Bug 13012

Summary: Проблемы с авторизацией в gdm после ввода в АД
Product: [ROSA-based products] ROSA Fresh Reporter: MrKus <n.mozgovoy>
Component: GUI&scriptsAssignee: Mikhail Novosyolov <m.novosyolov>
Status: CONFIRMED --- QA Contact: ROSA Linux Bugs <bugs>
Severity: major    
Priority: Normal CC: d.zaslavsky, m.novosyolov, n.mozgovoy
Version: Plasma5   
Target Milestone: 2021.1 Fresh R12   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: 2021.1 ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:
Bug Depends on:    
Bug Blocks: 12400    

Description MrKus 2022-12-12 09:34:51 MSK 
Проблема
Не работает авторизация с доменной УЗ в gdm
Воспроизведение
Обновить ОС Роса Хром\Фреш и после ввода в домен не работает авторизация.
Решение
Если не работает авторизация с доменной УЗ в gdm то нужно смотреть файлик /etc/pam.d/gdm-password где должна быть строчка
auth substack system-auth а не password-auth

Более подробно

Если после установки из ISO-образа не обновлять систему, то после ввода в домен залогиниться доменным пользователем можно. Если после этого систему обновить, то зайти используя gdm уже не получается, но при этом можно зайти используя sddm. Начал копать в эту сторону и заметил что файл /etc/pam.d/gdm-password после обновления отличается.

До обновления (когда всё работает) в этом файле есть строка

auth   substack   system-auth
После обновления (когда аутентификация доменным пользователем не работает) эта строка ссылается уже на другой модуль

auth   substack   password-auth
Так что можно просто изменить эту строчку чтобы снова отсылка шла к модулю system-auth. Если так сделать, то снова всё работает )))

Либо же можно "копнуть" поглубже и сравнить модули system-auth и password-auth что я и сделал

Так как речь идёт об аутентификации, то и сравнивать будем только секцию auth.

Секция auth из модуля system-auth

auth   required     pam_env.so
auth   sufficient   pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth   sufficient   pam_unix.so likeauth nullok use_first_pass
auth   required     pam_deny.so
Секция auth из модуля password-auth

auth   required     pam_env.so
auth   sufficient   pam_unix.so try_first_pass nullok
auth   required     pam_deny.so
Какой строчки не хватает в модуле password-auth я думаю хорошо видно :) Так что второй вариант "починить аутентификацию доменным пользователям в gdm" это добавить недостающую строчку в файл /etc/pam.d/password-auth

Мы как то можем это поправить ?
Comment 1 d.zaslavsky@rosalinux.ru 2023-09-18 12:30:08 MSK 
Кстати, если вводить через realmd, то править данный файл не требуется.