После ввода компьютера в домен, нельзя зайти в графику любым пользователем freeipa. Пишет сообщение: "Неверный пароль, попробуйте ввести еще раз". в journalctl следующие сообщения: дек 20 17:45:28 comp1.snowmix1.test lightdm[6981]: pam_sss(lightdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost= user=ipatest дек 20 17:45:28 comp1.snowmix1.test lightdm[6981]: pam_sss(lightdm:auth): received for user ipatest: 4 (Системная ошибка) дек 20 17:45:28 comp1.snowmix1.test audit[6981]: USER_AUTH pid=6981 uid=0 auid=4294967295 ses=4294967295 msg='op=PAM:authentication grantors=? acct="ipatest" exe="/usr/sbin/lightdm" hostname=? addr=? terminal=:0 res=failed' дек 20 17:45:28 comp1.snowmix1.test lightdm[6981]: gkr-pam: no password is available for user дек 20 17:45:28 comp1.snowmix1.test lightdm[7299]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "ipatest" После рестарта lightdm, можно войти в систему.
Воспроизводится и на p10, проверено на клиент/сервер server-p10/server-p10. Версия: lightdm-1.30.0-alt20 freeipa-client-4.9.7-alt1 Также даёт поменять пароль (если пароль необходимо поменять при первом запуске), затем аналогично "Неверный пароль"
Если помогает рестарт именно lightdm, то проблема в этом компоненте. Согласно документации https://docs.altlinux.org/ru-RU/alt-server/10.1/html/alt-server/ch47s03s02.html после ввода машины в домен требуется ребут. Допускаю, что этот пункт появился из-за подобной проблемы.
Шаги для воспроизведения ошибки: 1. Развернуть сервер FreeIPA, создать пользователя "tester" на https://ipa.example.test/ipa/ui/ 2. Ввести клиента в домен FreeIPA (через alterator/консоль, не принципиально), НЕ выполнять перезагрузку после этого 3. Завершить сеанс пользователя - переключить пользователя 4. Учётная запись - "tester" 5. Ввести пароль от пользователя "tester" (т.к. пароль expired, то нужно сразу задать новый пароль новый, но эта опция не влияет на воспроизводимость бага) 6. Вводишь пароль - "Неправильный пароль" Т.к. ошибка воспроизводится только до выполнения перезагрузки после ввода клиента в домен, закрываю как "not a bug" Также в документации нет примечания о необходимости перезагрузки после ввода в домен для консольной версии (ошибка будет заведена на документацию)