Bug 52692 - Не удаётся сменить пароль при входе в доверительном отношении Samba и Windows AD (Internal DNS, Winbind, Forest trust) при указании пользователя в виде winuser@winad
Summary: Не удаётся сменить пароль при входе в доверительном отношении Samba и Windows...
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: samba (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2025-01-14 14:23 MSK by Nikolai Zurabishvili
Modified: 2025-09-04 10:44 MSK (History)
3 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Nikolai Zurabishvili 2025-01-14 14:23:35 MSK 
samba-4.20.6-alt3

Стенды (обновлены до сизифа):

Workstation 10.4 x86-64 - client
Server 10.2 office x86-64 - dc

Windows Server 2012R2

Предусловия:

1. Домен Samba (предполагаемое имя домена: samba.testdomain):
сервер, настроенный с DNS бэкендом SAMBA_INTERNAL
клиент, введённый в домен с помощью Winbind
создан пользователь sambauser
2. Домен Windows AD (предполагаемое имя домена: winad.winaddomain):
сервер (например, на Windows Server 2012R2)
создан пользователь winuser
3. DNS сервер BIND

Настроить доверительные отношений Samba и Windows AD (SAMBA_INTERNAL DNS, Forest trust), например:
На dc
# kinit administrator

# samba-tool domain trust create winad.winaddomain --type=forest --direction=both --create-location=both -U Admin@WINAD.WINADDOMAIN
	
Сбросить пароль пользователя winuser (на Windows сервере открыть окно управления доменом -> Пользователи и компьютеры -> ПКМ на пользователе -> Свойства -> Учётная запись -> поставить галочку Требовать смены пароля при следующем входе).


Шаги:
1. Перезагрузить клиент и авторизоваться пользователем из Windows домена.
Логин вводить в виде winuser@winad или winuser@winad.winaddomain

2. Сменить пароль при запросе и войти в систему

Ожидаемый результат: Успешный вход в систему

Фактический результат: пароль не меняется и вход не происходит, появляется сообщение "Неверный пароль, попробуйте ввести ещё раз"

Доп: в логах LightDM: 
[+2853.91s] DEBUG: Session pid=2320: Authentication complete with return value 7: Сбой при проверке подлинности
[+2853.91s] DEBUG: Authenticate result for user winuser@winad.winaddomain: Сбой при проверке подлинности

Установка обновления на windows server 2012 не помогла: Обновление качества (только система безопасности) для систем Windows Server 2012 R2 на базе процессоров x64 (KB5004285), 07 2021г.
* https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004285

Аналогично воспроизводится в p10 при версии samba-4.19.9-alt3
Comment 1 kessys 2025-01-15 12:27:23 MSK 
Все логины с @ ведут себя неадекватно.
попробуйте это проделать просто с login.
И так как windbind позиционируется как средство для работы с многоадресностью доменами
то вот тут вопрос как иначе осуществляется переход между лесами.
А перехода та нет учитывается только лес в который введён подопечный пк.
Поэтому да работа с пользователем должна производиться посредством login.
Comment 2 Artem Varaksa 2025-09-04 10:44:31 MSK 
Ошибка актуальна для samba-4.21.7-alt4.x86_64.

В качестве workaround, если вводить в виде `WINAD\winuser`, пароль действительно меняется (на Windows Server 2012R2 установлено обновление KB5004285; см. https://bugzilla.altlinux.org/48450).

Также отмечу, что когда имя пользователя вводится в виде `winuser@winad`, LightDM в KDE и (предположительно - не показывает полное имя, но по поведению так же) GDM в GNOME запоминают его в виде `WINAD\winuser` (в XFCE имя пользователя не запоминается), т. е. при следующем входе (даже если, например, ввести неправильный пароль, из-за чего происходит возврат на поле ввода имени пользователя) будет предлагаться по умолчанию именно такой вариант, и соответственно смена пароля и вход сработают.