#35802 – После ввода компьютера в домен, нельзя зайти пользователем freeipa

Bug 35802 - После ввода компьютера в домен, нельзя зайти пользователем freeipa

Summary: После ввода компьютера в домен, нельзя зайти пользователем freeipa

Status:	CLOSED NOTABUG

Alias:	None

Product:	Branch p10
Classification:	Unclassified
Component:	freeipa-client (show other bugs)
Version:	не указана
Hardware:	all Linux

Importance:	P3 normal
Assignee:	Stanislav Levin
QA Contact:	qa-p10@altlinux.org

URL:
Keywords:

Depends on:
Blocks:

Reported:	2018-12-20 17:58 MSK by Mikhail Chernonog
Modified:	2022-08-12 12:17 MSK (History)
CC List:	2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Mikhail Chernonog 2018-12-20 17:58:22 MSK

После ввода компьютера в домен, нельзя зайти в графику любым пользователем freeipa. Пишет сообщение: "Неверный пароль, попробуйте ввести еще раз".

в journalctl следующие сообщения:

дек 20 17:45:28 comp1.snowmix1.test lightdm[6981]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=ipatest
дек 20 17:45:28 comp1.snowmix1.test lightdm[6981]: pam_sss(lightdm:auth): received for user ipatest: 4 (Системная ошибка)
дек 20 17:45:28 comp1.snowmix1.test audit[6981]: USER_AUTH pid=6981 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication grantors=? acct="ipatest" exe="/usr/sbin/lightdm" hostname=? addr=? terminal=:0 res=failed'
дек 20 17:45:28 comp1.snowmix1.test lightdm[6981]: gkr-pam: no password is available for user
дек 20 17:45:28 comp1.snowmix1.test lightdm[7299]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "ipatest"

После рестарта lightdm, можно войти в систему.

Comment 1 Дорошенко Глеб 2022-08-10 18:24:44 MSK

Воспроизводится и на p10, проверено на 
клиент/сервер
server-p10/server-p10.

Версия:
lightdm-1.30.0-alt20
freeipa-client-4.9.7-alt1

Также даёт поменять пароль (если пароль необходимо поменять при первом запуске), затем аналогично "Неверный пароль"

Comment 2 Stanislav Levin 2022-08-11 20:15:16 MSK

Если помогает рестарт именно lightdm, то проблема в этом компоненте.

Согласно документации
https://docs.altlinux.org/ru-RU/alt-server/10.1/html/alt-server/ch47s03s02.html

после ввода машины в домен требуется ребут. Допускаю, что этот пункт появился из-за подобной проблемы.

Comment 3 Дорошенко Глеб 2022-08-12 12:16:59 MSK

Шаги для воспроизведения ошибки:

1. Развернуть сервер FreeIPA, создать пользователя "tester" на https://ipa.example.test/ipa/ui/
2. Ввести клиента в домен FreeIPA (через alterator/консоль, не принципиально), НЕ выполнять перезагрузку после этого
3. Завершить сеанс пользователя - переключить пользователя
4. Учётная запись - "tester"
5. Ввести пароль от пользователя "tester" (т.к. пароль expired, то нужно сразу задать новый пароль новый, но эта опция не влияет на воспроизводимость бага)
6. Вводишь пароль - "Неправильный пароль"

Т.к. ошибка воспроизводится только до выполнения перезагрузки после ввода клиента в домен, закрываю как "not a bug" 

Также в документации нет примечания о необходимости перезагрузки после ввода в домен для консольной версии (ошибка будет заведена на документацию)