Bug 35487

Summary: Рабочая станция может не пустить пользователя из-за проблем с Kerberos
Product: Sisyphus Reporter: Pavel Isopenko <master>
Component: alterator-authAssignee: Anton V. Boyarshinov <boyarsh>
Status: NEW --- QA Contact: qa-sisyphus
Severity: enhancement    
Priority: P3 CC: boyarsh, iv, lav, sin
Version: unstable   
Hardware: all   
OS: Linux   

Description Pavel Isopenko 2018-10-08 15:06:39 MSK 
Если перед настройкой на Active Directory менялось имя хоста (например, системный блок поставлялся с предустановленой системой) - пользователь домена аутентифицироваться не сможет, даже если все настройки указаны верно. journalctl показывает, как хост пытается получить билет по прежнему имени хоста, которое было до смены. А учётная запись хоста в домене создавалась уже на новое.
Рабочая станция придёт в норму, если вручную удалить /etc/krb5.keytab и перезагрузиться - krb5.keytab при старте запишется заново на новое имя хоста.
Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам.
Comment 1 Evgeny Sinelnikov 2018-11-14 00:17:18 MSK 
Очень странное описание. Я не могу его понять. У нас имеется проблема смены хоста для иксов. Если произошла смена хоста, то иксы, требуется перезагрузить. У винды похожее поведение - если на машине прозошла смена хоста, то требуется перезагрузка.

krb5.keytab - это кеш с паролями для учётных записей, которые привязаны к имени хоста:
[sin@tor ~]$ sudo klist -k
[sudo] password for sin:
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   2 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor@DARKMASTERSIN.NET
   3 cifs/tor@DARKMASTERSIN.NET
   3 cifs/tor@DARKMASTERSIN.NET
  10 host/tor.darkmastersin.net@DARKMASTERSIN.NET
  10 host/tor.darkmastersin.net@DARKMASTERSIN.NET
  10 host/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   3 cifs/tor.darkmastersin.net@DARKMASTERSIN.NET
   4 cifs/tor@DARKMASTERSIN.NET
   4 cifs/tor@DARKMASTERSIN.NET
   4 cifs/tor@DARKMASTERSIN.NET

Имя хоста нельзя просто так менять. Если произошла смена имени хоста, машину нужно перевводить в домен, что означает, по сути создание новых записей в krb5.keytab.

Причём для этого требуются администраторские права в домене. Просто перезагрузки недостаточно.

При этом, если у нас машина была в домене, то перевведение её в домен штатными внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не предусмотрено.
Comment 2 Ivan A. Melnikov 2018-11-16 09:28:26 MSK 
> (например, системный блок поставлялся с предустановленой системой)

Обычно в этой ситуации /etc/krb5.keytab отсутвует. Откуда он может взяться?

> Предположительно будет лучше если это будет делать Alterator при смене вида аутентификации сам.

А какой был предыдущий вид аутентификации?
Comment 3 Pavel Isopenko 2018-11-16 10:04:48 MSK 
(В ответ на комментарий №2)
> А какой был предыдущий вид аутентификации?

Предположительно, Альт-домен. Затем тестируемый был некоторое время выключен. Затем подключение к домену Samba 4 и - отказ аутентификации.
Comment 4 Pavel Isopenko 2018-11-16 11:14:17 MSK 
(В ответ на комментарий №1)

> Если произошла смена хоста, то иксы, требуется перезагрузить.
> У винды похожее поведение - если на машине прозошла смена хоста, то требуется
> перезагрузка.

Разумеется. При смене реквизитов выходит сообщение о необходимости перезагрузки, и это правильно.  И она производилась, полная перезагрузка, без положительного результата - о чём и бага. 

> При этом, если у нас машина была в домене, то перевведение её в домен штатными
> внутренними средствами в Альтах (да и, вообще, в Linux-клиентах) не
> предусмотрено.

Понятно. Тогда предложение по улучшению: предусмотреть возможность перевведения в домен штатными внутренними средствами Альт, чтобы Альты по удобству использования были лучше прочих Linux-клиентов.