| Summary: | Could not login to windows domain based on RELS | ||
|---|---|---|---|
| Product: | [ROSA-based products] ROSA Fresh | Reporter: | FirstLevel <firstlevel> |
| Component: | Packages from Main | Assignee: | Alexey Ivanov <a.ivanov> |
| Status: | CONFIRMED --- | QA Contact: | ROSA Linux Bugs <bugs> |
| Severity: | critical | ||
| Priority: | High | CC: | djam5, dmitry.postnikov, jelly.nop, r0g3r, stanislav.fomin, zombie.ryushu |
| Version: | Fresh | ||
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| Whiteboard: | |||
| Platform: | --- | ROSA Vulnerability identifier: | |
| RPM Package: | ISO-related: | ||
| Bad POT generating: | Upstream: | ||
| Attachments: |
diagnostic information
worked system-auth fixed sytem-auth file rosa-client log samba-log rels rosa-client log samba-log rels log.nmbd client desktop |
||
Одна особенность. Машина с чистой R2 не при каких условиях не целляет доменных юзеров. При этом не помогает drakauth. Машины же с установленной R1 и обновленной до R2, и ранее настроенной доменной аутентификацией, после нескольких попыток использования drakauth таки работают с доменными учетками. Хотя и периодически отваливаются. Установленная же R2 с нуля ни какими танцами с бубном не работает с доменом. Вернее не залогиниться под доменным юзером даже при условии того что wbinfo показывает что все очень "хорошо" весь косяк в pam.d/system-auth подмена этого файла с работающей машины на машине с проблемой решает проблему Created attachment 2422 [details]
worked system-auth
Sergey, your version of system-auth config is very ugly workaround. I just tested more correct version of this config. When I'll tested it on different domain configurations we push it into our drakauth and attach it to this bug for more wide tests. I plan do it tomorrow. Created attachment 2441 [details]
fixed sytem-auth file
Fixed /etc/pam.d/system-auth file. Supporting Kerberos, cached login and sha512 encryption introduced in ROSA Fresh R2.
Tested on Windows Server 2008R2 and Windows Server 2003 SP2.
Тестировалось ли на RELS? You mean RELS as a Samba Server? Or client? ROSA Desktop R2 - client RELS PDC - samba server Nope. But I think i will be working. I can test it if you want. Tested this config with RELS as PDC. Working fine. После перезагрузки клиент не "теряет" контроллер домена? Потому как такая ситуация весьма часто происходит. (In reply to comment #11) > После перезагрузки клиент не "теряет" контроллер домена? Потому как такая > ситуация весьма часто происходит. Yesterday I deeply investigate this behaviour. As I can understand, this situtaion really exists. This may be in two cases: 1. Problems with your LAN 2. Problems with Avahi. Just one question - your FQDN domain name have .local suffix? Проблем с сетью не бывает, во всяком случае что бы после перезагрузки "терялся" домен. Особенно домен не теряется на Win2003 server, в отличие от RELS. Нет. Суффикса нет. Снова для сравнения без суффикса на том же AD win2003 server проблем больших нет. (In reply to comment #13) > Проблем с сетью не бывает, во всяком случае что бы после перезагрузки > "терялся" домен. Особенно домен не теряется на Win2003 server, в отличие от > RELS. > > Нет. Суффикса нет. > Снова для сравнения без суффикса на том же AD win2003 server проблем больших > нет. Thanks for report! You confirmed my observations. This is really problem with Avahi. For fixing problem open /etc/avahi/avahi-daemon.conf and found commented string #domain-name=local. Uncomment it and modify it to domain-name=alocal. then save file and reboot. Please, report me about results. Смена domain-name=local в avahi-daemon.conf на название домена DOMAIN ни к чему существенному не приводит.
Открылась еще одна особенность drakauth, после отработки утилиты файл /etc/krb5.conf остается в таком виде:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
# default_realm = EXAMPLE.COM
[realms]
# EXAMPLE.COM = {
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
Что совершенно неверно.
Далее. Утилита смешивает домены, т.е. если я ввожу в настройках DOMAIN.COM, то windows домен автоматически будет взят как DOMAIN. Но это не так. К примеру, сеть работает в таком режиме Domain = DOMAIN.NEW, WinDOMAIN= DOM, address dns = 10.9.9.10... В таком варианте утилита не позволяет ввести в домен машину. НО это неверно.
>Смена domain-name=local в avahi-daemon.conf на название домена DOMAIN ни к чему >существенному не приводит. You don't understand. You need to change string "domain-name=local" to "domain-name=alocal". In this case "domain-name" - it's NOT name of your domain. It's option in config file of avahi. Btw, my reasearching of this problem showed that you don't need modify this file. It's needed if you use domain have .local suffix. But you can disable Avahi permanently and test domain logon in this situation. Output of krb5.conf really not correct, I agree. «Далее. Утилита смешивает домены, т.е. если я ввожу в настройках DOMAIN.COM, то >windows домен автоматически будет взят как DOMAIN. Но это не так. К примеру, сеть работает в таком режиме Domain = DOMAIN.NEW, WinDOMAIN= DOM, address dns = 10.9.9.10... В таком варианте утилита не позволяет ввести в домен машину. НО это неверно.» Drakauth DON'T mixed domains. Standard behaviour of this utility - using same names in all places in configs if possible. Because this is default behaviour in Windows Server. F.ex: you create domain with name DOMAIN.LOCAL. All settings (DNS, AD Realm, DC Server), in generated configs will be DOMAIN or DOMAIN.LOCAL. Theoretically you can create domain DOMAIN.COM, but your DC server will be named as DOMAIN1.COM, but this configuration not not recommended by Microsoft standards from Windows Server 2003. More info about this you can found here: http://support.microsoft.com/kb/909264 (see paragraph "Disjointed namespaces"). Btw, which option you use when connectiong to domain? NT4 Domain or Windows AD? Windows AD I just tested drakauth. Run utility, check Windows AD connection option and entered domain name on screen when need to enter mane of your domain as rosa.int. After moving cursor to other textbox, domain name in strings "Active Directory realm", "DNS Domain" and "DC Server" automatically changed to rosa.int. As I explained you earlier. Совершенно верно, и изменить ничего нельзя, т.е. попытка ввести что-то другое, тут же приводит к замене всех значений в полях. Уточнение, вернее сказать не WinAD а RDS... See my previous answer in comment #16. This is not bug. This feature based on Microsoft standards. Just read a posted link on MS TechNet, if you want to know why. Насколько могу судить по гуглтранслиту, то я правильно понял что жесткая работа утилиты это такая фича, а не баг? Проблема в том, для того что бы ввести в домен машину под WinXP или Win2k проблем с доменами и настройками не возникает. Т.е. не смотря на рекомендации MS TechNet, ОС оффтопика учитывают не жесткое им следование. Хотел бы обратить внимание на тот факт, что drakuath из Mandriva 2012.2 не имел таких жестких привязок, и позволял и позволяет вводить в домен RDS/WinAD клиентские машины. If you want to to join ROSA Desktop into domain under Samba 3.x (f.ex on RELS), try to use option "Connection to NT4 domain". (In reply to comment #22) > Насколько могу судить по гуглтранслиту, то я правильно понял что жесткая > работа утилиты это такая фича, а не баг? You absolutely right. > > Проблема в том, для того что бы ввести в домен машину под WinXP или Win2k > проблем с доменами и настройками не возникает. Т.е. не смотря на > рекомендации MS TechNet, ОС оффтопика учитывают не жесткое им следование. Win2k or XP supported old behaviour with disjoined namespace. Disjoined namespaces was used in Windows Server 2000 and early, but from Win2k3 and higher not used. Just try to deploy AD in VM and you see it. This feature supported, but strongly not recommended. But you can easy to fix names after entering, before pressing Next button. In drakauth for using old behaviour you must use connection to NT4 Domain. But, I must know that is working only on Samba 3.x and or old Windows versions (such Windows NT4). > Хотел бы обратить внимание на тот факт, что drakuath из Mandriva 2012.2 не > имел таких жестких привязок, и позволял и позволяет вводить в домен > RDS/WinAD клиентские машины. Maybe Mandriva used different version of drakauth. По рекомендации исправил в avahi-daemon.conf domain=local на domain-name=alocal, после перезагрузки: wbinfo -t checking the trust secret for domain MYDOMAIN via RPC calls failed error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233) failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR Could not check secret Ok. But do you try to disable avahi permanently and reboot? Ok. Какой сервис для этого нужно отключить? avahi-daemon Хм:
chkconfig
Внимание: в выводе отображены только SysV службы (нативные службы systemd отсутствуют)
конфигурация SysV может быть сброшена нативной
конфигураией systemd.
Для получения списка служб systemd выполните «systemctl list-unit-files».
Для просмотра служб для конкретного объекта выполните
«systemctl list-dependencies [объект]».
apmd 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:выкл
checkflashboot 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:выкл
mandi 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:вкл
mtinkd 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
netconsole 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
network 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
nscd 0:выкл 1:выкл 2:выкл 3:вкл 4:вкл 5:вкл 6:выкл 7:выкл
ntpd 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:вкл
oki4daemon 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
openl2tpd 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
openvpn 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
partmon 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:вкл
postfix 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
pppoe 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
pptp 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
preload 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:вкл 6:выкл 7:выкл
resolvconf 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:вкл
smb 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:вкл
sshd 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:вкл
vboxadd-timesync 0:выкл 1:выкл 2:вкл 3:вкл 4:вкл 5:вкл 6:выкл 7:выкл
vnstat 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
winbind 0:выкл 1:выкл 2:выкл 3:вкл 4:выкл 5:вкл 6:выкл 7:выкл
wlan 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
xl2tpd 0:выкл 1:выкл 2:выкл 3:выкл 4:выкл 5:выкл 6:выкл 7:выкл
что-то я такого не наблюдаю
systemctl status avahi-daemon if service is Active, then: systemctl stop avahi-daemon or disable: systemctl disable avahi-daemon Sorry, my fault. I forgot to say that you need to disable avahi-daemon on client machine. Ок. Отключил. На 1 тестовой машине результат положительный. Похоже отключение avahi-daemon и правка krb5.conf решает проблему. Обкатка на 5-ти машинах прошла успешно. (In reply to comment #33) > Похоже отключение avahi-daemon и правка krb5.conf решает проблему. > > Обкатка на 5-ти машинах прошла успешно. That's good. I know what need to fixing in drakauth. checking the relevance Проблема не уходит. Как я понимаю, уже отключили Avahi совсем? For English speakers: As I can understand you fully disabled Avahi? И отключал, и включал, и pam-скрипты менял. Проблема остается. Часть машин все равно вываливается из домена Есть две машины с идентичными pam/system-auth одна после перезагрузки нормально цепляется к домену, другая при перезагрузке теряет связь с доменом. Приходить каждый раз вводить в домен через net join (In reply to comment #38) > И отключал, и включал, и pam-скрипты менял. Проблема остается. Часть машин > все равно вываливается из домена > Есть две машины с идентичными pam/system-auth > одна после перезагрузки нормально цепляется к домену, другая при > перезагрузке теряет связь с доменом. > Приходить каждый раз вводить в домен через net join Разница между компьютерами какая-нибудь есть? For english speakers: Any differences between machines? Как вариант, логи journalctl -a выложите сюда с клиентской РОСЫ. С RELS логи Samba можете предоставить? For english speakers: As a variant, can you show logs by journalctl -a from client ROSA system. Can you show Samba logs from RELS? Created attachment 2954 [details]
rosa-client log
Created attachment 2955 [details]
samba-log rels
(In reply to comment #42) > Created attachment 2955 [details] > samba-log rels Простите, пожалуйста. Но вы, кажется, забыли приаттачить логи. For english speakers: Excuse me, please. But you forget to attach logs from RELS and client system. Created attachment 2956 [details]
rosa-client log
Created attachment 2957 [details]
samba-log rels
Перезалил (In reply to comment #46) > Перезалил Спасибо, ещё /var/log/samba/nmbd.log и /var/log/samba/nmbd.log.old с клиентской машины положите, если не очень трудно. For english speakers: Thank you. Can you attach additional logs such as /var/log/samba/nmbd.log and /var/log/samba/nmbd.log.old form client machine if possible? Created attachment 2959 [details]
log.nmbd client desktop
>Спасибо, ещё /var/log/samba/nmbd.log и /var/log/samba/nmbd.log.old с клиентской машины положите, если не очень трудно.
/var/log/samba/nmbd.log.old такого нет
up. Последние обновления не спасли ситуацию (In reply to comment #50) > up. Последние обновления не спасли ситуацию Только что пришли патчи исправляющие проблему с регистрацией в домене. Я постараюсь сегодня-завтра собрать пакет в отдельном контейнере и дать пакет вам на тестирование. Проблему потери связи с доменом вынесем в отдельную задачу. For English speakers: I received fresh patches fixed problem with registering in MS AD tonight. I'll try to build package today or tomorrow and give it you for test. Problem with lost connection with AD we split to different task. Ок. Жду Прошу уточнить наличие проблемы для нового релиза 2014.1 проблема осталась проблема на RELS 6.6 + ROSA R4 сохранилась I don't even understand what is going on entirely. I was linked this bug and the description is extremely confusing. Тестировалось ли на RELS? (In reply to Валерия from comment #57) > Тестировалось ли на RELS? Was tested in 2014: > проблема на RELS 6.6 + ROSA R4 сохранилась. I think that it needs testing on current ROSA/RELS releases. |
Created attachment 2421 [details] diagnostic information Description of problem: I have installed ROSA 2012.1 Fresh and tried to login to windows domain based on RELS. If I enter the name and password of domain user I get error that domain controller is inaccessible cache and will be used. I could access to domain account from other server on RELS. I have attached some diagnostic information from ROSA Descktop machine. Version-Release number of selected component (if applicable): How reproducible: Steps to Reproduce: 1. 2. 3.