samba-4.20.6-alt3

Стенды (обновлены до сизифа):

Workstation 10.4 x86-64 - client
Server 10.2 office x86-64 - dc

Windows Server 2012R2

Предусловия:

1. Домен Samba (предполагаемое имя домена: samba.testdomain):
сервер, настроенный с DNS бэкендом SAMBA_INTERNAL
клиент, введённый в домен с помощью Winbind
создан пользователь sambauser
2. Домен Windows AD (предполагаемое имя домена: winad.winaddomain):
сервер (например, на Windows Server 2012R2)
создан пользователь winuser
3. DNS сервер BIND

Настроить доверительные отношений Samba и Windows AD (SAMBA_INTERNAL DNS, Forest trust), например:
На dc
# kinit administrator

# samba-tool domain trust create winad.winaddomain --type=forest --direction=both --create-location=both -U Admin@WINAD.WINADDOMAIN
	
Сбросить пароль пользователя winuser (на Windows сервере открыть окно управления доменом -> Пользователи и компьютеры -> ПКМ на пользователе -> Свойства -> Учётная запись -> поставить галочку Требовать смены пароля при следующем входе).


Шаги:
1. Перезагрузить клиент и авторизоваться пользователем из Windows домена.
Логин вводить в виде winuser@winad или winuser@winad.winaddomain

2. Сменить пароль при запросе и войти в систему

Ожидаемый результат: Успешный вход в систему

Фактический результат: пароль не меняется и вход не происходит, появляется сообщение "Неверный пароль, попробуйте ввести ещё раз"

Доп: в логах LightDM: 
[+2853.91s] DEBUG: Session pid=2320: Authentication complete with return value 7: Сбой при проверке подлинности
[+2853.91s] DEBUG: Authenticate result for user winuser@winad.winaddomain: Сбой при проверке подлинности

Установка обновления на windows server 2012 не помогла: Обновление качества (только система безопасности) для систем Windows Server 2012 R2 на базе процессоров x64 (KB5004285), 07 2021г.
* https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004285

Аналогично воспроизводится в p10 при версии samba-4.19.9-alt3