#54753 – При 2ФА kscreenlocker не работает с sssd и токенами

Bug 54753 - При 2ФА kscreenlocker не работает с sssd и токенами

Summary: При 2ФА kscreenlocker не работает с sssd и токенами

Status:	UNCONFIRMED

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	kscreenlocker (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Олег Соловьев
QA Contact:	qa-sisyphus

URL:
Keywords:

Duplicates (1):	57640 (view as bug list)
Depends on:
Blocks:

Reported:	2025-06-09 18:51 MSK by Белаш Константин
Modified:	2026-01-25 18:22 MSK (History)
CC List:	9 users (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Белаш Константин 2025-06-09 18:51:47 MSK

Модуль pam для kscreenlocker (/etc/pam.d/kde) из коробки настроен на работу с system-auth-multi:
# cat /etc/pam.d/kde
#%PAM-1.0
auth        sufficient    pam_succeed_if.so user ingroup nopasswdlogin
auth        include        system-auth-multi

system-auth-multi не пересекается с sssd:
# cat /etc/pam.d/system-auth-multi | rg ^-?auth
auth        [success=4 default=ignore]    pam_tcb.so shadow fork nullok
auth        requisite    pam_succeed_if.so uid >= 500 quiet
-auth        [success=2 default=ignore]    pam_krb5.so use_first_pass
-auth        [success=1 default=ignore]    pam_ldap.so use_first_pass
auth        required    pam_deny.so
auth        required    pam_permit.so

Следовательно, настройки доменной 2ФА, которые сделаны в sssd.conf для pam_sss (/etc/pam.d/system-auth), kscreenlocker не видит и работать с токенами не может.
Воркэраунд:
заменить в /etc/pam.d/kde
auth        include        system-auth-multi
на
auth        include        system-auth

Более подробно - https://my.basealt.space/issues/180768.

Comment 1 Sergey V Turchin 2025-06-10 11:02:56 MSK

В kscreenlocker /etc/pam.d/kde-smartcard работает с токенами.
Получается, только sss не рабочий?

Comment 2 Белаш Константин 2025-06-10 11:58:08 MSK

(Ответ для Sergey V Turchin на комментарий #1)
> В kscreenlocker /etc/pam.d/kde-smartcard работает с токенами.
> Получается, только sss не рабочий?

На мой взгляд проблема не касается конкретно sss. Основной файл аутентификации у нас это /etc/pam.d/system-auth, который отражает текущие настройки для аутентификации в системе в целом. А /etc/pam.d/system-auth-multi это какая-то отдельная подсистема, которая не привязана к системным настройкам и пытается лихорадочно хоть где-нибудь проскочить (pam_tcb.so, pam_krb5.so, pam_ldap.so). И если pam_tcb.so отработает успешно, по причине настройки на этапе установки ОС, то krb5 и ldap никак не настроены и смысла в них нет.

Comment 3 Sergey V Turchin 2025-07-20 15:14:00 MSK

Кажется, system-auth-multi был выбран нарочно.

Comment 4 Sergey V Turchin 2025-10-15 12:27:43 MSK

(Ответ для Sergey V Turchin на комментарий #3)
> Кажется, system-auth-multi был выбран нарочно.
Возможно, это обсуждали mcpain@ и rider@ .

Comment 5 Anton Farygin 2025-10-15 12:32:55 MSK

у kscreenlocker другая схема работы, надо просто посмотреть Олегу что там не так.

Простая замена system-auth-multi на system-auth может сломать что-то другое

Comment 6 Sergey V Turchin 2025-10-15 13:24:19 MSK

(Ответ для Anton Farygin на комментарий #5)
> у kscreenlocker другая схема работы
AFAIR вы обсуждали, что её надо похерить, что и было сделано
https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;a=blob;f=alt-disable-noninteractive.patch
, т.е. теперь он использует один pam-файл для всего.

Comment 7 Олег Соловьев 2026-01-19 14:12:05 MSK

(In reply to Sergey V Turchin from comment #6)
> (Ответ для Anton Farygin на комментарий #5)
> > у kscreenlocker другая схема работы
> AFAIR вы обсуждали, что её надо похерить, что и было сделано
> https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;
> a=blob;f=alt-disable-noninteractive.patch
> , т.е. теперь он использует один pam-файл для всего.

Этот патч оторван:
https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;a=blob;f=kscreenlocker.spec;h=902535603ca381d48c4ab8438442c13b6bfa44f0;hb=61aa1c60d4ead7c196a2a9c49b301fb1af4817b1#l100

Comment 8 Олег Соловьев 2026-01-19 14:46:18 MSK

(In reply to Anton Farygin from comment #5)
> у kscreenlocker другая схема работы, надо просто посмотреть Олегу что там не
> так.
> 
> Простая замена system-auth-multi на system-auth может сломать что-то другое

1) kde-smartcard и kde-fingerprint вынесены в отдельные сервисы, чтобы kscreenlocker обрабатывал их независимо друг от друга и они оба неинтерактивные.
2) system-auth может быть изменён через control(1)
Насколько я помню, kscreenlocker ломается, если в system-auth попадает что-то неинтерактивное, поэтому используется system-auth-multi, включающий в себя pam_krb5 и pam_ldap.

Здесь явно указано, почему не стоит использовать system-auth:
https://git.altlinux.org/gears/k/kscreenlocker.git?p=kscreenlocker.git;a=commit;h=c1e936777ceffe1f7a905363da64faa66132da6f

Дальнейшие коммиты показывают замену system-auth-common на system-auth-multi и я могу только предположить: чтобы сохранить возможность входа по паролю для доменного пользователя.

Comment 9 Anton Farygin 2026-01-19 15:00:43 MSK

ну вот у меня сейчас в kscreenlocker отпечаток пальца работает через раз.

Comment 10 Sergey V Turchin 2026-01-25 17:30:15 MSK

*** Bug 57640 has been marked as a duplicate of this bug. ***

Comment 11 Алексей 2026-01-25 18:22:25 MSK

У меня после установки Альт Рабочая Станция К 11.2 не работает авторизация для LDAP-пользователя через kscreenlocker, но работает через lightdm.

По совету отсюда через control поменял system-auth с sss на multi.
После этого перестала работать авторизация доменного пользователя в lightdm и через ssh.