Bug 35435 - system-auth write ad: SSSD не применяет групповые политики
Summary: system-auth write ad: SSSD не применяет групповые политики
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-auth (show other bugs)
Version: unstable
Hardware: all Linux
: P3 normal
Assignee: Anton V. Boyarshinov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2018-09-25 15:19 MSK by Alexey Sheplyakov
Modified: 2019-02-27 18:11 MSK (History)
3 users (show)

See Also:


Attachments
патч (1.04 KB, patch)
2018-09-25 15:32 MSK, Alexey Sheplyakov
no flags Details | Diff

Note You need to log in before you can comment on or make changes to this bug.
Description Alexey Sheplyakov 2018-09-25 15:19:21 MSK
Как воспроизвести

0) Развернуть AD домен foo.example (на samba или windows 2008 r2 или новее)
1) Создать доменного пользователя testuser
2) Определить групповую политику, запрещающую пользователю testuser входить удаленно, и применить ее ко всему домену
3) Ввести в домен клиентскую машину (с ALT):
   а) Установить ПО, необходимое для вхлда  в домен:

   sudo apt-get install -y samba-client task-auth-ad-sssd

   б) создать /etc/krb5.conf следующего вида:
    [libdefaults]
    dns_lookup_kdc = true
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = FOO.EXAMPLE

   в) создать /etc/samba/smb.conf следующего содержания:
   [global]
       security = ads
       realm = FOO.EXAMPLE
       workgroup = FOO
       netbios_name = CLIENT
       kerberos method = system keytab
       wins support = no
       idmap config * : range = 10000-20000000
       idmap config * : backend = tdb
   [homes]
       comment = Home Directories
       browseable = no
       writable = yes

  здесь CLIENT -- краткое имя клиентской машины в верхнем регистре

  г) выполнить команду

  sudo system-auth write ad FOO.EXAMPLE CLIENT FOO administrator $DOMAIN_ADMIN_PASSWORD

  здесь CLIENT -- краткое имя клиентской машины в верхнем регистре, $DOMAIN_ADMIN_PASSWORD -- пароль администратора домена

  д) перезапустить sssd

     sudo service sssd restart

4) проверить, что на клиентской машине работает nss:

   getent passwd testuser

   должно напечатать что-то вроде

   testuser:*:597601106:597600513:testuser:/home/FOO.EXAMPLE/testuser:/bin/bash

5) войти как testuser на клиентскую машину по ssh

   ssh testuser@client.foo.example


Ожидаемый результат

Отказано в доступе (в соответствии с групповой политикой).

Наблюдаемый результат

Пользователь testuser успешно входит по ssh на клиентскую машину.


Предполагаемая причина

В файле /etc/sssd/sssd.conf в секции [domain/FOO.EXAMPLE] не указано 'access_provider = ad'
Comment 1 Alexey Sheplyakov 2018-09-25 15:32:44 MSK
Created attachment 7777 [details]
патч
Comment 2 Alexey Sheplyakov 2018-10-03 17:33:55 MSK
task 214012 (http://git.altlinux.org/tasks/214012/logs/events.1.1.log)
Comment 3 Evgeny Sinelnikov 2018-10-24 18:23:31 MSK
Я подтвердил задание:
[sin@xpi samba.git]$ ssh girar task show 214012
id=214012 locked=no shared=no fail_early=no test_only=yes repo=sisyphus owner=asheplyakov state=EPERM try=1 iter=1
 100:dir=/people/asheplyakov/packages/alterator-auth.git
 100:tag_name=0.37-alt1
 100:tag_id=42ef05962831fd92d68886be55a2d45769651a21
 100:tag_author=Alexey Sheplyakov <asheplyakov@altlinux.org>
 100:fetched=2018-10-03T14:18:59
 100:userid=asheplyakov
 100:approved_by=sin 
 100:pkgname=alterator-auth
Comment 4 Andrey Cherepanov 2019-02-27 18:11:25 MSK
Исправлено в 0.37-alt1