Bug 43109

Summary: Альт Сервер 10 отваливается от домена
Product: Branch p10 Reporter: kl0p <maloff.d>
Component: sambaAssignee: qa-team <qa-team>
Status: CLOSED WORKSFORME QA Contact: qa-p10 <qa-p10>
Severity: normal    
Priority: P5 CC: aen, alimektor, cavetroll, liannnix, sin
Version: не указана   
Hardware: x86_64   
OS: Linux   

Description kl0p 2022-06-29 20:12:28 MSK 
Имею Альт Сервер 10 в качестве члена домена под управлением Windows Server 2008R2. В домен сервер вводил через Центр управления системой - Аутентификация. Примерно через месяц после ввода в домен началось "отваливание" Альт Сервера от домена со следующим сообщением в логе:

ldap_child[49602]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Preauthentication failed. Unable to create GSSAPI-encrypted LDAP connection.

после чего сервер невозможен доступ доменных пользователей (логин в ssh/xrdp, открытие общего каталога). Проблему решает вывод и последующий ввод в домен. Через сутки ситуация повторяется, опять то же сообщение и опять решение через вывод и ввод в домен.

Проблему вижу в том, что номера KVNO в krb5.keytab на линуксе и на контроллере домена разные, на линуксе klist -tke сообщает, что с каждым выводом-вводом в домен KVNO увеличивается и сейчас достиг 9, а команда kvno -S host dc.domain.local сообщает, что на сервере KVNO=122. На линуксе активны sssd и smbd (расшарен каталог).

Вопросы обычные, русские: кто виноват и что делать?
Comment 1 Evgeny Sinelnikov 2022-09-26 20:10:20 MSK 
Одну из таких проблем мы исправили в alterator-auth-0.43.13-alt1:
https://git.altlinux.org/gears/a/alterator-auth.git?p=alterator-auth.git;a=commitdiff;h=6998fb705c666636de5ac9f8e94a73159cd151d0

В smb.conf доабвлена опция:
       machine password timeout = 0

В sssd.conf:
       ad_update_samba_machine_account_password = true

Если эти опции отсутствуют, то при устаревании пароля за его обновление идёт гонка между sssd и winbind. Плюс в системе должен быть установлен adcli.

Далее есть множество закрытых CVE, которые могут влиять при не синхронном обновлении серверов и клиентов.
Comment 2 Илья Демьянов 2022-12-06 09:22:36 MSK 
Подтверждаю - почти после каждой перезагрузки перестает авторизовывать, пока не перезаведешь в домен.

> rpm -q samba sssd 
>samba-4.16.6-alt2.x86_64
>sssd-2.8.1-alt1.x86_64

Опции 
>machine password timeout = 0
и 
>
ad_update_samba_machine_account_password = true

в конфигах есть, adcli установлен.
Comment 3 Evgeny Shesteperov 2023-04-07 12:58:19 MSK 
Добрый день!

Пожалуйста, дополнительно предоставьте следующую информацию:

1. Операционная система, версия, на которой воспроизвелась ошибка.
2. Выводы следующих команд:

        $ uname -a
        $ cat /etc/os-release
        $ apt-repo

3. Обновлена ли система до текущего состояния репозитория?
4. Укажите настройки сервера, которые вы считаете необходимы для воспроизведения данной ошибки.
5. Укажите необходимые шаги воспроизведения.


Пока создал стенд для наблюдения:

- ALT Server 10.1 (в качестве клиента)
- Windows Server 2008R2 (в качестве сервера)
Comment 4 Evgeny Shesteperov 2023-05-01 09:22:59 MSK 
С момента создания стенда (2023-04-07, Комментарий 3) ошибки не обнаружено.