Bug 44699

Summary: Ломается вход по паролю после включения и отключения опции SMARTCARD_REQUIRED
Product: Branch p10 Reporter: Vera Blagoveschenskaya <vercha>
Component: sambaAssignee: Evgeny Sinelnikov <sin>
Status: CLOSED WORKSFORME QA Contact: qa-p10 <qa-p10>
Severity: normal    
Priority: P5 CC: eltsovga, novopoltsevdv, rodyginao
Version: не указана   
Hardware: x86_64   
OS: Linux   
See Also: https://bugzilla.altlinux.org/show_bug.cgi?id=51206

Description Vera Blagoveschenskaya 2022-12-21 15:06:15 MSK 
1) Настроить доменную двухфакторную аутентификацию (Samba-AD)
2) Проверить вход пользователем:
- с подключенным токеном = успешно, вход по pin от токена (в тестировании токен Рутокен ЭЦП2.0 3000)
- с отключенным токеном = успешно, вход по паролю
Оба результата корректны.
3) Включила пользователю опцию SMARTCARD_REQUIRED, что должно запретить вход без токена.
4) Проверила вход:
- с подключенным токеном = успешно, вход по pin от токену
- с отключенным токеном, вход не разрешен.
Оба результата корректны.
5) Отключить для пользователя опцию SMARTCARD_REQUIRED
6) Выполнить вход по токену и без токена (по паролю)

Результат: вход по токену выполняется успешно. Вход без токена по-прежнему невозможен.
Лог входа по паролю:
дек 21 12:07:30 work.test5.alt lightdm[6527]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "rt_smb" 
дек 21 12:07:30 work.test5.alt systemd[1]: Started PC/SC Smart Card Daemon.
дек 21 12:07:33 work.test5.alt krb5_child[6558]: Pre-authentication failed: Invalid argument
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt krb5_child[6560]: Preauthentication failed
дек 21 12:07:45 work.test5.alt lightdm[6527]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=rt_smb
дек 21 12:07:45 work.test5.alt lightdm[6527]: pam_sss(lightdm:auth): received for user rt_smb: 7 (Сбой при проверке подлинности)
дек 21 12:07:45 work.test5.alt lightdm[6527]: gkr-pam: no password is available for user
дек 21 12:07:46 work.test5.alt lightdm[6561]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "rt_smb" 
дек 21 12:07:48 work.test5.alt krb5_child[6587]: Pre-authentication failed: Invalid argument

Ожидаемый результат: После отключения опции SMARTCARD_REQUIRED ожидается, что вход по паролю будет возможен.

Дополнительно: для "починки" входа по паролю помогает сброс пароля.
Comment 1 Vera Blagoveschenskaya 2022-12-26 13:59:49 MSK 
Актуально для версий
admc-0.10.0-alt3
admc-0.11.0-alt1
Comment 2 Evgeny Sinelnikov 2022-12-26 14:21:51 MSK 
Очень похоже на ошибку обратного переключения. Чтобы исключить други варианты, требуется сделать проверку отключения через RSAT. Если поведение будет аналогичным, то дело не в admc, а в sssd.

Кстати, это, вообще может быть не ошибка, а настройка застрявшая в Кеше. Тогда она тоже будет воспроизводится через RSAT. Но, в этом случае, достаточно почистить кеш sssd.
Comment 3 Vera Blagoveschenskaya 2022-12-26 16:51:44 MSK 
(Ответ для Evgeny Sinelnikov на комментарий #2)
> Очень похоже на ошибку обратного переключения. Чтобы исключить други
> варианты, требуется сделать проверку отключения через RSAT. Если поведение
> будет аналогичным, то дело не в admc, а в sssd.
> 
> Кстати, это, вообще может быть не ошибка, а настройка застрявшая в Кеше.
> Тогда она тоже будет воспроизводится через RSAT. Но, в этом случае,
> достаточно почистить кеш sssd.

При выполнении данного теста я чистила кэш, это не помогало.
Comment 4 Evgeny Sinelnikov 2022-12-26 16:53:19 MSK 
(Ответ для Vera Blagoveschenskaya на комментарий #3)
...
> При выполнении данного теста я чистила кэш, это не помогало.

Нужно тогда проверить поведение при отключении данной опции через RSAT.
Comment 5 Алексей Родыгин 2023-10-05 09:52:41 MSK 
 
> Нужно тогда проверить поведение при отключении данной опции через RSAT.

В RSAT поведение аналогичное, после отключения функции вход по паролю ломается.
Comment 6 Новопольцев Дмитрий 2025-11-05 14:34:41 MSK 
Данная ошибка относится к Samba и ошибкой не является.
При установке флага SMARTCARD_REQUIRED пользователю сразу же меняется пароль на рандомную строку, из за чего даже после его снятия вход невозможен до смены пароля администратором.

Данное поведение для AD задокументировано в https://mskb.pkisolutions.com/kb/892424