Bug 32848

Summary: Невозможно запустить службу sssd
Product: Sisyphus Reporter: Andrey Cherepanov <cas>
Component: sssdAssignee: Evgeny Sinelnikov <sin>
Status: CLOSED DUPLICATE QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: aen, asheplyakov, boyarsh, iv, sem, shaba, sin, slev
Version: unstable   
Hardware: all   
OS: Linux   

Description Andrey Cherepanov 2016-12-05 19:14:50 MSK 
При запуске службы sssd ругается, что не может прочитать файл /etc/sssd/sssd.conf, просит сделать владельцем root.root (у файла владелец _sssd._sssd) и дать права владельцу только для чтения.
Comment 1 Evgeny Sinelnikov 2016-12-05 20:09:27 MSK 
Да, такая проблема была замечена.

Честно говоря, я решил, что это странность настройки, поскольку наткнулся на недавний коммит:

commit 17b066098acdba6b250bf06b0ef5d4638f215f98
Author: Alexey Shabalin <shaba@altlinux.org>
Date:   Tue Nov 8 21:26:51 2016 +0300

    - user _sssd owner of sssd.conf
    - disable migrate owner files
Comment 2 Evgeny Sinelnikov 2016-12-05 21:27:56 MSK 
Вообще, оно в коде гвоздями прибито:

int sss_ini_config_access_check(struct sss_ini_initdata *init_data)
{
#ifdef HAVE_LIBINI_CONFIG_V1
    return ini_config_access_check(init_data->file,
                                   INI_ACCESS_CHECK_MODE |
                                   INI_ACCESS_CHECK_UID |
                                   INI_ACCESS_CHECK_GID,
                                   0, /* owned by root */
                                   0, /* owned by root */
                                   S_IRUSR, /* r**------ */
                                   ALLPERMS & ~(S_IWUSR|S_IXUSR));
#else
    return EOK;
#endif
}

Так что ошибка такого вида будет неизбежна:
(Mon Dec  5 20:48:44:935964 2016) [sssd] [confdb_init_db] (0x0020): Permission check on config file failed.
(Mon Dec  5 20:48:44:936522 2016) [sssd] [confdb_setup] (0x0010): ConfDB initialization has failed [1]: Operation not permitted
(Mon Dec  5 20:48:44:936742 2016) [sssd] [load_configuration] (0x0010): Unable to setup ConfDB [1]: Operation not permitted
(Mon Dec  5 20:48:44:936934 2016) [sssd] [main] (0x0020): Cannot read config file /etc/sssd/sssd.conf. Please check that the file is accessible only by the owner and owned by root.root.
Comment 3 Evgeny Sinelnikov 2016-12-05 21:39:57 MSK 
Проблема теперь ещё и в том, что, если при установке текущего релиза файл sssd.conf будет изменён, то после обновления права на него не будут поправлены до необходимых root:root.
Comment 4 AEN 2016-12-05 21:44:27 MSK 
2sin@: shaba@ сейчас может быть недоступен, так что решайте проблему сами. Она наверняка всплывала в районе https://fedorahosted.org/sssd/
Comment 5 Evgeny Sinelnikov 2016-12-06 02:14:54 MSK 
Судя по их спеку, у них вообще нет выделенного пользователя для этого сервиса - всё под рутом (видимо, на selinux надеются). Опция --with-sssd-user=%sssd_user у них не задана.

Но, в нашем случае, всё не так сложно. Тестовая сборка уже ушла в сизиф. Я её ещё раз проверю и отправлю в p8.
Comment 6 Mikhail Efremov 2016-12-06 10:38:36 MSK 
.

*** This bug has been marked as a duplicate of bug 32727 ***