Bug 33659

Summary: Совместимость пакетов task-samba-dc и sssd-ad
Product: Branch p8 Reporter: Ildar <zakiev>
Component: task-samba-dcAssignee: Evgeny Sinelnikov <sin>
Status: ASSIGNED --- QA Contact: qa-p8 <qa-p8>
Severity: normal    
Priority: P3 CC: cas
Version: не указана   
Hardware: all   
OS: Linux   

Description Ildar 2017-07-17 17:27:49 MSK 
apt-repo list:
rpm [p8] http://ftp.altlinux.org/pub/distributions/ALTLinux p8/branch/x86_64 cla                         ssic
rpm [p8] http://ftp.altlinux.org/pub/distributions/ALTLinux p8/branch/x86_64-i58                         6 classic
rpm [p8] http://ftp.altlinux.org/pub/distributions/ALTLinux p8/branch/noarch cla                         ssic

При попытке установить sssd-ad на сервер с установленным task-samba-dc выходит ошибка:
>> The following packages have unmet dependencies:
>>   sssd-ad: Depends: sssd-pac (= 1.15.2-alt6.M80P.1)
>>            Depends: libndr-nbt.so.0()(64bit) (>= set:kjh47)
>>            Depends: libndr-nbt.so.0(NDR_NBT_0.0.1)(64bit)
>>            Depends: libndr.so.0()(64bit) (>= set:mhBUdv2oOockiJ4E4hZ4J4yxZfnv80HRK3yVYECl4rkeEso2MtZeptAfq)
>>            Depends: libsmbclient.so.0()(64bit) (>= set:lhKcveTdopqaZLpw5AZacPt3)
>>            Depends: libsmbclient.so.0(SMBCLIENT_0.1.0)(64bit)
>> E: Broken packages
Comment 1 Evgeny Sinelnikov 2017-07-18 01:49:08 MSK 
Да, это известная проблема sssd не устанавливается с пакетом samba-DC. Проблема в том, что пакеты samba и samba-DC предоставляют один и тот же, по разному собранный, функционал. При этом, традиционная сборка ориентирована на клиентскую сторону.

Серверная сторона собрана иначе - с другой библиотекой Kerberos (в реализации Heimdal, а не MIT). И вот буквально сейчас идёт тестирование samba-4.7.0rc2, в которой за долгие годы, наконец-то, эту проблему преодолдели.

При этом требуется новая версия MIT Kerberos krb5-1.15.1, в бранче p8 у нас 1.14.5. На контроллерах домена, видимо придётся пока держать winbind при всех его недостатках.

В пользу winbind для контроллеров домена (хотя я тут пока до конца не разобрался для чего это вообще нужно) необходим ещё и для поддержки так называемого secure channel. Об этом упоминал Александр Боковой, который сейчас работает в RedHat в нашей переписке в devel@ по поводу sssd и странно упакованной библиотеки libwbclient.
https://social.technet.microsoft.com/wiki/contents/articles/24644.detailed-concepts-secure-channel-explained.aspx

В общем, да, такая проблема имеется, но степень её актуальности в связи в необходимостью использовать winbind на контроллерах домена не высока.
Comment 2 Evgeny Sinelnikov 2017-07-18 10:36:31 MSK 
Да... припомнил. Итоговый вариант, который можно получить сейчас, если исправить эту багу выглядит так:
- на сервере (или клиенте, где необходим secure channel) запускается сразу две службы;
- winbind - для системных нужд AD;
- sssd - для авторизации и аутентификации в домене.

И вот этот вот режим сейчас недоступен на контроллерах доменов на базе пакета samba-DC. При этом winbind будет рпботать. Этот вариант плох тем, что трудно согласовать при sssd на клиентах и winbind на сервере одинаковое отображение SID'ов в UID'ы (если, например на контроллере домена делается общий каталог по поротоколу cifs). Поэтому проблему нужно решать.