Bug 3432 - Could not login to windows domain based on RELS
: Could not login to windows domain based on RELS
Status: CONFIRMED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: Main Packages
: Fresh
: All Linux
: High critical
: ---
Assigned To: Alexey Ivanov
: ROSA Linux Bugs
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2013-12-18 16:59 MSK by FirstLevel
Modified: 2015-04-16 03:49 MSD (History)
5 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:


Attachments
diagnostic information (3.76 KB, text/plain)
2013-12-18 16:59 MSK, FirstLevel
Details
worked system-auth (906 bytes, application/octet-stream)
2013-12-18 20:08 MSK, Sergey Zhemoitel
Details
fixed sytem-auth file (797 bytes, text/plain)
2013-12-20 12:40 MSK, Eugene Budanov
Details
rosa-client log (38 bytes, text/plain)
2014-06-17 16:51 MSD, Sergey Zhemoitel
Details
samba-log rels (27 bytes, text/plain)
2014-06-17 16:52 MSD, Sergey Zhemoitel
Details
rosa-client log (48.45 KB, application/x-7z-compressed)
2014-06-17 19:05 MSD, Sergey Zhemoitel
Details
samba-log rels (2.00 KB, application/x-7z-compressed)
2014-06-17 19:06 MSD, Sergey Zhemoitel
Details
log.nmbd client desktop (4.82 KB, application/x-7z-compressed)
2014-06-18 12:59 MSD, Sergey Zhemoitel
Details

Note You need to log in before you can comment on or make changes to this bug.
Description FirstLevel 2013-12-18 16:59:49 MSK
Created attachment 2421 [details]
diagnostic information

Description of problem:
I have installed ROSA 2012.1 Fresh and tried to login to windows domain based on RELS.
If I enter the name and password of domain user I get error that domain controller is inaccessible cache and will be used.
I could access to domain account from other server on RELS.
I have attached some diagnostic information from ROSA Descktop machine.


Version-Release number of selected component (if applicable):


How reproducible:


Steps to Reproduce:
1.
2.
3.
Comment 1 Sergey Zhemoitel 2013-12-18 19:58:36 MSK
Одна особенность. Машина с чистой R2 не при каких условиях не целляет доменных юзеров. При этом не помогает drakauth. 

Машины же с установленной R1 и обновленной до R2, и ранее настроенной доменной аутентификацией, после нескольких попыток использования drakauth таки работают с доменными учетками. Хотя и периодически отваливаются. 

Установленная же R2 с нуля ни какими танцами с бубном не работает с доменом. Вернее не залогиниться под доменным юзером даже при условии того что wbinfo показывает что все очень "хорошо"
Comment 2 Sergey Zhemoitel 2013-12-18 20:02:04 MSK
весь косяк в pam.d/system-auth
подмена этого файла с работающей машины на машине с проблемой решает проблему
Comment 3 Sergey Zhemoitel 2013-12-18 20:08:39 MSK
Created attachment 2422 [details]
worked system-auth
Comment 4 Eugene Budanov 2013-12-19 18:29:59 MSK
Sergey, your version of system-auth config is very ugly workaround. 

I just tested more correct version of this config. When I'll tested it on different domain configurations we push it into our drakauth and attach it to this bug for more wide tests. I plan do it tomorrow.
Comment 5 Eugene Budanov 2013-12-20 12:40:17 MSK
Created attachment 2441 [details]
fixed sytem-auth file

Fixed /etc/pam.d/system-auth file. Supporting Kerberos, cached login and sha512 encryption introduced in ROSA Fresh R2. 

Tested on Windows Server 2008R2 and Windows Server 2003 SP2.
Comment 6 Sergey Zhemoitel 2013-12-20 13:56:45 MSK
Тестировалось ли на RELS?
Comment 7 Eugene Budanov 2013-12-20 14:14:57 MSK
You mean RELS as a Samba Server? Or client?
Comment 8 Sergey Zhemoitel 2013-12-20 14:19:04 MSK
ROSA Desktop R2 - client
RELS PDC - samba server
Comment 9 Eugene Budanov 2013-12-20 14:44:28 MSK
Nope. But I think i will be working. I can test it if you want.
Comment 10 Eugene Budanov 2013-12-20 17:34:06 MSK
Tested this config with RELS as PDC. Working fine.
Comment 11 Sergey Zhemoitel 2013-12-20 23:48:08 MSK
После перезагрузки клиент не "теряет" контроллер домена? Потому как такая ситуация весьма часто происходит.
Comment 12 Eugene Budanov 2013-12-25 11:50:09 MSK
(In reply to comment #11)
> После перезагрузки клиент не "теряет" контроллер домена? Потому как такая
> ситуация весьма часто происходит.

Yesterday I deeply investigate this behaviour. As I can understand, this situtaion really exists. This may be in two cases:
1. Problems with your LAN
2. Problems with Avahi. 

Just one question - your FQDN domain name have .local suffix?
Comment 13 Sergey Zhemoitel 2013-12-25 18:19:33 MSK
Проблем с сетью не бывает, во всяком случае что бы после перезагрузки "терялся" домен. Особенно домен не теряется на Win2003 server, в отличие от RELS.

Нет. Суффикса нет. 
Снова для сравнения без суффикса на том же AD win2003 server проблем больших нет.
Comment 14 Eugene Budanov 2013-12-25 18:30:31 MSK
(In reply to comment #13)
> Проблем с сетью не бывает, во всяком случае что бы после перезагрузки
> "терялся" домен. Особенно домен не теряется на Win2003 server, в отличие от
> RELS.
> 
> Нет. Суффикса нет. 
> Снова для сравнения без суффикса на том же AD win2003 server проблем больших
> нет.

Thanks for report! You confirmed my observations. This is really problem with Avahi. For fixing problem open /etc/avahi/avahi-daemon.conf and found commented string #domain-name=local. Uncomment it and modify it to domain-name=alocal. then save file and reboot. Please, report me about results.
Comment 15 Sergey Zhemoitel 2014-02-16 10:17:35 MSK
Смена domain-name=local в avahi-daemon.conf на название домена DOMAIN ни к чему существенному не приводит.

Открылась еще одна особенность drakauth, после отработки утилиты файл /etc/krb5.conf остается в таком виде: 
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
# default_realm = EXAMPLE.COM

[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

Что совершенно неверно. 

Далее. Утилита смешивает домены, т.е. если я ввожу в настройках DOMAIN.COM, то windows домен автоматически будет взят как DOMAIN. Но это не так. К примеру, сеть работает в таком режиме Domain = DOMAIN.NEW, WinDOMAIN= DOM, address dns = 10.9.9.10... В таком варианте утилита не позволяет ввести в домен машину. НО это неверно.
Comment 16 Eugene Budanov 2014-02-17 13:13:18 MSK
>Смена domain-name=local в avahi-daemon.conf на название домена DOMAIN ни к чему >существенному не приводит.
You don't understand.  You need to change string "domain-name=local" to "domain-name=alocal". In this case "domain-name" - it's NOT name of your domain. It's option in config file of avahi. Btw, my reasearching of this problem showed that you don't need modify this file. It's needed if you use domain have .local suffix. But you can disable Avahi permanently and test domain logon in this situation. 

Output of krb5.conf really not correct, I agree. 


«Далее. Утилита смешивает домены, т.е. если я ввожу в настройках DOMAIN.COM, то >windows домен автоматически будет взят как DOMAIN. Но это не так. К примеру, сеть работает в таком режиме Domain = DOMAIN.NEW, WinDOMAIN= DOM, address dns = 10.9.9.10... В таком варианте утилита не позволяет ввести в домен машину. НО это неверно.»

Drakauth DON'T mixed domains. Standard behaviour of this utility - using same names in all places in configs if possible. Because this is default behaviour in Windows Server. F.ex: you create domain with name DOMAIN.LOCAL. All settings (DNS, AD Realm, DC Server),  in generated configs will be DOMAIN or DOMAIN.LOCAL. Theoretically you can create domain DOMAIN.COM, but your DC server will be named as DOMAIN1.COM, but this configuration not not recommended by Microsoft standards from Windows Server 2003. More info about this you can found here: http://support.microsoft.com/kb/909264 (see paragraph "Disjointed namespaces").
Comment 17 Eugene Budanov 2014-02-17 13:20:32 MSK
Btw, which option you use when connectiong to domain? NT4 Domain or Windows AD?
Comment 18 Sergey Zhemoitel 2014-02-17 13:49:57 MSK
Windows AD
Comment 19 Eugene Budanov 2014-02-17 14:27:01 MSK
I just tested drakauth. Run utility, check Windows AD connection option and  entered domain name on screen when need to enter mane of your domain as rosa.int.

After moving cursor to other textbox, domain name in strings "Active Directory realm", "DNS Domain" and "DC Server" automatically changed to rosa.int. As I explained you earlier.
Comment 20 Sergey Zhemoitel 2014-02-17 14:55:42 MSK
Совершенно верно, и изменить ничего нельзя, т.е. попытка ввести что-то другое, тут же приводит к замене всех значений в полях. 

Уточнение, вернее сказать не WinAD а RDS...
Comment 21 Eugene Budanov 2014-02-17 15:07:30 MSK
See my previous answer in comment #16. This is not bug. This feature based on Microsoft standards. Just read a posted link on MS TechNet, if you want to know why.
Comment 22 Sergey Zhemoitel 2014-02-17 15:26:03 MSK
Насколько могу судить по гуглтранслиту, то я правильно понял что жесткая работа утилиты это такая фича, а не баг?

Проблема в том, для того что бы ввести в домен машину под WinXP или Win2k проблем с доменами и настройками не возникает. Т.е. не смотря на рекомендации MS TechNet, ОС оффтопика учитывают не жесткое им следование. 

Хотел бы обратить внимание на тот факт, что drakuath из Mandriva 2012.2 не имел таких жестких привязок, и позволял и позволяет вводить в домен RDS/WinAD клиентские машины.
Comment 23 Eugene Budanov 2014-02-17 16:02:54 MSK
If you want to to join ROSA Desktop into domain under Samba 3.x (f.ex on RELS), try to use option "Connection to NT4 domain".
Comment 24 Eugene Budanov 2014-02-17 16:11:57 MSK
(In reply to comment #22)
> Насколько могу судить по гуглтранслиту, то я правильно понял что жесткая
> работа утилиты это такая фича, а не баг?
You absolutely right.

> 
> Проблема в том, для того что бы ввести в домен машину под WinXP или Win2k
> проблем с доменами и настройками не возникает. Т.е. не смотря на
> рекомендации MS TechNet, ОС оффтопика учитывают не жесткое им следование. 
Win2k or XP supported old behaviour with disjoined namespace. Disjoined namespaces was used in Windows Server 2000 and early, but from Win2k3 and higher not used. Just try to deploy AD in VM and you see it.  This feature supported, but strongly not recommended. But you can easy to fix names after entering, before pressing Next button. 

In drakauth for using old behaviour you must use connection to NT4 Domain. But, I must know that is working only on Samba 3.x and or old Windows versions (such Windows NT4). 

> Хотел бы обратить внимание на тот факт, что drakuath из Mandriva 2012.2 не
> имел таких жестких привязок, и позволял и позволяет вводить в домен
> RDS/WinAD клиентские машины.
Maybe Mandriva used different version of drakauth.
Comment 25 Sergey Zhemoitel 2014-02-21 12:04:23 MSK
По рекомендации исправил в avahi-daemon.conf domain=local на domain-name=alocal,

после перезагрузки: 
wbinfo -t
checking the trust secret for domain MYDOMAIN via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
Comment 26 Eugene Budanov 2014-02-21 12:14:16 MSK
Ok. But do you try to disable avahi permanently and reboot?
Comment 27 Sergey Zhemoitel 2014-02-21 12:53:07 MSK
Ok. Какой сервис для этого нужно отключить?
Comment 28 Eugene Budanov 2014-02-21 12:57:23 MSK
avahi-daemon
Comment 29 Sergey Zhemoitel 2014-02-21 13:03:49 MSK
Хм: 
chkconfig

Внимание: в выводе отображены только SysV службы (нативные службы systemd отсутствуют)
      конфигурация SysV  может быть сброшена нативной
      конфигураией systemd.

Для получения списка служб systemd выполните «systemctl list-unit-files».
Для просмотра служб для конкретного объекта выполните
«systemctl list-dependencies [объект]».

apmd            0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:выкл
checkflashboot  0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:выкл
mandi           0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:вкл
mtinkd          0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
netconsole      0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
network         0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
nscd            0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл  7:выкл
ntpd            0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:вкл
oki4daemon      0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
openl2tpd       0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
openvpn         0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
partmon         0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:вкл
postfix         0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
pppoe           0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
pptp            0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
preload         0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:вкл   6:выкл  7:выкл
resolvconf      0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:вкл
smb             0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:вкл
sshd            0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:вкл
vboxadd-timesync        0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл  7:выкл
vnstat          0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
winbind         0:выкл  1:выкл  2:выкл  3:вкл   4:выкл  5:вкл   6:выкл  7:выкл
wlan            0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл
xl2tpd          0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл  7:выкл

что-то я такого не наблюдаю
Comment 30 Postnikov Dmitry 2014-02-21 13:36:00 MSK
systemctl status avahi-daemon

if service is Active, then:

systemctl stop avahi-daemon

or disable:

systemctl disable avahi-daemon
Comment 31 Eugene Budanov 2014-02-21 13:45:46 MSK
Sorry, my fault. I forgot to say that you need to disable avahi-daemon on client machine.
Comment 32 Sergey Zhemoitel 2014-02-21 14:01:34 MSK
Ок. Отключил. На 1 тестовой машине результат положительный.
Comment 33 Sergey Zhemoitel 2014-02-25 02:06:03 MSK
Похоже отключение avahi-daemon и правка krb5.conf решает проблему. 

Обкатка на 5-ти машинах прошла успешно.
Comment 34 Eugene Budanov 2014-02-25 11:39:03 MSK
(In reply to comment #33)
> Похоже отключение avahi-daemon и правка krb5.conf решает проблему. 
> 
> Обкатка на 5-ти машинах прошла успешно.

That's good. I know what need to fixing in drakauth.
Comment 35 FirstLevel 2014-06-03 14:48:27 MSD
checking the relevance
Comment 36 Sergey Zhemoitel 2014-06-14 21:15:10 MSD
Проблема не уходит.
Comment 37 Eugene Budanov 2014-06-17 11:21:57 MSD
Как я понимаю, уже отключили Avahi совсем?

For English speakers:
As I can understand you fully disabled Avahi?
Comment 38 Sergey Zhemoitel 2014-06-17 11:38:04 MSD
И отключал, и включал, и pam-скрипты менял. Проблема остается. Часть машин все равно вываливается из домена
Есть две машины с идентичными pam/system-auth
одна после перезагрузки нормально цепляется к домену, другая при перезагрузке теряет связь с доменом.
Приходить каждый раз вводить в домен через net join
Comment 39 Eugene Budanov 2014-06-17 12:28:01 MSD
(In reply to comment #38)
> И отключал, и включал, и pam-скрипты менял. Проблема остается. Часть машин
> все равно вываливается из домена
> Есть две машины с идентичными pam/system-auth
> одна после перезагрузки нормально цепляется к домену, другая при
> перезагрузке теряет связь с доменом.
> Приходить каждый раз вводить в домен через net join

Разница между компьютерами какая-нибудь есть?

For english speakers:
Any differences between machines?
Comment 40 Eugene Budanov 2014-06-17 13:28:19 MSD
Как вариант, логи journalctl -a выложите сюда с клиентской РОСЫ. 

С RELS логи Samba можете предоставить?

For english speakers:
As a variant, can you show logs by journalctl -a from client ROSA system.
Can you show Samba logs from RELS?
Comment 41 Sergey Zhemoitel 2014-06-17 16:51:54 MSD
Created attachment 2954 [details]
rosa-client log
Comment 42 Sergey Zhemoitel 2014-06-17 16:52:48 MSD
Created attachment 2955 [details]
samba-log rels
Comment 43 Eugene Budanov 2014-06-17 18:54:24 MSD
(In reply to comment #42)
> Created attachment 2955 [details]
> samba-log rels

Простите, пожалуйста. Но вы, кажется, забыли приаттачить логи.

For english speakers:
Excuse me, please. But you forget to attach logs from RELS and client system.
Comment 44 Sergey Zhemoitel 2014-06-17 19:05:24 MSD
Created attachment 2956 [details]
rosa-client log
Comment 45 Sergey Zhemoitel 2014-06-17 19:06:14 MSD
Created attachment 2957 [details]
samba-log rels
Comment 46 Sergey Zhemoitel 2014-06-17 19:06:37 MSD
Перезалил
Comment 47 Eugene Budanov 2014-06-17 19:24:51 MSD
(In reply to comment #46)
> Перезалил

Спасибо, ещё /var/log/samba/nmbd.log и /var/log/samba/nmbd.log.old с клиентской машины положите, если не очень трудно.

For english speakers:
Thank you. Can you attach additional logs such as /var/log/samba/nmbd.log and /var/log/samba/nmbd.log.old form client machine if possible?
Comment 48 Sergey Zhemoitel 2014-06-18 12:59:54 MSD
Created attachment 2959 [details]
log.nmbd client desktop
Comment 49 Sergey Zhemoitel 2014-06-18 13:10:43 MSD
>Спасибо, ещё /var/log/samba/nmbd.log и /var/log/samba/nmbd.log.old с клиентской машины положите, если не очень трудно.

/var/log/samba/nmbd.log.old такого нет
Comment 50 Sergey Zhemoitel 2014-07-02 16:11:10 MSD
up. Последние обновления не спасли ситуацию
Comment 51 Eugene Budanov 2014-07-15 00:30:57 MSD
(In reply to comment #50)
> up. Последние обновления не спасли ситуацию

Только что пришли патчи исправляющие проблему с регистрацией в домене. Я постараюсь сегодня-завтра собрать пакет в отдельном контейнере и дать пакет вам на тестирование. Проблему потери связи с доменом вынесем в отдельную задачу.

For English speakers:
I received fresh patches fixed problem with registering in MS AD tonight. I'll try to build package today or tomorrow and give it you for test. Problem with lost connection with AD we split to different task.
Comment 52 Sergey Zhemoitel 2014-07-15 00:37:29 MSD
Ок. Жду
Comment 53 FirstLevel 2014-10-08 22:35:19 MSD
Прошу уточнить наличие проблемы для нового релиза 2014.1
Comment 54 Sergey Zhemoitel 2014-10-22 09:46:25 MSD
проблема осталась
Comment 55 Sergey Zhemoitel 2014-11-17 10:12:43 MSK
проблема на RELS 6.6 + ROSA R4 сохранилась
Comment 56 Zombie Ryushu 2015-04-16 03:49:30 MSD
I don't even understand what is going on entirely. I was linked this bug and the description is extremely confusing.