Bug 51898 - Некорректная работа функции отключения учетной записи компьютера для клиента на Windows
Summary: Некорректная работа функции отключения учетной записи компьютера для клиента ...
Status: NEW
Alias: None
Product: Sisyphus
Classification: Development
Component: samba (show other bugs)
Version: unstable
Hardware: x86_64 Linux
: P5 normal
Assignee: Evgeny Sinelnikov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2024-10-31 11:52 MSK by Vladislav Glinkin
Modified: 2024-11-01 14:33 MSK (History)
1 user (show)

See Also:

Attachments
Windows AD - Попытка входа с отключенной учетной записью компьютера на клиенте Windows (348.26 KB, image/png)
2024-11-01 14:32 MSK, Vladislav Glinkin 		no flags Details
Windows AD - Попытка авторизации доменным пользователем после присоединения клиента Альт (42.70 KB, image/png)
2024-11-01 14:33 MSK, Vladislav Glinkin 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Vladislav Glinkin 2024-10-31 11:52:42 MSK 
Системы:
* Альт Сервер 11.0 (обновлённый до Sisyphus) - использовался в качестве DC
* x2 Альт Рабочая Станция 11.0 (обновлённая до Sisyphus) - одна станция использовалась в качестве управляющей машины ADMC, другая в качестве клиента
* Windows 10 Pro - использовался в качестве клиента домена

Версии пакетов:
admc-0.17.0-alt1.x86_64
samba-dc-4.20.5-alt1.x86_64, как и все другие бинарные пакеты самбы

Шаги воспроизведения:
1) В admc выбрать компьютер с Windows и отключить учетную запись компьютера
2) Перезагрузить клиентскую машину Windows
3) Создать нового доменного пользователя через admc
4) Попытаться авторизоваться новым доменным пользователем на Windows

Фактический результат:
Авторизация прошла успешно. Машина на Windows имеет доступ к учётным записям домена после отключения учетной записи компьютера.

Ожидаемый результат:
Невозможно авторизоваться.

Дополнительно:
Если отключить учетную запись компьютера для машины на Альт - то всё работает, как и должно. А вот с Windows возникает проблема.
Comment 1 Vladislav Glinkin 2024-10-31 12:06:56 MSK 
При выборе компонента, я опирался на то, что при изменении в admc наcтройки в RSAT на Windows тоже меняются. То есть система, которую я отключил - имеет атрибут ACCOUNT_DISABLED как в RSAT, так и в admc.

Похоже, что дело именно в samba
Comment 2 Evgeny Sinelnikov 2024-10-31 14:32:27 MSK 
Не хватает двух проверок для локализации "проблемы".

Суть проблемы - после отключения учетной записи компьютера Windows-клиента с помощью admc сохраняется возможность авторизации.

Вопросы:
1) ведёт ли себя windows-клиент также, если учётную запись в той же конфигурации  отключить в с помощью rsat? Как поведёт себя Альт?
2) ведёт ли себя windows-клиент также, если учётную запись отключить с помощью rsat. но в конфигурации с windows server 2019? Как поведёт себя Альт?

Хотелось бы подчеркнуть, что настройки-то меняются одни и те же, но вот особенности в реализации могут быть разными.

Третий вариант - использовать admc в конфигурации с windows server 2019 выглядит интересным дополнением.
Comment 3 Vladislav Glinkin 2024-11-01 14:31:26 MSK 
(Ответ для Evgeny Sinelnikov на комментарий #2)
> Не хватает двух проверок для локализации "проблемы".
> 
> Суть проблемы - после отключения учетной записи компьютера Windows-клиента с
> помощью admc сохраняется возможность авторизации.
> 
> Вопросы:
> 1) ведёт ли себя windows-клиент также, если учётную запись в той же
> конфигурации  отключить в с помощью rsat? Как поведёт себя Альт?
> 2) ведёт ли себя windows-клиент также, если учётную запись отключить с
> помощью rsat. но в конфигурации с windows server 2019? Как поведёт себя Альт?
> 
> Хотелось бы подчеркнуть, что настройки-то меняются одни и те же, но вот
> особенности в реализации могут быть разными.
> 
> Третий вариант - использовать admc в конфигурации с windows server 2019
> выглядит интересным дополнением.

1) Ввёл в ранее существующий домен, развернутый на Альте, Windows Server 2019 в качестве второго контроллера домена. При отключении учетной записи компьютера через RSAT проблема на Windows-клиенте воспроизводится, а на Альте нет.
2) Развернул чистый домен (Active Directory) на Windows Server 2019. При отключении учетной записи компьютера через RSAT Windows-клиент не может авторизоваться под новым доменным пользователем с сообщением: "База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции".
После включения учетной записи компьютера - клиент на Windows успешно проходит авторизации тем же пользователем.

На Альте же я столкнулся с другой проблемой: после введения в домен невозможно авторизоваться доменным пользователем. При вводе имени учетной записи появляется надпись: "Неверный пароль, попробуйте ввести ещё раз".

Присоединение к домену Windows AD прошло без каких-либо ошибок:
# system-auth write ad win.domain alt WIN 'admin' 'Pa##word'
Using short domain name -- WIN
Joined 'ALT' to dns domain 'WIN.DOMAIN'
Successfully registered hostname with DNS

При попытке входа, в журнале ругается только lightdm:
ноя 01 14:28:57 alt.win.domain lightdm[3480]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "qwe"
ноя 01 14:28:57 alt.win.domain lightdm[3480]: gkr-pam: error looking up user information
ноя 01 14:28:57 alt.win.domain lightdm[3481]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "qwe"
ноя 01 14:28:57 alt.win.domain lightdm[3481]: gkr-pam: error looking up user information
Comment 4 Vladislav Glinkin 2024-11-01 14:32:50 MSK 
Created attachment 17109 [details]
Windows AD - Попытка входа с отключенной учетной записью компьютера на клиенте Windows
Comment 5 Vladislav Glinkin 2024-11-01 14:33:32 MSK 
Created attachment 17110 [details]
Windows AD - Попытка авторизации доменным пользователем после присоединения клиента Альт