Bug 58060 - Схема хранения пароля сбрасывается при смене пароля пользователем
Summary: Схема хранения пароля сбрасывается при смене пароля пользователем
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: 389-ds-base (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Stanislav Levin
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2026-02-27 18:09 MSK by Лавренко Егор Сергеевич
Modified: 2026-02-27 18:09 MSK (History)
5 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Лавренко Егор Сергеевич 2026-02-27 18:09:20 MSK
Система (Обновленная до Sisyphus):
Alt Server 11.0 x86-64

Версия пакета:
389-ds-base-3.1.4-alt3

Шаги воспроизведения:
1. Развернуть FreeIPA домен (сервер, реплика, клиент)
2. Установить и запустить cockpit:
# apt-get install -y cockpit cockpit-389-ds && \
sed -i '/root/d' /etc/cockpit/disallowed-users && \
systemctl enable cockpit.socket; systemctl start cockpit; systemctl status cockpit
3. Открыть и авторизоваться root:
# echo "http://$(hostname -i):9090"
4. Перейти на вкладку Tools -> 389 Directory Server 
5. На вкладке Server -> Server Settings открыть Directory Manager и изменить Password Storage Scheme на GOST_YESCRYPT -> Save Settings
6. На вкладке Database -> Password Policy -> Global Policy -> изменить Password Storage Scheme на GOST_YESCRYPT -> Save Settings
7. Создать нового доменного пользователя:
# echo '11111111' | ipa user-add testuser2 --first=Test --last=User --password
8. Проверить схему хранения пароля:
# echo -n $(ldapsearch -LLL -o ldif-wrap=no -w 11111111 -x -D "cn=Directory Manager" -H ldap://$(hostname):389 -x -ZZ -b 'uid=testuser2,cn=users,cn=accounts,dc=freeipa,dc=testdomain' -s base userPassword | grep userPassword | cut -d " " -f2) | base64 -d
9. Войти пользователем в систему, по запросу сменить пароль.
10. Снова проверить схему хранения пароля (после смены пароля).
# echo -n $(ldapsearch -LLL -o ldif-wrap=no -w 11111111 -x -D "cn=Directory Manager" -H ldap://$(hostname):389 -x -ZZ -b 'uid=testuser2,cn=users,cn=accounts,dc=freeipa,dc=testdomain' -s base userPassword | grep userPassword | cut -d " " -f2) | base64 -d

Ожидаемый результат:
При проверке схемы хранения пароля на шагах 8 и 10 : GOST_YESCRYPT

Реальный результат:
При проверке схемы хранения пароля на шаге 8 : GOST_YESCRYPT 
При проверке схемы хранения пароля на шаге 10 : PBKDF2-SHA512 (такая схема выбрана по умолчанию)

Дополнительно:
1. Воспроизводится в P11 (389-ds-base-3.1.3-alt3)
2. Было замечено, что если перезагрузить систему-клиент домена, то  схема хранения пароля корректна в обоих случаях (шаг 8 и 10)
3. Ошибка может воспроизводиться не всегда (причину выявить не удалось)