Bug 40185

Summary:

Не удается войти пользователем ALT-домена

Product:

Sisyphus

Reporter:

Nikita Obukhov <nickf>

Component:

alterator-net-domain

Assignee:

Mikhail Efremov <sem>

Status:

NEW ---

QA Contact:

qa-sisyphus

Severity:

normal

Priority:

CC:

aen, boyarsh, cas, rider, sem, snowmix, sotor, zerg

Version:

unstable

Hardware:

x86_64

OS:

Linux

Attachments:

Description	Flags
login_error	none

Description Nikita Obukhov 2021-06-08 12:08:47 MSK

Created attachment 9410 [details]
login_error

Как воспроизвести:

Настроить ALT-домен
На сервере:(alt-server-9.1-x86_64)
1. В браузере перейти по адресу https://serv-ip:8080, открыть вкладку "Домен", выбрать тип домена - "ALT-домен", ввести имя домена (например, alt.dom) и нажать применить.

2. Создание пользователя:
Отркыть вкладку "Пользователи", нажать кнопку "Выбор источника", в качестве источника выбрать "База LDAP на этом сервере" - применить. Затем создаём нового пользователя с паролем.

Настройка клиента:
1. Установить пакеты sssd-ldap sssd-krb5 task-auth-ldap-sssd
2. Отредактировать файл /etc/resolvconf.conf: 

Добавить строки:

name_servers=<server ip>

search_domains="<domain name>"

3. Выполнить:
# resolvconf -u

Ввод клиента в домен (пробовал на alt-workstation-9.1 и alt-kworkstation-9.1):

1. Запустить # acc
2. Открыть вкладку "Аутентификация"
3. Выбрать тип домена "Домен ALT Linux"
4. Ввести имя домена
5. Нажать применить
6. Перезагрузить систему

После перезагрузки войти в систему под доменным пользователем, созданным на первом шаге.

Ожидаемый результат:
Успешный вход.
Реальный результат:
Вход не выполнен.

Вывод system-auth status:
krb5 dc=nickf,dc=altdom ldaps://ldap.nickf.altdom

Вывод journalctl на клиенте при попытке входа (во вложении login_error)

Comment 1 Andrey Cherepanov 2021-06-08 13:10:43 MSK

Почему аутентификация не через alterator-auth?

Comment 2 Sergey Novikov 2021-06-08 13:18:53 MSK

(Ответ для Andrey Cherepanov на комментарий #1)
> Почему аутентификация не через alterator-auth?

А это разве не оно?
Ввод клиента в домен (пробовал на alt-workstation-9.1 и alt-kworkstation-9.1):
1. Запустить # acc
2. Открыть вкладку "Аутентификация"
3. Выбрать тип домена "Домен ALT Linux"
4. Ввести имя домена
5. Нажать применить
6. Перезагрузить систему

Comment 3 Andrey Cherepanov 2021-06-08 13:58:32 MSK

(Ответ для Sergey Novikov на комментарий #2)
> (Ответ для Andrey Cherepanov на комментарий #1)
> > Почему аутентификация не через alterator-auth?
> 
> А это разве не оно?
> Ввод клиента в домен (пробовал на alt-workstation-9.1 и
> alt-kworkstation-9.1):
> 1. Запустить # acc
> 2. Открыть вкладку "Аутентификация"
> 3. Выбрать тип домена "Домен ALT Linux"
> 4. Ввести имя домена
> 5. Нажать применить
> 6. Перезагрузить систему

Оно. Смутили танцы с resolvconf. Выводы:
Для Альт-домена нужна пачка installer-features. Поэтому создавать нужно ТОЛЬКО при выбранном профиле домена. Доустановка пакетов потом домен не создаст.

Вложение бесполезно практически полностью. Нужно сначала смотреть диагностику на сервере в alterator-net-domain, проверять на клиенте получение билета Kerberos, сверять время и хосты, поднимать откладку sssd до 4-6 и анализировать /var/log/sssd/*.

Comment 4 Sergey V Turchin 2022-03-10 16:28:32 MSK

А на 10-й версии тоже нигде не работает?

Comment 5 Nikita Obukhov 2022-03-10 17:36:09 MSK

(Ответ для Sergey V Turchin на комментарий #4)
> А на 10-й версии тоже нигде не работает?

Удалось войти на workstation-10 и на kworkstation-10.
В качестве сервера использовал alt-server-10.0-86_64

Настройку сервера и клиентов выполнил в изолированной сети.