Bug 41389

Summary: Невозможен вход доменного пользователя, созданного с использованием alterator-ldap / netcmdplus
Product: Sisyphus Reporter: Vera Blagoveschenskaya <vercha>
Component: alterator-ldap-usersAssignee: manowar <manowar>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: boyarsh, cas, manowar, sem
Version: unstable   
Hardware: x86_64   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=41391
https://bugzilla.altlinux.org/show_bug.cgi?id=41392
https://bugzilla.altlinux.org/show_bug.cgi?id=41514
Attachments:
Description Flags
screen
none
log
none
verchatestfix none

Description Vera Blagoveschenskaya 2021-11-19 16:05:54 MSK
Created attachment 9948 [details]
screen

Тестовый стенд: 
dc p10 server x86_64
client p10 workstation x86_64

[root@dc ~]# rpm -qa | grep alterator-ldap
alterator-ldap-groups-0.6.7-alt1.x86_64
alterator-ldap-users-0.8.5-alt2.x86_64

[root@dc ~]# rpm -qa | grep netcmdplus
python3-module-netcmdplus-0.1.2-alt1.noarch
netcmdplus-0.1.2-alt1.noarch

[root@dc ~]# rpm -qa | grep samba
samba-client-4.14.8-alt1.x86_64
samba-winbind-4.14.8-alt1.x86_64
samba-dc-common-4.14.8-alt1.noarch
samba-common-4.14.8-alt1.noarch
admx-samba-4.14.8-alt1.noarch
samba-libs-4.14.8-alt1.x86_64
samba-common-tools-4.14.8-alt1.x86_64
samba-winbind-clients-4.14.8-alt1.x86_64
python3-module-samba-4.14.8-alt1.x86_64
samba-common-client-4.14.8-alt1.noarch
samba-winbind-common-4.14.8-alt1.x86_64
samba-dc-libs-4.14.8-alt1.x86_64
samba-pidl-4.14.8-alt1.noarch
samba-dc-4.14.8-alt1.x86_64
samba-4.14.8-alt1.x86_64
samba-dc-client-4.14.8-alt1.x86_64
samba-common-libs-4.14.8-alt1.x86_64

1) Развернуть Samba домен, установить пакет netcmdplus, открыть web интерфейс альтератора. Открыть вкладку Пользователи, нажать Выбор источника, выбрать Samba ActiveDirectory и выбрать имя домена. Применить.
2) Создать нового пользователя usernetcmdplus1, задать ему пароль.
3) На сервере посмотреть список пользователей:
# samba-tool-plus user list
Ок, пользователь добавлен.
3) На клиенте попытаться войти под только что созданным пользователем.

Результат: Вход невозможен. Ошибка неверный пароль.

Ожидаемый результат: успешный вход доменным пользователем.

Дополнительно:
1) Если cоздать пользователя командой  
# samba-tool-plus user add test1, то вход также невозможен.
2) С заданием http://git.altlinux.org/tasks/288704/ починяется вход пользователя, созданного командой, но по-прежнему невозможен вход, если создавать пользователя через web-интерфейс.
3) Пробовала менять пароль 
# samba-tool-plus user setpassword test1
New Password: 
Retype Password: 
Changed password OK
После смены пароля вход также невозможен.

Чуть позже подготовлю стенд для воспроизведения проблемы.
Comment 1 Vera Blagoveschenskaya 2021-11-19 16:06:19 MSK
Created attachment 9949 [details]
log
Comment 2 Vera Blagoveschenskaya 2021-11-19 17:40:52 MSK
(Ответ для Vera Blagoveschenskaya на комментарий #0)
> Чуть позже подготовлю стенд для воспроизведения проблемы.

Стенд подготовлен, manowar@ отправлено письмо с описанием.
Comment 3 Vera Blagoveschenskaya 2021-11-25 17:34:09 MSK
(Ответ для Vera Blagoveschenskaya на комментарий #0)
> Дополнительно:
> 1) Если cоздать пользователя командой  
> # samba-tool-plus user add test1, то вход также невозможен.
> 2) С заданием http://git.altlinux.org/tasks/288704/ починяется вход
> пользователя, созданного командой, но по-прежнему невозможен вход, если
> создавать пользователя через web-интерфейс.

В подготовленном стенде была ошибка копипаста при указании домена, поэтому пользователь, созданный командой, не мог войти.
Переделала стенд.
Командой
# samba-tool-plus user add test1
создается пользователь, который входит успешно, 
НО 
пользователь, созданный через веб-альтератор, по-прежнему не может войти в домен.
Comment 4 manowar@altlinux.org 2021-12-01 18:06:22 MSK
http://git.altlinux.org/people/manowar/packages/?p=alterator-ldap-users.git;a=commitdiff;h=33e7dd43d8a4df1237789ecf6aabfd4535211984

На стенде уже поправлено — проверьте, если нетрудно.
Comment 5 Vera Blagoveschenskaya 2021-12-02 10:40:55 MSK
(Ответ для manowar@altlinux.org на комментарий #4)
> http://git.altlinux.org/people/manowar/packages/?p=alterator-ldap-users.git;
> a=commitdiff;h=33e7dd43d8a4df1237789ecf6aabfd4535211984
> 
> На стенде уже поправлено — проверьте, если нетрудно.

К сожалению, на предоставленных стендах (сервер, клиент) все осталось по прежнему.
1) Создала через netcmdplus (web-интерфейс) нового пользователя verchatestfix, с паролем Vercha123, попыталась войти на клиенте - результат Неверный пароль.

дек 02 10:37:05 iuse4ea4.test.alt lightdm[2878]: seat_get_string_property: assertion 'seat != NULL' failed
дек 02 10:37:12 iuse4ea4.test.alt chronyd[2977]: Selected source 10.88.7.1
дек 02 10:37:12 iuse4ea4.test.alt lightdm[3190]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "verchatestfix"
дек 02 10:37:18 iuse4ea4.test.alt krb5_child[3191]: Preauthentication failed
дек 02 10:37:18 iuse4ea4.test.alt krb5_child[3191]: Preauthentication failed
дек 02 10:37:18 iuse4ea4.test.alt krb5_child[3191]: Preauthentication failed
дек 02 10:37:18 iuse4ea4.test.alt lightdm[3190]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=verchatestfix
дек 02 10:37:18 iuse4ea4.test.alt audit[3190]: USER_AUTH pid=3190 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication grantors=? acct="verchatestfix" exe="/usr/sbin/lightdm" hostname=? addr=? terminal=:0 res=failed'
дек 02 10:37:18 iuse4ea4.test.alt audit[3190]: USER_LOGIN pid=3190 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct="verchatestfix" exe="/usr/sbin/lightdm" hostname=iuse4ea4.test.alt addr=? terminal=/dev/tty1 res=failed'
дек 02 10:37:18 iuse4ea4.test.alt kernel: kauditd_printk_skb: 14 callbacks suppressed
дек 02 10:37:18 iuse4ea4.test.alt kernel: audit: type=1100 audit(1638430638.075:110): pid=3190 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication grantors=? acct="verchatestfix" exe="/usr/sbin/lightdm" hostname=? addr=? terminal=:0 res=failed'
дек 02 10:37:18 iuse4ea4.test.alt kernel: audit: type=1112 audit(1638430638.075:111): pid=3190 uid=0 auid=4294967295 ses=4294967295 msg='op=login acct="verchatestfix" exe="/usr/sbin/lightdm" hostname=iuse4ea4.test.alt addr=? terminal=/dev/tty1 res=failed'
дек 02 10:37:18 iuse4ea4.test.alt lightdm[3190]: pam_sss(lightdm:auth): received for user verchatestfix: 7 (Сбой при проверке подлинности)
дек 02 10:37:18 iuse4ea4.test.alt lightdm[3190]: gkr-pam: no password is available for user
дек 02 10:37:18 iuse4ea4.test.alt lightdm[3192]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "verchatestfix"
дек 02 10:37:20 iuse4ea4.test.alt qemu-ga[2668]: info: guest-ping called


2) Создала второго пользователя командой 
# samba-tool-plus user create verchatestfix2
Пароль тот же 
--> Вход успешный
Comment 6 Vera Blagoveschenskaya 2021-12-02 10:41:38 MSK
Created attachment 10011 [details]
verchatestfix
Comment 7 manowar@altlinux.org 2021-12-02 11:31:40 MSK
> gkr-pam: no password is available for user

Может, ты на кнопочку "Сохранить параметры" не нажала?
Comment 8 Vera Blagoveschenskaya 2021-12-02 11:40:49 MSK
(Ответ для manowar@altlinux.org на комментарий #7)
> > gkr-pam: no password is available for user
> 
> Может, ты на кнопочку "Сохранить параметры" не нажала?

Нажала, конечно. Скриншот просто для демонстрации.
Comment 9 Vera Blagoveschenskaya 2021-12-02 12:03:35 MSK
Upd. 
Выполнила перезагрузку клиента, создала новых пользователей test1 и test2 через netcmdplus.
Вход успешный.
Comment 10 manowar@altlinux.org 2022-04-19 14:18:26 MSK
Давайте пока на Сизиф: там закроем, а потом уже в p10.
Comment 11 manowar@altlinux.org 2022-04-20 11:44:27 MSK
alterator-ldap-users 0.8.5-alt2 -> 0.8.6-alt2
 Tue Apr 19 2022 Paul Wolneykien <manowar@altlinux> 0.8.6-alt2
 - Switch to the branch's default version of Guile (guile-devel).
 Mon Dec 06 2021 Paul Wolneykien <manowar@altlinux> 0.8.6-alt1
 - Require alterator-fbi >= 5.49.3 for upload and UI fixes.
 - Hide the photo frame for AD (closes: 41391).
 - Fix current user selection in the user list.
 - Fix: Return error on trying to upload a photo for AD user.
 - Display the unset login shell as 'Default shell' (closes: 41389).