Bug 40185 - Не удается войти пользователем ALT-домена
Summary: Не удается войти пользователем ALT-домена
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-net-domain (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2021-06-08 12:08 MSK by Nikita Obukhov
Modified: 2022-03-10 17:36 MSK (History)
8 users (show)

See Also:

Attachments
login_error (1.22 KB, application/octet-stream)
2021-06-08 12:08 MSK, Nikita Obukhov 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Nikita Obukhov 2021-06-08 12:08:47 MSK 
Created attachment 9410 [details]
login_error

Как воспроизвести:

Настроить ALT-домен
На сервере:(alt-server-9.1-x86_64)
1. В браузере перейти по адресу https://serv-ip:8080, открыть вкладку "Домен", выбрать тип домена - "ALT-домен", ввести имя домена (например, alt.dom) и нажать применить.

2. Создание пользователя:
Отркыть вкладку "Пользователи", нажать кнопку "Выбор источника", в качестве источника выбрать "База LDAP на этом сервере" - применить. Затем создаём нового пользователя с паролем.

Настройка клиента:
1. Установить пакеты sssd-ldap sssd-krb5 task-auth-ldap-sssd
2. Отредактировать файл /etc/resolvconf.conf: 

Добавить строки:

name_servers=<server ip>

search_domains="<domain name>"

3. Выполнить:
# resolvconf -u

Ввод клиента в домен (пробовал на alt-workstation-9.1 и alt-kworkstation-9.1):

1. Запустить # acc
2. Открыть вкладку "Аутентификация"
3. Выбрать тип домена "Домен ALT Linux"
4. Ввести имя домена
5. Нажать применить
6. Перезагрузить систему

После перезагрузки войти в систему под доменным пользователем, созданным на первом шаге.

Ожидаемый результат:
Успешный вход.
Реальный результат:
Вход не выполнен.

Вывод system-auth status:
krb5 dc=nickf,dc=altdom ldaps://ldap.nickf.altdom

Вывод journalctl на клиенте при попытке входа (во вложении login_error)
Comment 1 Andrey Cherepanov 2021-06-08 13:10:43 MSK 
Почему аутентификация не через alterator-auth?
Comment 2 Sergey Novikov 2021-06-08 13:18:53 MSK 
(Ответ для Andrey Cherepanov на комментарий #1)
> Почему аутентификация не через alterator-auth?

А это разве не оно?
Ввод клиента в домен (пробовал на alt-workstation-9.1 и alt-kworkstation-9.1):
1. Запустить # acc
2. Открыть вкладку "Аутентификация"
3. Выбрать тип домена "Домен ALT Linux"
4. Ввести имя домена
5. Нажать применить
6. Перезагрузить систему
Comment 3 Andrey Cherepanov 2021-06-08 13:58:32 MSK 
(Ответ для Sergey Novikov на комментарий #2)
> (Ответ для Andrey Cherepanov на комментарий #1)
> > Почему аутентификация не через alterator-auth?
> 
> А это разве не оно?
> Ввод клиента в домен (пробовал на alt-workstation-9.1 и
> alt-kworkstation-9.1):
> 1. Запустить # acc
> 2. Открыть вкладку "Аутентификация"
> 3. Выбрать тип домена "Домен ALT Linux"
> 4. Ввести имя домена
> 5. Нажать применить
> 6. Перезагрузить систему

Оно. Смутили танцы с resolvconf. Выводы:
Для Альт-домена нужна пачка installer-features. Поэтому создавать нужно ТОЛЬКО при выбранном профиле домена. Доустановка пакетов потом домен не создаст.

Вложение бесполезно практически полностью. Нужно сначала смотреть диагностику на сервере в alterator-net-domain, проверять на клиенте получение билета Kerberos, сверять время и хосты, поднимать откладку sssd до 4-6 и анализировать /var/log/sssd/*.
Comment 4 Sergey V Turchin 2022-03-10 16:28:32 MSK 
А на 10-й версии тоже нигде не работает?
Comment 5 Nikita Obukhov 2022-03-10 17:36:09 MSK 
(Ответ для Sergey V Turchin на комментарий #4)
> А на 10-й версии тоже нигде не работает?

Удалось войти на workstation-10 и на kworkstation-10.
В качестве сервера использовал alt-server-10.0-86_64

Настройку сервера и клиентов выполнил в изолированной сети.