Bug 51898

Summary: Некорректная работа функции отключения учетной записи компьютера для клиента на Windows
Product: Sisyphus Reporter: Vladislav Glinkin <glinkinvd>
Component: sambaAssignee: Evgeny Sinelnikov <sin>
Status: NEW --- QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: sin
Version: unstable   
Hardware: x86_64   
OS: Linux   
Attachments:
Description Flags
Windows AD - Попытка входа с отключенной учетной записью компьютера на клиенте Windows
none
Windows AD - Попытка авторизации доменным пользователем после присоединения клиента Альт none

Description Vladislav Glinkin 2024-10-31 11:52:42 MSK
Системы:
* Альт Сервер 11.0 (обновлённый до Sisyphus) - использовался в качестве DC
* x2 Альт Рабочая Станция 11.0 (обновлённая до Sisyphus) - одна станция использовалась в качестве управляющей машины ADMC, другая в качестве клиента
* Windows 10 Pro - использовался в качестве клиента домена

Версии пакетов:
admc-0.17.0-alt1.x86_64
samba-dc-4.20.5-alt1.x86_64, как и все другие бинарные пакеты самбы

Шаги воспроизведения:
1) В admc выбрать компьютер с Windows и отключить учетную запись компьютера
2) Перезагрузить клиентскую машину Windows
3) Создать нового доменного пользователя через admc
4) Попытаться авторизоваться новым доменным пользователем на Windows

Фактический результат:
Авторизация прошла успешно. Машина на Windows имеет доступ к учётным записям домена после отключения учетной записи компьютера.

Ожидаемый результат:
Невозможно авторизоваться.

Дополнительно:
Если отключить учетную запись компьютера для машины на Альт - то всё работает, как и должно. А вот с Windows возникает проблема.
Comment 1 Vladislav Glinkin 2024-10-31 12:06:56 MSK
При выборе компонента, я опирался на то, что при изменении в admc наcтройки в RSAT на Windows тоже меняются. То есть система, которую я отключил - имеет атрибут ACCOUNT_DISABLED как в RSAT, так и в admc.

Похоже, что дело именно в samba
Comment 2 Evgeny Sinelnikov 2024-10-31 14:32:27 MSK
Не хватает двух проверок для локализации "проблемы".

Суть проблемы - после отключения учетной записи компьютера Windows-клиента с помощью admc сохраняется возможность авторизации.

Вопросы:
1) ведёт ли себя windows-клиент также, если учётную запись в той же конфигурации  отключить в с помощью rsat? Как поведёт себя Альт?
2) ведёт ли себя windows-клиент также, если учётную запись отключить с помощью rsat. но в конфигурации с windows server 2019? Как поведёт себя Альт?

Хотелось бы подчеркнуть, что настройки-то меняются одни и те же, но вот особенности в реализации могут быть разными.

Третий вариант - использовать admc в конфигурации с windows server 2019 выглядит интересным дополнением.
Comment 3 Vladislav Glinkin 2024-11-01 14:31:26 MSK
(Ответ для Evgeny Sinelnikov на комментарий #2)
> Не хватает двух проверок для локализации "проблемы".
> 
> Суть проблемы - после отключения учетной записи компьютера Windows-клиента с
> помощью admc сохраняется возможность авторизации.
> 
> Вопросы:
> 1) ведёт ли себя windows-клиент также, если учётную запись в той же
> конфигурации  отключить в с помощью rsat? Как поведёт себя Альт?
> 2) ведёт ли себя windows-клиент также, если учётную запись отключить с
> помощью rsat. но в конфигурации с windows server 2019? Как поведёт себя Альт?
> 
> Хотелось бы подчеркнуть, что настройки-то меняются одни и те же, но вот
> особенности в реализации могут быть разными.
> 
> Третий вариант - использовать admc в конфигурации с windows server 2019
> выглядит интересным дополнением.

1) Ввёл в ранее существующий домен, развернутый на Альте, Windows Server 2019 в качестве второго контроллера домена. При отключении учетной записи компьютера через RSAT проблема на Windows-клиенте воспроизводится, а на Альте нет.
2) Развернул чистый домен (Active Directory) на Windows Server 2019. При отключении учетной записи компьютера через RSAT Windows-клиент не может авторизоваться под новым доменным пользователем с сообщением: "База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции".
После включения учетной записи компьютера - клиент на Windows успешно проходит авторизации тем же пользователем.

На Альте же я столкнулся с другой проблемой: после введения в домен невозможно авторизоваться доменным пользователем. При вводе имени учетной записи появляется надпись: "Неверный пароль, попробуйте ввести ещё раз".

Присоединение к домену Windows AD прошло без каких-либо ошибок:
# system-auth write ad win.domain alt WIN 'admin' 'Pa##word'
Using short domain name -- WIN
Joined 'ALT' to dns domain 'WIN.DOMAIN'
Successfully registered hostname with DNS

При попытке входа, в журнале ругается только lightdm:
ноя 01 14:28:57 alt.win.domain lightdm[3480]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "qwe"
ноя 01 14:28:57 alt.win.domain lightdm[3480]: gkr-pam: error looking up user information
ноя 01 14:28:57 alt.win.domain lightdm[3481]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "qwe"
ноя 01 14:28:57 alt.win.domain lightdm[3481]: gkr-pam: error looking up user information
Comment 4 Vladislav Glinkin 2024-11-01 14:32:50 MSK
Created attachment 17109 [details]
Windows AD - Попытка входа с отключенной учетной записью компьютера на клиенте Windows
Comment 5 Vladislav Glinkin 2024-11-01 14:33:32 MSK
Created attachment 17110 [details]
Windows AD - Попытка авторизации доменным пользователем после присоединения клиента Альт