54753 2025-06-09 18:51:47 +0300 При 2ФА kscreenlocker не работает с sssd и токенами 2026-05-18 18:38:15 +0300 1 1 4 Development Sisyphus pam-config unstable x86_64 Linux ASSIGNED P5 normal --- 1 bk ldv boot.efi cas eltsovga ldv manowar mcpain placeholder rider shevchenkodyu sin yarra zerg qa-sisyphus oldest_to_newest 266907 0 bk 2025-06-09 18:51:47 +0300 Модуль pam для kscreenlocker (/etc/pam.d/kde) из коробки настроен на работу с system-auth-multi: # cat /etc/pam.d/kde #%PAM-1.0 auth sufficient pam_succeed_if.so user ingroup nopasswdlogin auth include system-auth-multi system-auth-multi не пересекается с sssd: # cat /etc/pam.d/system-auth-multi | rg ^-?auth auth [success=4 default=ignore] pam_tcb.so shadow fork nullok auth requisite pam_succeed_if.so uid >= 500 quiet -auth [success=2 default=ignore] pam_krb5.so use_first_pass -auth [success=1 default=ignore] pam_ldap.so use_first_pass auth required pam_deny.so auth required pam_permit.so Следовательно, настройки доменной 2ФА, которые сделаны в sssd.conf для pam_sss (/etc/pam.d/system-auth), kscreenlocker не видит и работать с токенами не может. Воркэраунд: заменить в /etc/pam.d/kde auth include system-auth-multi на auth include system-auth Более подробно - https://my.basealt.space/issues/180768. 266938 1 zerg 2025-06-10 11:02:56 +0300 В kscreenlocker /etc/pam.d/kde-smartcard работает с токенами. Получается, только sss не рабочий? 266946 2 bk 2025-06-10 11:58:08 +0300 (Ответ для Sergey V Turchin на комментарий #1) > В kscreenlocker /etc/pam.d/kde-smartcard работает с токенами. > Получается, только sss не рабочий? На мой взгляд проблема не касается конкретно sss. Основной файл аутентификации у нас это /etc/pam.d/system-auth, который отражает текущие настройки для аутентификации в системе в целом. А /etc/pam.d/system-auth-multi это какая-то отдельная подсистема, которая не привязана к системным настройкам и пытается лихорадочно хоть где-нибудь проскочить (pam_tcb.so, pam_krb5.so, pam_ldap.so). И если pam_tcb.so отработает успешно, по причине настройки на этапе установки ОС, то krb5 и ldap никак не настроены и смысла в них нет. 269480 3 zerg 2025-07-20 15:14:00 +0300 Кажется, system-auth-multi был выбран нарочно. 274581 4 zerg 2025-10-15 12:27:43 +0300 (Ответ для Sergey V Turchin на комментарий #3) > Кажется, system-auth-multi был выбран нарочно. Возможно, это обсуждали mcpain@ и rider@ . 274584 5 rider 2025-10-15 12:32:55 +0300 у kscreenlocker другая схема работы, надо просто посмотреть Олегу что там не так. Простая замена system-auth-multi на system-auth может сломать что-то другое 274594 6 zerg 2025-10-15 13:24:19 +0300 (Ответ для Anton Farygin на комментарий #5) > у kscreenlocker другая схема работы AFAIR вы обсуждали, что её надо похерить, что и было сделано https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;a=blob;f=alt-disable-noninteractive.patch , т.е. теперь он использует один pam-файл для всего. 280432 7 mcpain 2026-01-19 14:12:05 +0300 (In reply to Sergey V Turchin from comment #6) > (Ответ для Anton Farygin на комментарий #5) > > у kscreenlocker другая схема работы > AFAIR вы обсуждали, что её надо похерить, что и было сделано > https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git; > a=blob;f=alt-disable-noninteractive.patch > , т.е. теперь он использует один pam-файл для всего. Этот патч оторван: https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;a=blob;f=kscreenlocker.spec;h=902535603ca381d48c4ab8438442c13b6bfa44f0;hb=61aa1c60d4ead7c196a2a9c49b301fb1af4817b1#l100 280435 8 mcpain 2026-01-19 14:46:18 +0300 (In reply to Anton Farygin from comment #5) > у kscreenlocker другая схема работы, надо просто посмотреть Олегу что там не > так. > > Простая замена system-auth-multi на system-auth может сломать что-то другое 1) kde-smartcard и kde-fingerprint вынесены в отдельные сервисы, чтобы kscreenlocker обрабатывал их независимо друг от друга и они оба неинтерактивные. 2) system-auth может быть изменён через control(1) Насколько я помню, kscreenlocker ломается, если в system-auth попадает что-то неинтерактивное, поэтому используется system-auth-multi, включающий в себя pam_krb5 и pam_ldap. Здесь явно указано, почему не стоит использовать system-auth: https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;a=commit;h=c1e936777ceffe1f7a905363da64faa66132da6f Дальнейшие коммиты показывают замену system-auth-common на system-auth-multi и я могу только предположить: чтобы сохранить возможность входа по паролю для доменного пользователя. 280437 9 rider 2026-01-19 15:00:43 +0300 ну вот у меня сейчас в kscreenlocker отпечаток пальца работает через раз. 280839 10 zerg 2026-01-25 17:30:15 +0300 *** Bug 57640 has been marked as a duplicate of this bug. *** 280843 11 yarra 2026-01-25 18:22:25 +0300 У меня после установки Альт Рабочая Станция К 11.2 не работает авторизация для LDAP-пользователя через kscreenlocker, но работает через lightdm. По совету отсюда через control поменял system-auth с sss на multi. После этого перестала работать авторизация доменного пользователя в lightdm и через ssh. 287310 12 sin 2026-05-13 21:37:44 +0300 По-моему, указывать следует system-auth, а control выбирает нужный. Какое поведение реашает текущий вариант, кроме того, что отламывает работу sssd? Позволяет включать вход по смарт-картам для локальных пользователей? Предлагаю тогда сделать решение более гибким. 287326 13 zerg 2026-05-14 10:45:20 +0300 (Ответ для Evgeny Sinelnikov на комментарий #12) > По-моему, указывать следует system-auth, а control выбирает нужный. Какое > поведение реашает текущий вариант, кроме того, что отламывает работу sssd? system-auth-multi что-то отламывает, его следует починить. > Предлагаю тогда сделать решение более гибким. Сделайте, конечно! Нужно, чтобы одновременно работал палец, смарткарта и доменная авторизация. 287730 14 rider 2026-05-18 18:38:15 +0300 (Ответ для Evgeny Sinelnikov на комментарий #12) > По-моему, указывать следует system-auth, а control выбирает нужный. Какое > поведение реашает текущий вариант, кроме того, что отламывает работу sssd? > > Позволяет включать вход по смарт-картам для локальных пользователей? > > Предлагаю тогда сделать решение более гибким. мне нужна единая точка включения авторизации по отпечатку пальца, например. Сейчас это работает странно.