Summary: | Двойной запрос пароля для доменного пользователя с lightdm-kde-greeter | ||||||
---|---|---|---|---|---|---|---|
Product: | Branch p10 | Reporter: | Anton Shevtsov <shevtsov.anton> | ||||
Component: | sssd-client | Assignee: | Evgeny Sinelnikov <sin> | ||||
Status: | CLOSED FIXED | QA Contact: | qa-p10 <qa-p10> | ||||
Severity: | normal | ||||||
Priority: | P5 | CC: | amakeenk, asheplyakov, golubevan, iv, rider, shaba, shevtsov.anton, sin, slev, vercha, zerg | ||||
Version: | не указана | ||||||
Hardware: | x86_64 | ||||||
OS: | Linux | ||||||
Attachments: |
|
Description
Anton Shevtsov
2023-06-01 12:21:38 MSK
Аналогично, домен FreeIPA, пароль запрашивается два раза. Можно попробовать https://git.altlinux.org/tasks/322299/ (Ответ для Sergey V Turchin на комментарий #2) > Можно попробовать https://git.altlinux.org/tasks/322299/ Мне на виртуалке в Samba домене помогло. (Ответ для Alexander Makeenkov на комментарий #3) > (Ответ для Sergey V Turchin на комментарий #2) > > Можно попробовать https://git.altlinux.org/tasks/322299/ > Мне на виртуалке в Samba домене помогло. Тогда отправляю в p10. Created attachment 13395 [details] Патч для политики system-auth-sss-only.pam После некоторого дополнительного исследования, прояснилось, что pam-модуль pam_sss.so (из пакета sssd-client, отвечающий за аутентификацию доменного пользователя, по умолчанию не передаёт пароль последующим модулям, поэтому в pam_kwallet5.so приходит пустой пароль, и тот запрашивает пароль у пользователя (и происходит повторный ввод запрос). Судя по документации https://manpages.ubuntu.com/manpages/impish/man8/pam_sss.8.html можно попросить pam_sss передавать пароль дальше с помощью параметра forward_pass. Для этого можно изменить политику в соответствии с приложенным патчем. В sddm, видимо, имеется костыль, который незаметно для пользователя, повторно передаёт пароль модулю pam_kwallet5.so, поэтому там проблема не проявляется. (Ответ для Sergey V Turchin на комментарий #5) > https://git.altlinux.org/tasks/322299/ Переоткрываю, потому что в этом задании обнаружен регресс, и пока что оно не будет пропущено. (Ответ для Anton Golubev на комментарий #6) > Создано вложение 13395 [details] [подробности] > Патч для политики system-auth-sss-only.pam Т.е. костыль в pam_kwallet5.so лучше не делать? (In reply to Sergey V Turchin from comment #8) > Т.е. костыль в pam_kwallet5.so лучше не делать? в pam_kwallet5.so ничего не получится сделать, потому что туда просто не доходит пароль, и взять его уже неоткуда, (разве что попросить ещё раз у менеджера входа, как это и происходит, и если sddm (видимо) скрытно передаёт пароль повторно, то lighdm просто перенаправляет этот запрос пользователю) Перевешиваю на мейнтейнера sssd-client Нужно подумать как быть при обновлении. Сделаем control, если не найдется другого решения. (Ответ для Evgeny Sinelnikov на комментарий #11) > Нужно подумать как быть при обновлении. Сделаем control, если не найдется > другого решения. Дык, нашли же другое. См. прикреплённый патч. (Ответ для Evgeny Sinelnikov на комментарий #11) > Сделаем control Только не это! Предлагаю или не трогать или применить патч. Расшарил сборку #322299. Кто приложит патч? Я могу. Прошу пропустить build#322569 (Ответ для Sergey V Turchin на комментарий #15) > Прошу пропустить build#322569 Это в Сизиф. Дальше я сам. C версией lightdm-kde-greeter-0.4.11-alt1 пароль 2 раза не запрашивается. Исправлено в sssd-client-2.8.1-alt3 |