50085 2024-04-19 14:06:23 +0300 Не отображаются контакты в домене freeipa при указании dc ip + Kerberos(GSSAPI) 2025-08-29 12:32:18 +0300 1 1 4 Development Sisyphus thunderbird unstable x86_64 Linux CLOSED WONTFIX P5 normal --- 1 sokurov-mz rauty muhamadeevir rauty rider zerg zurabishvilinn qa-sisyphus oldest_to_newest 245026 0 sokurov-mz 2024-04-19 14:06:23 +0300 Здравствуйте! Для почтового клиента thunderbird мы использовали в DNS запись типа А (или CNAME) "LDAP" для гибкости, после недавних обновлений подключение с этими записями перестало работать, даже с указанием ip адреса не работает,хотя по dns имени ldap все пингуется, подключение теперь работает только с именами контроллера домена, подключение ldap проверили на windows, там таких проблем нет, все работает корректно, также работает корректно на одном хосте с альт который мы долго не обновляли. Подскажите пожалуйста, будет ли исправлена данная проблема? Бегать потом менять это все не хотелось бы, а DNS запись типа А и CNAME нужны нам для гибкости. 245231 1 sokurov-mz 2024-04-23 14:23:22 +0300 Обнаружили следующую закономерность при поиске контактов через LDAP, при использовании Kerberos(GSSAPI) нужно использовать конкретно одно из имен контроллеров домена, но если указать в качестве имени сервера DNS запись типа А (или CNAME) "LDAP", то необходимо указывать имя пользователя и пароль. Раньше все работало с DNS записями типа А (или CNAME) "LDAP" 248846 2 zurabishvilinn 2024-07-15 11:15:19 +0300 Опишите пожалуйста баг подробнее: - Образ на котором воспроизводится - Версия программы на которой воспроизводится ошибка - Необходимые шаги для воспроизведения ошибки - Фактический результат - Ожидаемый результат Вывод команд: ``` # uname -a # cat /etc/os-release # apt-repo ``` 248849 3 sokurov-mz 2024-07-15 11:48:56 +0300 (Ответ для Nikolai Zurabishvili на комментарий #2) > Опишите пожалуйста баг подробнее: > > - Образ на котором воспроизводится > - Версия программы на которой воспроизводится ошибка > - Необходимые шаги для воспроизведения ошибки > - Фактический результат > - Ожидаемый результат > > Вывод команд: > ``` > # uname -a > # cat /etc/os-release > # apt-repo > ``` [alt-user@alt-test ~]$ uname -a Linux alt-sokur.mrsk.kbf-mrsk-sk.ru 6.1.90-un-def-alt1 #1 SMP PREEMPT_DYNAMIC Thu May 16 14:20:50 UTC 2024 x86_64 GNU/Linux [alt-user@alt-test ~]$ cat /etc/os-release NAME="ALT" VERSION="10.3" ID=altlinux LOGO="basealt" VERSION_ID=10.3 PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)" ANSI_COLOR="1;33" CPE_NAME="cpe:/o:alt:kworkstation:10" BUILD_ID="ALT 10.3" ALT_BRANCH_ID="p10" HOME_URL="https://www.basealt.ru/" BUG_REPORT_URL="https://bugs.altlinux.org/" DOCUMENTATION_URL="https://docs.altlinux.org/" SUPPORT_URL="https://support.basealt.ru/" [alt-user@alt-test ~]$ apt-repo rpm http://localrepo/mirror p10/branch/x86_64 classic rpm http://localrepo/mirror p10/branch/noarch classic rpm ftp://localrepo/mirror alt-repo.r7-office.ru/r7/x86_64 r7 [alt-user@alt-test ~]$ Я немного оговорился, на Windows авторизация по учетным данным, но на alte авторизация с использованием A записи "LDAP" работало по kerberos и в один прекрасный момент перестало. Дополнительно к сведению, у нас локальные репозитории развернуты, которые обновляются ежедневно ночью. 248971 4 zurabishvilinn 2024-07-17 14:44:35 +0300 (Ответ для Murat на комментарий #3) > (Ответ для Nikolai Zurabishvili на комментарий #2) > > Опишите пожалуйста баг подробнее: > > > > - Образ на котором воспроизводится > > - Версия программы на которой воспроизводится ошибка > > - Необходимые шаги для воспроизведения ошибки > > - Фактический результат > > - Ожидаемый результат > > > > Вывод команд: > > ``` > > # uname -a > > # cat /etc/os-release > > # apt-repo > > ``` > > [alt-user@alt-test ~]$ uname -a > Linux alt-sokur.mrsk.kbf-mrsk-sk.ru 6.1.90-un-def-alt1 #1 SMP > PREEMPT_DYNAMIC Thu May 16 14:20:50 UTC 2024 x86_64 GNU/Linux > [alt-user@alt-test ~]$ cat /etc/os-release > NAME="ALT" > VERSION="10.3" > ID=altlinux > LOGO="basealt" > VERSION_ID=10.3 > PRETTY_NAME="ALT Workstation K 10.3 (Sorbaronia Mitschurinii)" > ANSI_COLOR="1;33" > CPE_NAME="cpe:/o:alt:kworkstation:10" > BUILD_ID="ALT 10.3" > ALT_BRANCH_ID="p10" > HOME_URL="https://www.basealt.ru/" > BUG_REPORT_URL="https://bugs.altlinux.org/" > DOCUMENTATION_URL="https://docs.altlinux.org/" > SUPPORT_URL="https://support.basealt.ru/" > [alt-user@alt-test ~]$ apt-repo > rpm http://localrepo/mirror p10/branch/x86_64 classic > rpm http://localrepo/mirror p10/branch/noarch classic > rpm ftp://localrepo/mirror alt-repo.r7-office.ru/r7/x86_64 r7 > [alt-user@alt-test ~]$ > > Я немного оговорился, на Windows авторизация по учетным данным, но на alte > авторизация с использованием A записи "LDAP" работало по kerberos и в один > прекрасный момент перестало. Дополнительно к сведению, у нас локальные > репозитории развернуты, которые обновляются ежедневно ночью. Вы не указали шаги для воспроизведения ошибки, без них я не могу подтвердить наличия конкретной ошибки в thunderbird-е 248974 5 sokurov-mz 2024-07-17 15:02:09 +0300 Хост заведен в домен Настройка адресной книги когда в имени сервера указывается любой из контроллеров домена например "DC01" и во вкладке Дополнительно Способ аутентификации "Kerberos(GSSAPI)", адресная книга доступна, если в имени сервера меняю контроллер домена на запись А "LDAP" адресная книга недоступна. Записи А "LDAP" сопоставляем любой адрес из действующих контроллеров домена. Не знаю как по другому объяснить 249330 6 zurabishvilinn 2024-07-26 14:54:32 +0300 (Ответ для Murat на комментарий #5) > Хост заведен в домен > Настройка адресной книги > когда в имени сервера указывается любой из контроллеров домена например > "DC01" > и во вкладке Дополнительно Способ аутентификации "Kerberos(GSSAPI)", > адресная книга доступна, если в имени сервера меняю контроллер домена на > запись А "LDAP" адресная книга недоступна. > > Записи А "LDAP" сопоставляем любой адрес из действующих контроллеров домена. > > Не знаю как по другому объяснить Как поднимали домен ? Укажите конкретно по шагам, как добавляете адресную книгу в thunderbird 249331 7 sokurov-mz 2024-07-26 15:17:55 +0300 Домен был поднят давно, до того как я устроился больше 10 лет назад, остальное расписано выше. 249387 8 zurabishvilinn 2024-07-29 11:10:31 +0300 Не удалось воспроизвести ошибку 249388 9 sokurov-mz 2024-07-29 11:14:53 +0300 У вас проходит авторизация по kerberos указав любой ip адрес из действующих контроллеров домена для записи A "LDAP"? 249390 10 sokurov-mz 2024-07-29 11:16:39 +0300 (Ответ для Murat на комментарий #9) > У вас проходит авторизация по kerberos указав любой ip адрес из действующих > контроллеров домена для записи A "LDAP"? точнее не авторизация, а возможность просмотра адресной книги 249862 11 zurabishvilinn 2024-08-08 10:43:23 +0300 thunderbird-128.1.0-alt1 freeipa-4.11.2-alt2 Стенды (обновлены до p10): Workstation 10.2 x86-64 - client Server 10.2 office x86-64 - dc Предусловия: Развернут freeipa домен, клиент введен в домен Шаги: 1. На клиенте войти в систему доменным пользователем. Открыть thunderbird, перейти в Инструменты -> Адресная книга -> Создать новую адресную книгу -> Добавить адресную книгу LDAP 2. Заполнить поля: Название - любое Имя сервера - ip контроллера домена Порт - 389 (оставить по умолчанию) Base DN - в соответствии с dc Bind DN - в соответствии с доменным пользователем 3. Перейти во вкладку Дополнительно -> Способ аутентификации -> Kerberos (GSSAPI) 4. Нажать ОК 5. В поле поиска созданной адресной книги ввести . или имя любого доменного пользователя (При запросе пароля ввести пароль текущего доменного пользователя) Ожидаемый результат: Контакты отображаются Фактический результат: Контакты не найдены Доп: При выборе Способа аутентификации - "Простой" контакты корректно отображаются, как и при выборе Kerberos (GSSAPI) и вводе в поле "Имя сервера" хостнейма сервера вместо ip 249870 12 sokurov-mz 2024-08-08 11:03:40 +0300 > Имя сервера - ip контроллера домена Вот тут мы хотели бы использовать DNS запись типа А "LDAP" сопоставленный с IP адресом одного из контроллеров домена, это бы давало возможность поменять IP адрес в случае выхода из строя назначенного для записи А "LDAP" при выходе его из строя и использовать Способ аутентификации -> Kerberos (GSSAPI) 251389 13 rauty 2024-09-09 11:11:09 +0300 Вышла новая версия thunderbird 128.2.0, прошу проверить с ней. 251394 14 sokurov-mz 2024-09-09 11:50:00 +0300 Добрый день! Пока нет в репозиториях, может вы отдельно его откуда-то берете? Может ссылку на rpm пока дадите для теста? 251398 15 rauty 2024-09-09 12:25:00 +0300 Уже в sisyphus. 251400 16 sokurov-mz 2024-09-09 12:39:12 +0300 Странно, но вижу пока только 115.9.0 251401 17 rauty 2024-09-09 12:40:22 +0300 Вы точно на sisyphus? Не на p11 или p10? 251402 18 sokurov-mz 2024-09-09 12:41:52 +0300 P10 251403 19 rauty 2024-09-09 12:43:14 +0300 Прошу Николая проверить на sisyphus. 251440 20 sokurov-mz 2024-09-10 11:29:39 +0300 Когда в p10 ожидать? 253792 21 sokurov-mz 2024-11-01 08:06:45 +0300 (Ответ для Ajrat Makhmutov на комментарий #13) > Вышла новая версия thunderbird 128.2.0, прошу проверить с ней. Добавьте хотя бы его в репозиторий его если есть такая возможность! 253817 22 rauty 2024-11-01 13:15:59 +0300 Я не могу ответить на вопрос. Дело в том, что для того, чтобы пакет отправился в стабильный репозиторий нужно отсутствие регрессий. В текущем состоянии 128-ой версии оно есть: #51595 Николай, прошу проверить на sisyphus, тогда будем отправлять несмотря на небольшую регрессию. 253818 23 sokurov-mz 2024-11-01 13:19:40 +0300 Может вы сможете проверить у себя, осталась проблема или нет? Если осталась, тогда смыла нет 253890 24 zurabishvilinn 2024-11-02 11:44:09 +0300 Проверил версию thunderbird-128.4.0-alt1.x86_64 в сизифе Ошибка все еще воспроизводится по шагам из https://bugzilla.altlinux.org/show_bug.cgi?id=50085#c11 253910 25 rauty 2024-11-02 15:23:53 +0300 (Ответ для Murat на комментарий #0) > CNAME) "LDAP" для гибкости, после недавних обновлений подключение с этими > записями перестало работать Регрессия появилась после обновления с 102 версии до 115? 254069 26 sokurov-mz 2024-11-07 13:15:56 +0300 Еще заметил следующее, не могу установить расширение из самого thunderbird когда через прокси настроено, чтобы установить открываю ссылку https://addons.thunderbird.net/ru/thunderbird/ в браузере, скачиваю и через шестеренку ставлю из файла. Браузер ссылку открывает нормально через прокси 254080 27 rider 2024-11-07 14:01:31 +0300 (In reply to Murat from comment #26) > Еще заметил следующее, не могу установить расширение из самого thunderbird > когда через прокси настроено, чтобы установить открываю ссылку > https://addons.thunderbird.net/ru/thunderbird/ в браузере, скачиваю и через > шестеренку ставлю из файла. Браузер ссылку открывает нормально через прокси А зачем вы пишете это в этой ошибке ? Если считаете что есть какая-то другая, то вам нужно её зарегистрировать как новую. 261779 28 sokurov-mz 2025-03-25 15:34:37 +0300 Случайно не отключали "Сервис службы именования LDAP-клиента"? При проверке обнаружил следующее [root@alt-test]# systemctl status nslcd.service Unit nslcd.service could not be found. или это ни с этим связано? 271617 29 zerg 2025-08-29 11:33:55 +0300 (Ответ для Nikolai Zurabishvili на комментарий #11) > Имя сервера - ip контроллера домена Так не бывает. 271621 30 sokurov-mz 2025-08-29 11:40:33 +0300 Могу наглядно продемонстрировать, сможете yandex телемост организовать? (Ответ для Sergey V Turchin на комментарий #29) > (Ответ для Nikolai Zurabishvili на комментарий #11) > > Имя сервера - ip контроллера домена > Так не бывает. Могу наглядно продемонстрировать, сможете yandex телемост организовать? 271622 31 rider 2025-08-29 11:42:10 +0300 (In reply to Murat from comment #30) > Могу наглядно продемонстрировать, сможете yandex телемост организовать? > (Ответ для Sergey V Turchin на комментарий #29) > > (Ответ для Nikolai Zurabishvili на комментарий #11) > > > Имя сервера - ip контроллера домена > > Так не бывает. > > Могу наглядно продемонстрировать, сможете yandex телемост организовать? Мурат, вам нужно обратиться в поддержку вашего продукта. 271623 32 sokurov-mz 2025-08-29 11:51:54 +0300 Наверное тогда правильнее написать, что Thunderbird сторонний пакет, а нето, что такое не бывает. Изначально просто все работало нормально. 271626 33 muhamadeevir 2025-08-29 12:00:18 +0300 (Ответ для Murat на комментарий #32) Сам kerberos не выдает тикеты доступа по ip, попробуйте получить билет напрямую из консоли: kinit -S ldap/<ip севера>@YOUR.REALM <username> если завершается с ошибкой - kerberos не дал билет, если завершилось без ошибки: klist -f и пришлите результат 271629 34 sokurov-mz 2025-08-29 12:29:47 +0300 С получением билета проблем нет, Настройки> Параметры учетной записи> составление и адресация> изменить сервер каталогов> изменить, тут работает с kerberos если в поле Имя сервера указано именно dns имя сервера т.е. dc01 или dc02, не работает если указываются ip адреса контроллеров домена или созданному узлу A (ldap) которому сопоставляется один из ip адресов контроллеров домена, узел А для гибкости, на случай если один из контроллеров домена выходит из сторя. Дальше только yandex телемост если вы заинтересованы, если нет закрывайте.