Bug 45827

Summary:

Не работает фильтр применения групповых политик для системных пользователей с uid < 500

Product:

Branch p10

Reporter:

Osmolovskaya Anastasia <osmolovskayaaa>

Component:

gpupdate

Assignee:

Valery Sinelnikov <greh>

Status:

NEW ---

QA Contact:

qa-p10 <qa-p10>

Severity:

normal

Priority:

Version:

не указана

Hardware:

x86_64

OS:

Linux

Attachments:

Description	Flags
Фильтр пользователей с системными идентификаторами	none

Description Osmolovskaya Anastasia 2023-04-11 15:58:04 MSK

Created attachment 12934 [details]
Фильтр пользователей с системными идентификаторами

Проверялось в p10 - ошибка воспроизводится

Версия пакета:
gpupdate-0.9.12.2-alt2

Тестовые стенда:
Alt Workstation K 10.1 x86-64 (клиент)
Alt Workstation 10.1 x86-64 (клиент)
Alt Education/Education-kde 10.1 x86-64 (клиент)
Alt Server 10.1 x86-64 (сервер домена)

Шаги для воспроизведения:
1. Создать локального пользователь с uid < 500: 
# useradd test2
# usermod -u 401 test2

2. Войти в систему доменным пользователем и получить билет
$ kinit Administrator 

3. Включить групповые политики:
Запустить admc -> Объекты групповой политики -> создать подразделение ou -> переместить в него тестируемый пк -> создать политику и свзять с этим подразделением -> Изменить... 

Для этого подразделения в gpui-main включить следующие политики:

* Безопасность - Разрешение для /bin/su - Включить - Любой пользователь может запускать /bin/su
 
* Групповые политики - Групповые политики для локальных пользователей - Применять для локальных пользователей - Включить

* Групповые политики - Групповые политики для локальных пользователей - Фильтровать пользователей с системными идентификаторами - Включить (см. описание политики на скриншоте во вложении) 

4. Получить и применить обновления групповых политик для текущей машины
# gpupdate
# gpoa --loglevel 0

5. Перезагрузить систему. Проверить статус 
# control  gpupdate-system-uids status
(ожидается enabled)

6. Зайти локальным пользователем test2 (uid <500). Проверить работу групповых политик - попробовать запустить /bin/su

Ожидаемые результат: групповые политики не применяются для системных пользователей. Пользователь test2 с uid <500 не должен иметь возможность запускать /bin/su

Реальный результат: групповые политики применяются для пользователей с uid < 500. Не работает фильтр для пользователей с системными идентификаторами


Дополнительно: на данный момент нет возможности проверить воспроизведение данного бага в Sisyphus из-за ошибки при попытке выполнить # gpupdate 

"2023-04-11 15:33:57.970|[E00007]| Unable to initialize Samba backend|{'error': '(sqlite3.OperationalError) unknown database "Engine(sqlite:////var/cache/gpupdate/registry.sqlite)"\n[SQL: \nCREATE TABLE "Engine(sqlite:////var/cache/gpupdate/registry.sqlite)".info (\n\tid INTEGER NOT NULL, \n\tname VARCHAR(65536), \n\tvalue VARCHAR(65536), \n\tPRIMARY KEY (id), \n\tUNIQUE (name)\n)\n\n]\n(Background on this error at: https://sqlalche.me/e/20/e3q8)'}"

Похожая проблема встречается в https://bugzilla.altlinux.org/39588