Bug 51367 - Не применяются ограничения группы Protected Users
Summary: Не применяются ограничения группы Protected Users
Status: CLOSED WORKSFORME
Alias: None
Product: Branch p10
Classification: Unclassified
Component: sssd-ad (show other bugs)
Version: не указана
Hardware: x86_64 Linux
: P5 normal
Assignee: qa-team@altlinux.org
QA Contact: qa-p10@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-09-02 15:45 MSK by Дмитрий
Modified: 2024-09-18 17:28 MSK (History)
2 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Дмитрий 2024-09-02 15:45:47 MSK 
Конфигурация стенда:

DC - AltServer 10.2 p10 x86_64, Samba DC 4.19.6
Клиент - AltWorkstation 10.2 p10 x86_64, sssd 2.9.4

Не отрабатывает ограничение для группы Protected Users в AD на запрет кэширования учётных данных.
В конфиге sssd на клиенте настройки для домена следующие:

id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
cache_credentials = true
ad_gpo_ignore_unreadable = true
ad_gpo_access_control = enforcing
ad_update_samba_machine_account_password = true

При входе пользователем из группы защищённых пользователей срок билета устанавливается в 4 часа, как и должно быть. Но учётные данные пользователя сохраняются в кэше sssd и при отсутствии связи с КД вход по кэшированным данным остаётся возможен. Согласно функционалу этой группы в MS AD - кэширование выполняться не должно, даже если оно включено для всех по умолчанию. 
Возможность входа по кэшу сохраняется как после просто завершения сеанса, так и после перезагрузки клиента.
Comment 1 Nikolai Zurabishvili 2024-09-03 15:50:25 MSK 
Здравствуйте, можете пожалуйста уточнить необходимые конкретные шаги для воспроизведения данной ошибки, фактический результат и ожидаемый результат