Bug 35435

Summary:

system-auth write ad: SSSD не применяет групповые политики

Product:

Sisyphus

Reporter:

Alexey Sheplyakov <asheplyakov>

Component:

alterator-auth

Assignee:

Anton V. Boyarshinov <boyarsh>

Status:

CLOSED FIXED

QA Contact:

qa-sisyphus

Severity:

normal

Priority:

CC:

boyarsh, cas, sin

Version:

unstable

Hardware:

all

OS:

Linux

Attachments:

Description	Flags
патч	none

Description Alexey Sheplyakov 2018-09-25 15:19:21 MSK

Как воспроизвести

0) Развернуть AD домен foo.example (на samba или windows 2008 r2 или новее)
1) Создать доменного пользователя testuser
2) Определить групповую политику, запрещающую пользователю testuser входить удаленно, и применить ее ко всему домену
3) Ввести в домен клиентскую машину (с ALT):
   а) Установить ПО, необходимое для вхлда  в домен:

   sudo apt-get install -y samba-client task-auth-ad-sssd

   б) создать /etc/krb5.conf следующего вида:
    [libdefaults]
    dns_lookup_kdc = true
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = FOO.EXAMPLE

   в) создать /etc/samba/smb.conf следующего содержания:
   [global]
       security = ads
       realm = FOO.EXAMPLE
       workgroup = FOO
       netbios_name = CLIENT
       kerberos method = system keytab
       wins support = no
       idmap config * : range = 10000-20000000
       idmap config * : backend = tdb
   [homes]
       comment = Home Directories
       browseable = no
       writable = yes

  здесь CLIENT -- краткое имя клиентской машины в верхнем регистре

  г) выполнить команду

  sudo system-auth write ad FOO.EXAMPLE CLIENT FOO administrator $DOMAIN_ADMIN_PASSWORD

  здесь CLIENT -- краткое имя клиентской машины в верхнем регистре, $DOMAIN_ADMIN_PASSWORD -- пароль администратора домена

  д) перезапустить sssd

     sudo service sssd restart

4) проверить, что на клиентской машине работает nss:

   getent passwd testuser

   должно напечатать что-то вроде

   testuser:*:597601106:597600513:testuser:/home/FOO.EXAMPLE/testuser:/bin/bash

5) войти как testuser на клиентскую машину по ssh

   ssh testuser@client.foo.example


Ожидаемый результат

Отказано в доступе (в соответствии с групповой политикой).

Наблюдаемый результат

Пользователь testuser успешно входит по ssh на клиентскую машину.


Предполагаемая причина

В файле /etc/sssd/sssd.conf в секции [domain/FOO.EXAMPLE] не указано 'access_provider = ad'

Comment 1 Alexey Sheplyakov 2018-09-25 15:32:44 MSK

Created attachment 7777 [details]
патч

Comment 2 Alexey Sheplyakov 2018-10-03 17:33:55 MSK

task 214012 (http://git.altlinux.org/tasks/214012/logs/events.1.1.log)

Comment 3 Evgeny Sinelnikov 2018-10-24 18:23:31 MSK

Я подтвердил задание:
[sin@xpi samba.git]$ ssh girar task show 214012
id=214012 locked=no shared=no fail_early=no test_only=yes repo=sisyphus owner=asheplyakov state=EPERM try=1 iter=1
 100:dir=/people/asheplyakov/packages/alterator-auth.git
 100:tag_name=0.37-alt1
 100:tag_id=42ef05962831fd92d68886be55a2d45769651a21
 100:tag_author=Alexey Sheplyakov <asheplyakov@altlinux.org>
 100:fetched=2018-10-03T14:18:59
 100:userid=asheplyakov
 100:approved_by=sin 
 100:pkgname=alterator-auth

Comment 4 Andrey Cherepanov 2019-02-27 18:11:25 MSK

Исправлено в 0.37-alt1