#55889 – Стал требоваться пароль для `samba-tool gpo listall`, даже если получен билет Kerberos: Acquiring initiator credentials failed: smb_gss_krb5_import_cred failed: No such file or directory

Bug 55889 - Стал требоваться пароль для `samba-tool gpo listall`, даже если получен билет Kerberos: Acquiring initiator credentials failed: smb_gss_krb5_import_cred failed: No such file or directory

Summary: Стал требоваться пароль для `samba-tool gpo listall`, даже если получен билет...

Status:	NEW

Alias:	None

Product:	Sisyphus
Classification:	Development
Component:	samba (show other bugs)
Version:	unstable
Hardware:	x86_64 Linux

Importance:	P5 normal
Assignee:	Evgeny Sinelnikov
QA Contact:	qa-sisyphus

URL:
Keywords:

Depends on:
Blocks:

Reported:	2025-09-05 18:14 MSK by Artem Varaksa
Modified:	2025-09-05 18:14 MSK (History)
CC List:	1 user (show)

See Also:	55842

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Artem Varaksa 2025-09-05 18:14:07 MSK

Шаги
====

1. Развернуть домен Samba DC на ALT Server 11.0 x86_64 (minimal).

2. # kinit administrator && samba-tool gpo listall

3. # kdestroy && samba-tool gpo listall


Фактический результат
=====================

В обоих случаях обязательно запрашивается пароль.

Причём, если не указать `-Uadministrator`, пароль запрашивается от `SAMBA\root`.

Например:

> # kinit administrator && samba-tool gpo listall
> Password for administrator@SAMBA.TESTDOMAIN:
> Warning: Your password will expire in 24 days on Вт 30 сен 2025 15:48:20
> GENSEC backend 'gssapi_spnego' registered
> GENSEC backend 'gssapi_krb5' registered
> GENSEC backend 'gssapi_krb5_sasl' registered
> GENSEC backend 'spnego' registered
> GENSEC backend 'schannel' registered
> GENSEC backend 'ncalrpc_as_system' registered
> GENSEC backend 'sasl-EXTERNAL' registered
> GENSEC backend 'ntlmssp' registered
> GENSEC backend 'ntlmssp_resume_ccache' registered
> GENSEC backend 'http_basic' registered
> GENSEC backend 'http_ntlm' registered
> GENSEC backend 'http_negotiate' registered
> GENSEC backend 'krb5' registered
> GENSEC backend 'fake_gssapi_krb5' registered
> resolve_lmhosts: Attempting lmhosts lookup for name _ldap._tcp.SAMBA.TESTDOMAIN<0x0>
> resolve_lmhosts: Attempting lmhosts lookup for name dc.samba.testdomain<0x20>
> Acquiring initiator credentials failed: smb_gss_krb5_import_cred failed: No such file or directory
> gensec_spnego_create_negTokenInit_step: gssapi_krb5: creating NEG_TOKEN_INIT for ldap/dc.samba.testdomain failed (next[ntlmssp]): NT_STATUS_UNSUCCESSFUL
> Got challenge flags:
> Got NTLMSSP neg_flags=0x62898235
> Password for [SAMBA\root]:

Если указать пароль администратора и ввести пароль, команда выполняется успешно.


Ожидаемый результат
===================

Нет запроса пароля, как в p11.


Воспроизводимость
=================

Воспроизводится на виртуальных машинах:

[sisyphus]
samba-4.21.7-alt4.x86_64

[p11+387440.10]
samba-4.21.7-alt4.x86_64


Не воспроизводится на виртуальных машинах:

[p11]
samba-4.20.8-alt2.x86_64