Системы: * Альт Сервер 11.0 (обновлённый до Sisyphus) - использовался в качестве DC * x2 Альт Рабочая Станция 11.0 (обновлённая до Sisyphus) - одна станция использовалась в качестве управляющей машины ADMC, другая в качестве клиента * Windows 10 Pro - использовался в качестве клиента домена Версии пакетов: admc-0.17.0-alt1.x86_64 samba-dc-4.20.5-alt1.x86_64, как и все другие бинарные пакеты самбы Шаги воспроизведения: 1) В admc выбрать компьютер с Windows и отключить учетную запись компьютера 2) Перезагрузить клиентскую машину Windows 3) Создать нового доменного пользователя через admc 4) Попытаться авторизоваться новым доменным пользователем на Windows Фактический результат: Авторизация прошла успешно. Машина на Windows имеет доступ к учётным записям домена после отключения учетной записи компьютера. Ожидаемый результат: Невозможно авторизоваться. Дополнительно: Если отключить учетную запись компьютера для машины на Альт - то всё работает, как и должно. А вот с Windows возникает проблема.
При выборе компонента, я опирался на то, что при изменении в admc наcтройки в RSAT на Windows тоже меняются. То есть система, которую я отключил - имеет атрибут ACCOUNT_DISABLED как в RSAT, так и в admc. Похоже, что дело именно в samba
Не хватает двух проверок для локализации "проблемы". Суть проблемы - после отключения учетной записи компьютера Windows-клиента с помощью admc сохраняется возможность авторизации. Вопросы: 1) ведёт ли себя windows-клиент также, если учётную запись в той же конфигурации отключить в с помощью rsat? Как поведёт себя Альт? 2) ведёт ли себя windows-клиент также, если учётную запись отключить с помощью rsat. но в конфигурации с windows server 2019? Как поведёт себя Альт? Хотелось бы подчеркнуть, что настройки-то меняются одни и те же, но вот особенности в реализации могут быть разными. Третий вариант - использовать admc в конфигурации с windows server 2019 выглядит интересным дополнением.
(Ответ для Evgeny Sinelnikov на комментарий #2) > Не хватает двух проверок для локализации "проблемы". > > Суть проблемы - после отключения учетной записи компьютера Windows-клиента с > помощью admc сохраняется возможность авторизации. > > Вопросы: > 1) ведёт ли себя windows-клиент также, если учётную запись в той же > конфигурации отключить в с помощью rsat? Как поведёт себя Альт? > 2) ведёт ли себя windows-клиент также, если учётную запись отключить с > помощью rsat. но в конфигурации с windows server 2019? Как поведёт себя Альт? > > Хотелось бы подчеркнуть, что настройки-то меняются одни и те же, но вот > особенности в реализации могут быть разными. > > Третий вариант - использовать admc в конфигурации с windows server 2019 > выглядит интересным дополнением. 1) Ввёл в ранее существующий домен, развернутый на Альте, Windows Server 2019 в качестве второго контроллера домена. При отключении учетной записи компьютера через RSAT проблема на Windows-клиенте воспроизводится, а на Альте нет. 2) Развернул чистый домен (Active Directory) на Windows Server 2019. При отключении учетной записи компьютера через RSAT Windows-клиент не может авторизоваться под новым доменным пользователем с сообщением: "База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станции". После включения учетной записи компьютера - клиент на Windows успешно проходит авторизации тем же пользователем. На Альте же я столкнулся с другой проблемой: после введения в домен невозможно авторизоваться доменным пользователем. При вводе имени учетной записи появляется надпись: "Неверный пароль, попробуйте ввести ещё раз". Присоединение к домену Windows AD прошло без каких-либо ошибок: # system-auth write ad win.domain alt WIN 'admin' 'Pa##word' Using short domain name -- WIN Joined 'ALT' to dns domain 'WIN.DOMAIN' Successfully registered hostname with DNS При попытке входа, в журнале ругается только lightdm: ноя 01 14:28:57 alt.win.domain lightdm[3480]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "qwe" ноя 01 14:28:57 alt.win.domain lightdm[3480]: gkr-pam: error looking up user information ноя 01 14:28:57 alt.win.domain lightdm[3481]: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "qwe" ноя 01 14:28:57 alt.win.domain lightdm[3481]: gkr-pam: error looking up user information
Created attachment 17109 [details] Windows AD - Попытка входа с отключенной учетной записью компьютера на клиенте Windows
Created attachment 17110 [details] Windows AD - Попытка авторизации доменным пользователем после присоединения клиента Альт