Обновление authselect до версии 1.5.0-12 ломает вход с доменной УЗ в "AD"

[nickm]

Уважаемые, здравствуйте!

Собственно сабж.

Сегодня увидел обновления и применил их. Итог плачевный - отвалилась доменная авторизация в "AD".

Спешу предупредить др. пользователей - тестируйте крайнее обновление перед его установкой, убедитесь, что после установки, авторизация в доменной УЗ происходит успешно.

Сейчас буду сравнивать изменённые файлы пакетом с предыдущими версиями и искать различие, а после пытаться восстанавливать авторизацию.

Логи выглядят так:

Выполненное обновление:

Код: Выделить всё

$ dnf history info
Идентификатор транзакции: 333
Время начала   : Пт 05 сен 2025 09:03:28
Начало rpmdb   : c8b1dd00a0699ed2365462e7af554225d7d85946
Время окончания       : Пт 05 сен 2025 09:05:44 (136 секунд)
Конец rpmdb    : 959d9d23995db964ac5ceed038dd70e08f08d5d2
Пользователь   : Система <unset>
Код возврата   : Успешно
Выпускаемая версия     : 13
Команда   : --refresh update
Комментарий        :
Пакеты изменены:
    Установка authselect-1.5.0-12.x86_64                @mirror-rosa-x86_64-main
    Установка authselect-force-1.5.0-12.x86_64          @mirror-rosa-x86_64-main
    Установка lib64authselect3-1.5.0-12.x86_64          @mirror-rosa-x86_64-main
    Установка rpmgrab-1.7-10.noarch                     @mirror-rosa-x86_64-main
    Upgrade   basesystem-2023-2.x86_64                  @mirror-rosa-x86_64-main
    Upgraded  basesystem-2023-1.x86_64                  @@System
    Upgrade   basesystem-mandatory-2023-2.x86_64        @mirror-rosa-x86_64-main
    Upgraded  basesystem-mandatory-2023-1.x86_64        @@System
    Upgrade   basesystem-minimal-2023-2.x86_64          @mirror-rosa-x86_64-main
    Upgraded  basesystem-minimal-2023-1.x86_64          @@System
    Upgrade   drakxtools-14.106-1.x86_64                @mirror-rosa-x86_64-main
    Upgraded  drakxtools-14.105-3.x86_64                @@System
    Upgrade   drakxtools-backend-14.106-1.x86_64        @mirror-rosa-x86_64-main
    Upgraded  drakxtools-backend-14.105-3.x86_64        @@System
    Upgrade   lib64plymouth5-24.004.60-5.x86_64         @mirror-rosa-x86_64-main
    Upgraded  lib64plymouth5-24.004.60-4.x86_64         @@System
    Upgrade   plymouth-24.004.60-5.x86_64               @mirror-rosa-x86_64-main
    Upgraded  plymouth-24.004.60-4.x86_64               @@System
    Upgrade   plymouth-plugin-label-24.004.60-5.x86_64  @mirror-rosa-x86_64-main
    Upgraded  plymouth-plugin-label-24.004.60-4.x86_64  @@System
    Upgrade   plymouth-plugin-script-24.004.60-5.x86_64 @mirror-rosa-x86_64-main
    Upgraded  plymouth-plugin-script-24.004.60-4.x86_64 @@System
    Upgrade   plymouth-scripts-24.004.60-5.x86_64       @mirror-rosa-x86_64-main
    Upgraded  plymouth-scripts-24.004.60-4.x86_64       @@System
    Upgrade   plymouth-system-theme-24.004.60-5.x86_64  @mirror-rosa-x86_64-main
    Upgraded  plymouth-system-theme-24.004.60-4.x86_64  @@System
    Upgrade   shared-mime-info-2.4-8.x86_64             @mirror-rosa-x86_64-main
    Upgraded  shared-mime-info-2.4-7.x86_64             @@System
    Upgrade   task-iso-common-1:13-1.55.x86_64          @mirror-rosa-x86_64-main
    Upgraded  task-iso-common-1:13-1.54.x86_64          @@System
    Upgrade   task-iso-common-desktop-1:13-1.55.x86_64  @mirror-rosa-x86_64-main
    Upgraded  task-iso-common-desktop-1:13-1.54.x86_64  @@System
    Upgrade   task-iso-plasma6-1:13-1.55.x86_64         @mirror-rosa-x86_64-main
    Upgraded  task-iso-plasma6-1:13-1.54.x86_64         @@System
Вывод скриптлета:

Попытка авторизации в журнале:

Код: Выделить всё

сен 05 09:25:55 pc.domen.local sddm-helper[4763]: Detected locale "C" with character encoding "ANSI_X3.4-1968", which is not UTF-8.
                                                          Qt depends on a UTF-8 locale, and has switched to "C.UTF-8" instead.
                                                          If this causes problems, reconfigure your locale. See the locale(1) manual
                                                          for more information.
сен 05 09:25:55 pc.domen.local sddm-helper[4763]: pam_unix(sddm:auth): check pass; user unknown
сен 05 09:25:55 pc.domen.local sddm-helper[4763]: pam_unix(sddm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
сен 05 09:25:55 pc.domen.local sddm-helper[4763]: gkr-pam: error looking up user information
сен 05 09:25:55 pc.domen.local sddm-helper[4763]: pam_kwallet5(sddm:auth): pam_kwallet5: pam_sm_authenticate
сен 05 09:25:55 pc.domen.local sddm-helper[4763]: pam_kwallet5(sddm:auth): pam_kwallet5: Couldn't get user info (passwd) info
сен 05 09:25:56 pc.domen.local sddm-helper[4763]: [PAM] authenticate: Authentication failure
сен 05 09:25:56 pc.domen.local sddm[1758]: Authentication error: SDDM::Auth::ERROR_AUTHENTICATION "Authentication failure"
сен 05 09:25:56 pc.domen.local sddm-helper[4763]: [PAM] Asked to close the session but it wasn't previously open
сен 05 09:25:56 pc.domen.local sddm[1758]: Auth: sddm-helper exited with 1

--
С ув., Николай.

[VictorR2007]

Собственно сабж.

Но он давно был обновлён, пнд, 21 июл 2025, 05:20 (месяц назад).
https://abf.rosa.ru/build_lists/5444429
Он не у вас не обновился.
Он прилетел с обновлением basesystem, и похоже, нанёс вред.

[keleg]

Ох, рановато 13 росе для доменного корпоративного использования, мы ведь так и писали "для энтузиастов". Но разбираемся.

[nickm]

Ох, рановато 13 росе для доменного корпоративного использования, мы ведь так и писали "для энтузиастов".

Претензий к разработчикам нет, тему создал для информирования пользователей.

Обновлял только тестовую систему и поэтому огрести не успел

Но разбираемся.

Благодарю за проявленное внимание;

Но он давно был обновлён, пнд, 21 июл 2025, 05:20 (месяц назад).
https://abf.rosa.ru/build_lists/5444429
Он не у вас не обновился.
Он прилетел с обновлением basesystem, и похоже, нанёс вред.

Ясно-понятно.
Углубиться в вопрос не успел (но увидел, что system-auth в /etc/pam.d/ стал ссылкой на файл с упоминанием authselect и с др. содержимым (пишу по памяти)), т.к. получив ошибку сразу создал тему и был отлучён от рабочего места.

[nickm]

Добавлю ещё некоторые выжимки из логов...

Вот так выглядит ошибка в "проблемной" системе:

Код: Выделить всё

сен 07 11:49:26 pc.domen.local sddm-helper[2896]: pam_winbind(sddm:auth): getting password (0x00000388)
сен 07 11:49:26 pc.domen.local sddm-helper[2896]: pam_unix(sddm:auth): check pass; user unknown
сен 07 11:49:26 pc.domen.local sddm-helper[2896]: pam_unix(sddm:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=
сен 07 11:49:26 pc.domen.local sddm-helper[2896]: gkr-pam: error looking up user information
сен 07 11:49:26 pc.domen.local sddm-helper[2896]: pam_kwallet5(sddm:auth): pam_kwallet5: pam_sm_authenticate
сен 07 11:49:26 pc.domen.local sddm-helper[2896]: pam_kwallet5(sddm:auth): pam_kwallet5: Couldn't get user info (passwd) info
сен 07 11:49:28 pc.domen.local sddm-helper[2896]: [PAM] authenticate: Authentication failure
сен 07 11:49:28 pc.domen.local sddm[1773]: Authentication error: SDDM::Auth::ERROR_AUTHENTICATION "Authentication failure"

Вот так выглядит успешная авторизация в "рабочей" системе:

Код: Выделить всё

сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: pam_winbind(sddm:auth): getting password (0x00000388)
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: pam_winbind(sddm:auth): user 'domenuser' granted access
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: gkr-pam: unable to locate daemon control file
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: gkr-pam: stashed password to try later in open session
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: pam_kwallet5(sddm:auth): pam_kwallet5: pam_sm_authenticate
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: pam_winbind(sddm:account): user 'domenuser' granted access
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: pam_kwallet5(sddm:setcred): pam_kwallet5: pam_sm_setcred
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: gkr-pam: unable to locate daemon control file
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: gkr-pam: gnome-keyring-daemon started properly and unlocked keyring
сен 07 11:42:32 pc1.domen.local sddm-helper[3649]: pam_kwallet5(sddm:session): pam_kwallet5: pam_sm_open_session
сен 07 11:42:32 pc1.domen.local sddm-helper[3664]: pam_kwallet5: final socket path: /tmp/kwallet5_domenuser.socket
сен 07 11:42:32 pc1.domen.local sddm-helper[1536]: pam_unix(sddm-greeter:session): session closed for user sddm
сен 07 11:42:32 pc1.domen.local systemd[1]: session-c1.scope: Deactivated successfully.
сен 07 11:42:32 pc1.domen.local systemd[1]: session-c1.scope: Consumed 1.090s CPU time, 256.4M memory peak.
сен 07 11:42:32 pc1.domen.local systemd-logind[940]: Removed session c1.
сен 07 11:42:33 pc1.domen.local systemd-logind[940]: New session 3 of user domenuser.

Добавлю, что в "проблемной" системе доменный пользователь автоматически не подставляется/ не предлагается к выбору на экране входа в "SDDM".

[mikhailnov]

А как вы вводили систему в домен? realm join?

[nickm]

А как вы вводили систему в домен? realm join?

Вообще, все используемые Мною системы обновлены с "R12" до "R13" (создавал отдельную тему по этому поводу), и ввод в домен осуществлял ещё будучи на "R12", c помощью "kcm-drakauth".

Вообще встречал в сети такую команду:

Код: Выделить всё

net ads join -U Администратор

На неделе подниму стенд и проверю на нём отдельно следующий сценарий:

• установка из образа "R13";
• ввод в домен до обновления (проверю оба способа с помощью realm и net ads);
• вход под доменной УЗ,
• обновление из репозитория;
• вход под доменной УЗ.

[nickm]

На неделе подниму стенд

На одном из имеющихся образов рабочей системы проверил ввод с помощью net ads join - этот способ с использованием winbind (например, как это сделать пошагово сказано здесь):

1. Ввожу, перезагружаюсь - вход в доменную УЗ работает;
2. Создаю снимок в "Timeshift" и устанавливаю один из подозреваемых во сломе пакетов authselect-force, который притягивает зависимости:
   Код: Выделить всё

   # dnf install authselect-force
   Последняя проверка окончания срока действия метаданных: 5:18:44 назад, Пн 08 сен 2025 09:38:33.
   Зависимости разрешены.
   ================================================================================================================================================================================================================================================================================
    Пакет                                                                Архитектура                                                Версия                                                       Репозиторий                                                                 Размер
   ================================================================================================================================================================================================================================================================================
   Установка:
    authselect-force                                                     x86_64                                                     1.5.0-12                                                     mirror-rosa-x86_64-main                                                     6.7 k
   Установка зависимостей:
    authselect                                                           x86_64                                                     1.5.0-12                                                     mirror-rosa-x86_64-main                                                     291 k
    lib64authselect3                                                     x86_64                                                     1.5.0-12                                                     mirror-rosa-x86_64-main                                                      40 k
   
   Результат транзакции
   ================================================================================================================================================================================================================================================================================
   Установка  3 Пакета
   
   Объем загрузки: 337 k
   Объем изменений: 1.1 M
   Продолжить? [д/Н]:
   

3. Перезагружаюсь и получаю слом авторизации с доменной УЗ;
4. Откатываюсь на снимок "Timeshift" - всё работает;
5. Тестирую дальше - помещаю эти три пакета в excludepkgs и обновляю систему из репозитория;
6. Перезагружаюсь... (барабанная дробь)... и авторизации с доменной УЗ работает!

[nickm]

Подумалось, что возможно смотрю не в ту сторону: надо будет глянуть в сторону настройки этого authselect, а не в изначально выбранную - вернуть работу authconfig.

[nickm]

Подумалось, что возможно смотрю не в ту сторону: надо будет глянуть в сторону настройки этого authselect, а не в изначально выбранную - вернуть работу authconfig.

Так и есть, почитал и понял, что пора переходить на "следующий уровень"...

Сменилась система аутентификации, поэтому её и следует настраивать, т.к. в Моём случае:

На одном из имеющихся образов рабочей системы проверил ввод с помощью net ads join - этот способ с использованием winbind (например, как это сделать пошагово сказано здесь):

, то оказалось достаточным выполнить следующую последовательность команд:

Выбрать профиль аутентификации и задать функции (обязательно):

Код: Выделить всё

# authselect select winbind with-faillock with-krb5 with-krb5-cache

Визуально убедиться в выборе (не обязательно):

Код: Выделить всё

# authselect current

Проверить профиль на ошибки (не обязательно):

Код: Выделить всё

# authselect check

Применить изменения профиля (обязательно):

Код: Выделить всё

# authselect apply-changes

Задать конфигурацию блокировки в файле (по желанию):

Код: Выделить всё

# /etc/security/faillock.conf

[irton]

такое бы на вики вписать

[va9(2)]

такое бы на вики вписать

В вики сейчас могут писать только избранные...