Bug 55376 - samba: Исчезли некоторые команды `net ads keytab` => `system-auth write ad ... --netbiosname=...`: `Invalid command: net ads keytab add`
Summary: samba: Исчезли некоторые команды `net ads keytab` => `system-auth write ad .....
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-auth (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Andrey Limachko
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2025-07-28 13:59 MSK by Artem Varaksa
Modified: 2025-08-08 21:18 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Artem Varaksa 2025-07-28 13:59:07 MSK 
Шаги
====

1. Развернуть Samba DC (ALT Server 11.0 x86_64).

2. Ввести в домен клиента, используя команду вида:

# system-auth write ad "SAMBA.TESTDOMAIN" "long-client-hostname" "SAMBA" "Administrator" "Pa##word" --netbiosname=shortname


Фактический результат
=====================

> Using short domain name -- SAMBA
> Joined 'SHORTNAME' to dns domain 'samba.testdomain'
> Registering SPN host/long-client-hostname for object SHORTNAME
> Updated object
> Registering SPN restrictedkrbhost/long-client-hostname for object SHORTNAME
> Updated object
> Invalid command: net ads keytab add
> Usage:
> net ads keytab create          Create (sync) a fresh keytab
> net ads keytab flush           Remove all keytab entries
> net ads keytab list            List a keytab
> Invalid command: net ads keytab add
> Usage:
> net ads keytab create          Create (sync) a fresh keytab
> net ads keytab flush           Remove all keytab entries
> net ads keytab list            List a keytab


Ожидаемый результат
===================

Успешное выполнение команды.


Дополнительно
=============

p11:

> # net ads keytab --help
> Usage:
> net ads keytab add
>     Add a service principal, updates keytab file only.
> net ads keytab delete
>     Remove entries for service principal, from the keytab file only.
> net ads keytab add_update_ads
>     Add a service principal, depending on the param passed may update ADS computer object in addition to the keytab file.
> net ads keytab create
>     Create a fresh keytab or update existing one.
> net ads keytab flush
>     Remove all keytab entries
> net ads keytab list
>     List a keytab


p11+387440.6 / sisyphus:

> # net ads keytab --help
> Usage:
> net ads keytab create
>     Create (sync) a fresh keytab or update existing one (see also smb.conf 'sync machine password to keytab'.
> net ads keytab flush
>     Remove all keytab entries
> net ads keytab list
>     List a keytab

(Упоминается новая опция 'sync machine password to keytab', см. https://bugzilla.altlinux.org/55111 -> https://bugzilla.samba.org/show_bug.cgi?id=15886 - но в этом случае команда запускается на клиенте, а не на контроллере домена.)

Воспроизводимость
=================

Воспроизводится на виртуальных машинах:

[sisyphus]
samba-4.21.7-alt3.x86_64
alterator-auth-0.45-alt1.x86_64

[p11+387440.6]
samba-4.21.7-alt3.x86_64
alterator-auth-0.45-alt1.x86_64


Не воспроизводится на виртуальных машинах:

[p11]
samba-4.20.8-alt2.x86_64
alterator-auth-0.45-alt1.x86_64
Comment 1 Evgeny Sinelnikov 2025-07-29 10:27:04 MSK 
По сути, исправлять нужно alterator-auth.

Механизмы в модуле "net ads keytab" существенно переработаны.
Устаревший функционал удалён.
Comment 2 Artem Varaksa 2025-08-04 15:32:16 MSK 
Дополнительно: в `man net` указано, как заменить с помощью опции `sync machine password to keytab`.
Comment 3 Repository Robot 2025-08-08 21:18:12 MSK 
alterator-auth-0.46-alt1 -> sisyphus:

Thu Aug 07 2025 Andrey Limachko <liannnix@altlinux> 0.46-alt1
- system-auth: ad: backup secrets.tdb before joining AD domain
- system-auth: ad: replace SPN registrations with keytab regeneration
  for Samba 4.21+ compatibility (Closes: #55376)