34010 2017-10-13 17:46:17 +0300 Не подключаются группы Active Directory 2022-06-06 01:38:43 +0300 1 1 3 Distributions Альт Рабочая станция Ошибки работы 8.1 x86_64 Linux REOPENED P3 normal --- 1 pavel_sharapov mike lav nfsmobile pavel_sharapov sem sin qa-p8 oldest_to_newest 166326 0 pavel_sharapov 2017-10-13 17:46:17 +0300 Добавляю в AD компьютер следующей строкой: ``` system-auth write ad domain.name host workgroup username password ``` После пары перезагрузок захожу под доменным пользователем и вижу только локальные группы: ``` id uid=xxxxxxxxxx(pavel_sharapov) gid=xxxxxxxxxx(domain users) группы=xxxxxxxxxx(domain users),14(uucp),19(proc),22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),467(fuse),470(video),481(camera),498(xgrp),499(scanner) ``` Список установленных пакетов: alterator-auth-0.35-alt0.M80P.1 sssd-krb5-common-1.15.3-alt1.M80P.1 sssd-pac-1.15.3-alt1.M80P.1 sssd-ad-1.15.3-alt1.M80P.1 sssd-1.15.3-alt1.M80P.1 task-auth-ad-sssd-0.35-alt0.M80P.1 sssd-client-1.15.3-alt1.M80P.1 166343 1 pavel_sharapov 2017-10-16 08:41:16 +0300 Группы появились после выполнения следующих операций: systemctl stop sssd sed -i -- 's/\[SUCCESS\=merge\]//g' /etc/nsswitch.conf rm -f /var/lib/sss/db/* rm -f /var/lib/sss/mc/* systemctl start sssd 166501 2 lav 2017-10-24 04:03:26 +0300 (В ответ на комментарий №1) > Группы появились после выполнения следующих операций: > > systemctl stop sssd > sed -i -- 's/\[SUCCESS\=merge\]//g' /etc/nsswitch.conf > rm -f /var/lib/sss/db/* > rm -f /var/lib/sss/mc/* > systemctl start sssd Уже нельзя понять, то ли надо было просто # sss_cache -E то ли sssd был не запущен. Но проблемы нет. 166516 3 pavel_sharapov 2017-10-24 12:34:17 +0300 (В ответ на комментарий №2) > (В ответ на комментарий №1) > > Группы появились после выполнения следующих операций: > > > > systemctl stop sssd > > sed -i -- 's/\[SUCCESS\=merge\]//g' /etc/nsswitch.conf > > rm -f /var/lib/sss/db/* > > rm -f /var/lib/sss/mc/* > > systemctl start sssd > Уже нельзя понять, то ли надо было просто > # sss_cache -E > то ли sssd был не запущен. > > Но проблемы нет. sssd включил сразу после ввода в домен командой (как указано в заявке https://bugzilla.altlinux.org/show_bug.cgi?id=34011): systemctl enable sssd Затем нужно пару раз перезагрузить компьютер, ну или перезапустить sssd и перелогиниться. Вывод команды id, когда группы не отваливаются, должен быть таким: id uid=xxxxxxxxxx(pavel_sharapov) gid=xxxxxxxxxx(domain users) группы=xxxxxxxxxx(domain users),xxxxxxxxxx(ad_group1),xxxxxxxxxx(ad_group2),xxxxxxxxxx(ad_group3),...,14(uucp),19(proc),22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),467(fuse),470(video),481(camera),498(xgrp),499(scanner) 166520 4 pavel_sharapov 2017-10-24 13:53:20 +0300 Ошибка воспроизводится с учетом комментария 3. 166521 5 lav 2017-10-24 14:12:16 +0300 (В ответ на комментарий №4) > Ошибка воспроизводится с учетом комментария 3. То есть вы повторили её ещё раз, с чистого листа? 166522 6 pavel_sharapov 2017-10-24 14:42:05 +0300 (В ответ на комментарий №5) > (В ответ на комментарий №4) > > Ошибка воспроизводится с учетом комментария 3. > То есть вы повторили её ещё раз, с чистого листа? Да, сейчас проверил на системе, установленной и обновленной 19.10.2017. 166585 7 sin 2017-10-26 12:46:01 +0300 Нужно включить логи и приложить. Желательно статически, чтобы было видно до момента проявления проблемы и после. https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/SSSD-Troubleshooting.html In versions of SSSD older than 1.8, debug log levels could be set globally in the [sssd] section. Now, each domain and service must configure its own debug log level. Вариантов в новой версии два: - указать в каждой секции debug_level = 4 - выполнить sss_debuglevel 4 [root@tor sssd]# cd /var/log/sssd/ [root@tor sssd]# tail -f sssd_ sssd_DARKMASTERSIN.NET.log sssd_nss.log sssd_pam.log [root@tor sssd]# tail -f sssd_DARKMASTERSIN.NET.log (Thu Oct 26 06:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 07:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 08:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 09:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 10:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 11:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 12:01:01 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 12:33:24 2017) [sssd[be[DARKMASTERSIN.NET]]] [get_initgr_groups_process] (0x0100): User [sin] appears to be member of 31 groups (Thu Oct 26 12:33:30 2017) [sssd[be[DARKMASTERSIN.NET]]] [handle_getpw_result] (0x0080): User not found. (Thu Oct 26 12:38:09 2017) [sssd[be[DARKMASTERSIN.NET]]] [server_common_rotate_logs] (0x0010): Debug level changed to 0x00f0 ^Z [1]+ Stopped tail -f sssd_DARKMASTERSIN.NET.log [root@tor sssd]# bg [1]+ tail -f sssd_DARKMASTERSIN.NET.log & [root@tor sssd]# sss_debuglevel 4 (Thu Oct 26 12:43:50 2017) [sssd[be[DARKMASTERSIN.NET]]] [server_common_rotate_logs] (0x0010): Debug level changed to 0x01f0 166588 8 sin 2017-10-26 13:30:28 +0300 Логи можно не делать - я воспроизвёл проблему в сизифе. Действительно - проблема в настройках NSS. Так не работает: group: files [SUCCESS=merge] sss role Так работает: group: files sss role 167496 9 sem 2017-11-27 17:00:16 +0300 Проблема все еще присутствует в p8? 167503 10 pavel_sharapov 2017-11-27 18:45:14 +0300 (In reply to comment #9) > Проблема все еще присутствует в p8? Группы по-прежнему пропадают, но теперь sssd запускается автоматически, т.е. исправлена проблема 34011. Установленные пакеты: alterator-auth-0.35-alt0.M80P.1 task-auth-ad-sssd-0.35-alt0.M80P.1 sssd-pac-1.15.3-alt5.M80P.1.1 sssd-client-1.15.3-alt5.M80P.1.1 sssd-krb5-common-1.15.3-alt5.M80P.1.1 sssd-ad-1.15.3-alt5.M80P.1.1 sssd-1.15.3-alt5.M80P.1.1 167538 11 pavel_sharapov 2017-11-28 11:59:57 +0300 (In reply to comment #9) > Проблема все еще присутствует в p8? Обновился до сизифа - не помогло alterator-auth-0.35-alt1 211451 12 nfsmobile 2022-06-05 19:48:46 +0300 Привет из 2022 alt k10 вводится в домен через alterator, с этим проблем не замечено 211456 13 sin 2022-06-06 01:38:43 +0300 (Ответ для Evgeny Sinelnikov на комментарий #8) > Логи можно не делать - я воспроизвёл проблему в сизифе. Действительно - > проблема в настройках NSS. > > Так не работает: > group: files [SUCCESS=merge] sss role > > Так работает: > group: files sss role Нужно определится со смыслом этой настройки: SUCCESS=merge