспроизводится ошибка > > - Шаги воспроизведения > > Установка ОС из alt-kworkstation-10.2.1-install-x86_64.iso > Далее apt-get dist-upgrade до версии 10.3 > Затем ввод компьютера в домен. > > По указанным шагам у меня не получилось воспроизвести ошибку, после обновления и ввода компьютера в домен доменные пользователи-неадминистраторы могут заходить в сессию без ошибок. Может обновление некорректно установилось? Попробуйте заново переустановить систему, обновиться до актуального состояния (включая ядро) и ввести ее домен. (Ответ для rsrs на комментарий #6) > Создано вложение 15905 [details] [подробности] > gpupdate &> gpupdate.log && gpoa --loglevel 0 &> gpoa.log > > Прилагаю три лога: > > в папке root - выполнен при входе пользователя сессию AD-админа и после > перехода su - (в контексте суперпользователя) > > в папке ad-admin- выполнен при входе сессию AD-админа, лог собран в > контексте пользователя AD-админа > > в папке ad-noadmin- выполнен при входе в сессию AD-админа, лог собран в > контексте пользователя AD-неадмина Судя по сообщениям типа "bash: gpoa: команда не найдена" пакет gpupdate мог некорректно обновиться
(Ответ для Nikolai Zurabishvili на комментарий #8) > > gpupdate &> gpupdate.log && gpoa --loglevel 0 &> gpoa.log > > > > Прилагаю три лога: > > > > в папке root - выполнен при входе пользователя сессию AD-админа и после > > перехода su - (в контексте суперпользователя) > > > > в папке ad-admin- выполнен при входе сессию AD-админа, лог собран в > > контексте пользователя AD-админа > > > > в папке ad-noadmin- выполнен при входе в сессию AD-админа, лог собран в > > контексте пользователя AD-неадмина > > Судя по сообщениям типа "bash: gpoa: команда не найдена" пакет gpupdate мог > некорректно обновиться Пакет gpupdate корректно обновлен. Это видно если войти в сессию AD-пользователем, перейти в режим суперпользователя (su -) и выполнить команду gpupdate &> gpupdate.log В этом случае файл gpupdate.log создаётся непустыми его содержимое можно видеть в прилагаемом выше архиве логов в папке root файл gpoa.log. Если же выполнить от имени AD-пользователя, не переходя в режим суперпользователя, то получаем сообщение "bash: gpoa: команда не найдена" Видимо, не хватает, каких-то прав. Как запустить gpupdate &> gpupdate.log от имени AD-пользователя?
Если от имени AD-пользователя выполнить не "gpupdate", а "bash gpupdate", то получим так: bash-4.4$ bash gpupdate /usr/bin/gpupdate: строка 20: import: команда не найдена /usr/bin/gpupdate: строка 21: import: команда не найдена /usr/bin/gpupdate: строка 22: import: команда не найдена /usr/bin/gpupdate: строка 23: import: команда не найдена /usr/bin/gpupdate: строка 24: import: команда не найдена /usr/bin/gpupdate: строка 25: import: команда не найдена /usr/bin/gpupdate: строка 26: import: команда не найдена /usr/bin/gpupdate: строка 27: import: команда не найдена /usr/bin/gpupdate: gpupdate: строка 29: синтаксическая ошибка рядом с неожиданным маркером «(» /usr/bin/gpupdate: gpupdate: строка 29: `from util.users import (' bash-4.4$
(Ответ для rsrs на комментарий #10) > Если от имени AD-пользователя выполнить не "gpupdate", а "bash gpupdate", то > получим так: > > bash-4.4$ bash gpupdate > /usr/bin/gpupdate: строка 20: import: команда не найдена Разумеется, ведь он написан не на bash, а на python.
Опытным путём причина, кажется, обнаружилась. Ошибка возникает, если имя AD-пользователя на кириллице и содержит заглавные буквы - например, "Пользователь". Кириллическое имя пользователя в нижнем регистре ошибки не вызывает - например, "пользователь".
В нашей организации в AD более сотни пользователей и имена пользователей имеют формат "И.О.Фамилия" - например, "И.И.Сидоров". Нужно как-то исправить эту проблему.
Кстати, при появлении этих двух ошибок AD-пользователь "Пользователь" имеет доступ к сетевым ресурсам AD в соответствии со своими AD-правами. И, как выяснилось, проблема именно в верхнем регистре символов в имени пользователя. От типа AD-пользователя - административный или неадминистративный ошибки не зависят.
(Ответ для rsrs на комментарий #12) > Опытным путём причина, кажется, обнаружилась. > > Ошибка возникает, если имя AD-пользователя на кириллице и содержит заглавные > буквы - например, "Пользователь". Кириллическое имя пользователя в нижнем > регистре ошибки не вызывает - например, "пользователь". Сумел воспроизвести ошибку при условиях что имя для входа пользователя: - Указано на кириллице - Начинается с заглавной буквы - Имеет длину больше 11 символов Прошу уточнить воспроизводится ли у вас ошибка при вышеперечисленных условиях - особенно обратить внимание на длину имен в поле "Имя для входа" потому что у меня иногда не воспроизводилось и при длине 12 символов, возможно есть еще какие-то условия
(Ответ для Nikolai Zurabishvili на комментарий #15) > (Ответ для rsrs на комментарий #12) > > Опытным путём причина, кажется, обнаружилась. > > > > Ошибка возникает, если имя AD-пользователя на кириллице и содержит заглавные > > буквы - например, "Пользователь". Кириллическое имя пользователя в нижнем > > регистре ошибки не вызывает - например, "пользователь". > > Сумел воспроизвести ошибку при условиях что имя для входа пользователя: > - Указано на кириллице > - Начинается с заглавной буквы > - Имеет длину больше 11 символов > > Прошу уточнить воспроизводится ли у вас ошибка при вышеперечисленных > условиях - особенно обратить внимание на длину имен в поле "Имя для входа" > потому что у меня иногда не воспроизводилось и при длине 12 символов, > возможно есть еще какие-то условия Других условий не замечено. Вот для таких пользователей ошибка имеет место быть: Пользователь Г.В.Беличенко Длины соответственно 12 и 13 символов. Вообще, у меня большое количество AD-пользователей с именами формата "И.О.Фамилия" (Имя, Отчество, первый символ Фамилии на верхнем регистре, Имя и Отчество разделены точками, пробелов в имени нет) - думаю, ошибка будет у всех.
Стенды (обновлены до сизифа): Samba dc сервер - Server 10.1 x86-64 Клиент - KWorkstation 10.2.1 x86-64 Шаги: 1. Создать пользователя через admc или dc например # samba-tool user create Г.В.Беличенко 123 у которого имя для входа: - Начинается с заглавной буквы - Длина больше 11 символов 2. Попытаться войти созданным пользователем в систему Фактический результат: При входе выскакивает ошибка "Ошибка создания вспомогательного процесса ввода/вывода. Не удалось создать сокет для запуска вспомогательного процесса ввода-вывода для протокола «tags»". Иконки на рабочем столе отсутствуют. При запуске dolphin выскакивают ошибки (см вложение dolphin) Ожидаемый результат: Успешный вход без ошибок, dolphin работает корректно. Доп: Ошибка возникает только на kwork, независимо от display-manager (проверял на sddm - результат аналогичный). На workstation 10.2 ошибка не возникает, вход работает корректно. Видимо проблема в каком-то компоненте kde, однако каком именно точно сказать не могу, прошу перевесить на соответствующий компонент при необходимости.
Created attachment 15942 [details] dophin
(Ответ для Nikolai Zurabishvili на комментарий #17) > Стенды (обновлены до сизифа): > > Samba dc сервер > - Server 10.1 x86-64 > Клиент > - KWorkstation 10.2.1 x86-64 > > Шаги: > 1. Создать пользователя через admc или dc например # samba-tool user create > Г.В.Беличенко 123 у которого имя для входа: > - Начинается с заглавной буквы > - Длина больше 11 символов > > 2. Попытаться войти созданным пользователем в систему > > Фактический результат: При входе выскакивает ошибка "Ошибка создания > вспомогательного процесса ввода/вывода. Не удалось создать сокет для запуска > вспомогательного процесса ввода-вывода для протокола «tags»". Иконки на > рабочем столе отсутствуют. При запуске dolphin выскакивают ошибки (см > вложение dolphin) > > Ожидаемый результат: Успешный вход без ошибок, dolphin работает корректно. > > Доп: Ошибка возникает только на kwork, независимо от display-manager > (проверял на sddm - результат аналогичный). На workstation 10.2 ошибка не > возникает, вход работает корректно. Видимо проблема в каком-то компоненте > kde, однако каком именно точно сказать не могу, прошу перевесить на > соответствующий компонент при необходимости. Доп: Ошибка возникает также если использовать длинное имя пользователя и вводить его вместе с домменым суфиксом например - newusersssseranother@bugsamba.testdomain
Проверил воспроизведение ошибки на (обновлены до сизифа): - Education 10.2 KDE x86-64 - Education 10.2 x86-64 На Education 10.2 с xfce выскакивает окно XFCE PolicyKit Agent (см вложение xfce-edu). При это переменная XDG_RUNTIME_DIR пустая: при открытии chromium через терминал появляется ошибка error: XDG_RUNTIME_DIR is invalid or not set in the environment. На Education 10.2 KDE x86-64 поведение аналогично kworkstation 10.2.1
Created attachment 15945 [details] xfce-edu
