Bug 56418 - При отличающихся hostname и имени NetBIOS у клиентов домена отсутствуют SPN `restrictedkrbhost/<Имя NetBIOS>.samba.testdomain` (а в setspn ещё и он же с `host/`)
Summary: При отличающихся hostname и имени NetBIOS у клиентов домена отсутствуют SPN `...
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: samba (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2025-10-16 10:38 MSK by Artem Varaksa
Modified: 2025-10-16 10:38 MSK (History)
1 user (show)

See Also:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Artem Varaksa 2025-10-16 10:38:05 MSK 
Шаги
====

1. Развернуть домен Samba DC на ALT Server 11.0 x86_64 (minimal).

2. Ввести клиента с помощью alterator-auth (system-auth), например при помощи SSSD, указав `--netbiosname <Имя NetBIOS>`.

3. # net ads setspn list -UAdministrator (о требовании авторизации см. https://bugzilla.altlinux.org/55480)

4. # net ads keytab list


Ожидаемый результат
===================

3. В setspn присутствуют SPN для всех комбинаций (регистр не важен):

      - host
      - restrictedkrbhost

с

      - <hostname>
      - <hostname>.samba.testdomain
      - <Имя NetBIOS>
      - <Имя NetBIOS>.samba.testdomain

(итого 8 шт)


4. В keytab присутствуют SPN для всех комбинаций (регистр не важен):

      - aes-128 cts mode with 96-bit sha-1 hmac
      - aes-256 cts mode with 96-bit sha-1 hmac
      - arcfour with hmac/md5

c

      - host
      - restrictedkrbhost

с

      - <hostname>
      - <hostname>.samba.testdomain
      - <Имя NetBIOS>
      - <Имя NetBIOS>.samba.testdomain

а также для каждого вида аутентификации/hash запись <Имя NetBIOS>$ без префикса host/restrictedkrbhost.

(итого 27 шт; могут быть дубликаты с разным регистром символов)


Фактический результат
=====================

3. В setspn:

    host/<hostname>
    host/<hostname>.samba.testdomain
    host/<Имя NetBIOS>
    restrictedkrbhost/<hostname>
    restrictedkrbhost/<hostname>.samba.testdomain
    restrictedkrbhost/<Имя NetBIOS>

Нет `{host,restrictedkrbhost}/<Имя NetBIOS>.samba.testdomain` (как есть для <hostname>).


4. В keytab есть почти все перечисленные выше комбинации (при этом некоторые дублируются, если не учитывать регистр).

Однако нет `restrictedkrbhost/<Имя NetBIOS>.samba.testdomain`.

При этом *есть* `host/<Имя NetBIOS>.samba.testdomain` (несмотря на то, что в setspn нет и его).


Дополнительно
=============

При составлении ожидаемого результата исходил из того, что большинство из данных комбинаций действительно присутствуют и исходя из симметрии. Также учитывал то, что, если не использовать `--netbiosname`, то вывод соответствует ожидаемому и фактически присутствуют все SPN (и для hostname, и для имени NetBIOS, потому что hostname и имя NetBIOS в таком случае совпадают (не учитывая регистр)).


Также см.:

- Изменение `4afd1a346 system-auth: ad: replace SPN registrations with keytab regeneration for Samba 4.21+ compatibility`
https://git.altlinux.org/gears/a/alterator-auth.git?p=alterator-auth.git;a=commitdiff;h=4afd1a346e37b7d18e14809e4a3bcef45f115ecc

- Исправление HOST -> host (только в setspn) для корректной работы OpenSSH:
https://git.altlinux.org/gears/s/samba.git?p=samba.git;a=commitdiff;h=fec26635bdccc9053acb4de28633525bf5cfa6f0


Воспроизводимость
=================

Воспроизводится на виртуальных машинах:

[sisyphus] ALT Server 11.0 x86_64 (minimal) + ALT Workstation 11.1 x86_64
samba-4.21.8-alt4
alterator-auth-0.48-alt1

[p11] ALT Server 11.0 x86_64 (minimal) + ALT Workstation 11.1 x86_64
samba-4.21.7-alt4
alterator-auth-0.48-alt1