#35435 – system-auth write ad: SSSD не применяет групповые политики

Bug 35435 - system-auth write ad: SSSD не применяет групповые политики

Summary: system-auth write ad: SSSD не применяет групповые политики

Status:	CLOSED FIXED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	alterator-auth (show other bugs)
Version:	unstable
Hardware:	all Linux

Importance:	P3 normal
Assignee:	Anton V. Boyarshinov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2018-09-25 15:19 MSK by Alexey Sheplyakov
Modified:	2019-02-27 18:11 MSK (History)
CC List:	3 users (show)

See Also:

Attachments
патч (1.04 KB, patch) 2018-09-25 15:32 MSK, Alexey Sheplyakov	no flags	Details \| Diff
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Alexey Sheplyakov 2018-09-25 15:19:21 MSK

Как воспроизвести

0) Развернуть AD домен foo.example (на samba или windows 2008 r2 или новее)
1) Создать доменного пользователя testuser
2) Определить групповую политику, запрещающую пользователю testuser входить удаленно, и применить ее ко всему домену
3) Ввести в домен клиентскую машину (с ALT):
   а) Установить ПО, необходимое для вхлда  в домен:

   sudo apt-get install -y samba-client task-auth-ad-sssd

   б) создать /etc/krb5.conf следующего вида:
    [libdefaults]
    dns_lookup_kdc = true
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    default_realm = FOO.EXAMPLE

   в) создать /etc/samba/smb.conf следующего содержания:
   [global]
       security = ads
       realm = FOO.EXAMPLE
       workgroup = FOO
       netbios_name = CLIENT
       kerberos method = system keytab
       wins support = no
       idmap config * : range = 10000-20000000
       idmap config * : backend = tdb
   [homes]
       comment = Home Directories
       browseable = no
       writable = yes

  здесь CLIENT -- краткое имя клиентской машины в верхнем регистре

  г) выполнить команду

  sudo system-auth write ad FOO.EXAMPLE CLIENT FOO administrator $DOMAIN_ADMIN_PASSWORD

  здесь CLIENT -- краткое имя клиентской машины в верхнем регистре, $DOMAIN_ADMIN_PASSWORD -- пароль администратора домена

  д) перезапустить sssd

     sudo service sssd restart

4) проверить, что на клиентской машине работает nss:

   getent passwd testuser

   должно напечатать что-то вроде

   testuser:*:597601106:597600513:testuser:/home/FOO.EXAMPLE/testuser:/bin/bash

5) войти как testuser на клиентскую машину по ssh

   ssh testuser@client.foo.example


Ожидаемый результат

Отказано в доступе (в соответствии с групповой политикой).

Наблюдаемый результат

Пользователь testuser успешно входит по ssh на клиентскую машину.


Предполагаемая причина

В файле /etc/sssd/sssd.conf в секции [domain/FOO.EXAMPLE] не указано 'access_provider = ad'

Comment 1 Alexey Sheplyakov 2018-09-25 15:32:44 MSK

Created attachment 7777 [details]
патч

Comment 2 Alexey Sheplyakov 2018-10-03 17:33:55 MSK

task 214012 (http://git.altlinux.org/tasks/214012/logs/events.1.1.log)

Comment 3 Evgeny Sinelnikov 2018-10-24 18:23:31 MSK

Я подтвердил задание:
[sin@xpi samba.git]$ ssh girar task show 214012
id=214012 locked=no shared=no fail_early=no test_only=yes repo=sisyphus owner=asheplyakov state=EPERM try=1 iter=1
 100:dir=/people/asheplyakov/packages/alterator-auth.git
 100:tag_name=0.37-alt1
 100:tag_id=42ef05962831fd92d68886be55a2d45769651a21
 100:tag_author=Alexey Sheplyakov <asheplyakov@altlinux.org>
 100:fetched=2018-10-03T14:18:59
 100:userid=asheplyakov
 100:approved_by=sin 
 100:pkgname=alterator-auth

Comment 4 Andrey Cherepanov 2019-02-27 18:11:25 MSK

Исправлено в 0.37-alt1