35487 2018-10-08 15:06:39 +0300 Рабочая станция может не пустить пользователя из-за проблем с Kerberos 2022-12-16 22:11:52 +0300 1 1 4 Development Sisyphus alterator-auth unstable all Linux NEW P3 enhancement --- 1 master boyarsh boyarsh iv lav sin qa-sisyphus oldest_to_newest 174807 0 master 2018-10-08 15:06:39 +0300 Если перед настройкой на Active Directory менялось имя хоста (например, системный блок поставлялся с предустановленой системой) - пользователь домена аутентифицироваться не сможет, даже если все настройки указаны верно. journalctl показывает, как хост пытается получить билет по прежнему имени хоста, которое было до смены. А учётная запись хоста в домене создавалась уже на новое. Рабочая станция придёт в норму, если вручную удалить /etc/krb5.keytab и перезагрузиться - krb5.keytab при старте запишется заново на новое имя хоста. Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам. 175762 1 sin 2018-11-14 00:17:18 +0300 Очень странное описание. Я не могу его понять. У нас имеется проблема смены хоста для иксов. Если произошла смена хоста, то иксы, требуется перезагрузить. У винды похожее поведение - если на машине прозошла смена хоста, то требуется перезагрузка. krb5.keytab - это кеш с паролями для учётных записей, которые привязаны к имени хоста: [sin@tor ~]$ sudo klist -k [sudo] password for sin: Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 2 host/tor.darkmastersin.net@DARKMASTERSIN.NET 2 host/tor.darkmastersin.net@DARKMASTERSIN.NET 2 host/tor.darkmastersin.net@DARKMASTERSIN.NET 2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor@DARKMASTERSIN.NET 3 cifs/tor@DARKMASTERSIN.NET 3 cifs/tor@DARKMASTERSIN.NET 10 host/tor.darkmastersin.net@DARKMASTERSIN.NET 10 host/tor.darkmastersin.net@DARKMASTERSIN.NET 10 host/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET 4 cifs/tor@DARKMASTERSIN.NET 4 cifs/tor@DARKMASTERSIN.NET 4 cifs/tor@DARKMASTERSIN.NET Имя хоста нельзя просто так менять. Если произошла смена имени хоста, машину нужно перевводить в домен, что означает, по сути создание новых записей в krb5.keytab. Причём для этого требуются администраторские права в домене. Просто перезагрузки недостаточно. При этом, если у нас машина была в домене, то перевведение её в домен штатными внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не предусмотрено. 175846 2 iv 2018-11-16 09:28:26 +0300 > (например, системный блок поставлялся с предустановленой системой) Обычно в этой ситуации /etc/krb5.keytab отсутвует. Откуда он может взяться? > Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам. А какой был предыдущий вид аутентификации? 175848 3 master 2018-11-16 10:04:48 +0300 (В ответ на комментарий №2) > А какой был предыдущий вид аутентификации? Предположительно, Альт-домен. Затем тестируемый был некоторое время выключен. Затем подключение к домену Samba 4 и - отказ аутентификации. 175851 4 master 2018-11-16 11:14:17 +0300 (В ответ на комментарий №1) > Если произошла смена хоста, то иксы, требуется перезагрузить. > У винды похожее поведение - если на машине прозошла смена хоста, то требуется > перезагрузка. Разумеется. При смене реквизитов выходит сообщение о необходимости перезагрузки, и это правильно. И она производилась, полная перезагрузка, без положительного результата - о чём и бага. > При этом, если у нас машина была в домене, то перевведение её в домен штатными > внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не > предусмотрено. Понятно. Тогда предложение по улучшению: предусмотреть возможность перевведения в домен штатными внутренними средствами Альт, чтобы Альты по удобству использования были лучше прочих Linux-клиентов.