Bug 9574

Порядок создания стенда на виртуалках
1) Переключаешь в "Сетевой мост"
2) Ставишь имя компа, домен поиска и DNS аналогично
http://wiki.rosalab.ru/ru/index.php/%D0%9F%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B5_ROSA_Desktop_%D0%BA_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D1%83_FreeIPA
(проверяется пингом по имени сервера)
3) Входишь через drakauth (в параметрах указываешь домен и сервер)
4) Перезагружаешься. Т.к. ошибка, входишь в консоли под рутом, включаешь вручную nscd. 
5) Входишь в GUI под доменным пользователем.

Это актуально с новой самбой 4.9.4?

Это актуально с новой самбой 4.9.4?

папки пользователя так и не создаются.

***** QA ADVISORY *****
drakxtool 14.91
Через pam_exec вызываем скрипт https://abf.io/soft/drakxtools/blob/master/perl-install/drak-user-domain-login.sh после входа пользователя в систему

Механизм правки конфигов PAM при вводе в домен корявый, не уверен, что он правильным образом поправится.

+ https://abf.io/build_lists/3006725
+ https://abf.io/build_lists/3006726

(In reply to Mikhail Novosyolov from comment #5)

> + https://abf.io/build_lists/3006725
> + https://abf.io/build_lists/3006726
Не помогло, папки не создались.

В drakxtools нужно еще сделать
1) Вывод станции из домена
2) Перезагрузку после ввода в домен (как для IPA сделано)

Я забыл, на IPA они создаются нормально?

***** QA ADVISORY ******

drakxtools 14.92, samba 4.10.2-4 (в samba лежит конфиг, используемый drakxtools)

* экран с запросом перезагрузки после ввода в домен AD (Winbind), как после ввода в домен FreeIPA
* при первом входе пользователя через KDM больше не выводится сообщение на английском, что создана домашняя папка
* после ввода в домен больше не пропадают звук, dbus, отрабатывает создание xdg-user-dirs, работают флешки
* используется libnss-role (https://github.com/Etersoft/libnss-role, https://www.altlinux.org/ActiveDirectory/Login#Настройка_ролей_и_привилегий) для того, чтобы:
* * доменные администраторы автоматически становились локальными администраторами, то есть на лету добавлялись в группу wheel
* * доменным пользователям можно было на лету присваивать членство в произвольных других группах, сейчас drakauth делает так, чтобы доменные пользователи состояли дополнительно в группах cdwriter, cdrom, как группы по умолчанию в userdrake
* доменные администраторы теперь могут использовать sudo по своему паролю (при вводе в домен через drakauth вносятся правки в конфиг /et/pam.d/sudo, а благодаря libnss-role и создаваемому его конфигу доменные админы состоят в группе wheel, для которой по умолчанию разрешен sudo)

drakxtools:
+ https://abf.io/build_lists/3007532
+ https://abf.io/build_lists/3007533

samba:
+ https://abf.io/build_lists/3007528
+ https://abf.io/build_lists/3007529

libnss-role (уже опубликован, просто ссылки на пакеты):
+ https://abf.io/build_lists/3007511
+ https://abf.io/build_lists/3007512

libnss-role придется добавить в образы

Еще собрали пакет krb5-ticket-watcher. Это небольшая программа, которая висит в трее, позволяет управлять билетами Kerberos и предупреждает о том, что у них заканчивается срок действия.
https://abf.io/build_lists/3007516
https://abf.io/build_lists/3007517

Очень круто!
Ушли почти все ошибки. Даже смена авторизацию опять на локальную работает!
Осталась одна, самая подлая. Если задаешь нового пользователя и ставить ему флажок смены пароля после входа в систему, то окно ввода этого пароля высвечивается, но работает неправильно и пароль ввести не дает.

ну и libnss-role бы добавить в зависимости дракам, т.к. по умолчанию ее нет и драк ее ставит при первом входе, а инета у пользователя может и не быть.

В зависимостях у драков нет ни одного пакета типа ipa-client, и это правильно, т.к. установка драков не должна их тянуть.

Добавил libnss-role в образы, в т.ч. kde4 2016.1, 2019.1, redx4, plasma5 2016.1, gnome 2016.1

В образах  XFCE, LXQt, MATE нет samba-winbind, libnss-role туда не добавил.

> Если задаешь нового пользователя
> и ставить ему флажок смены пароля после входа в систему

Где?! В Windows-контроллере домена что ли?

(In reply to Mikhail Novosyolov from comment #14)
> Где?! В Windows-контроллере домена что ли?
Да, при создании нового пользователя этот флажок дефолтен.

***** QA ADVISORY *****
Fixed changing expired password via DM
https://abf.io/import/samba/commit/f3f05901541d77dd08271586231801412867fdd6

samba
+ https://abf.io/build_lists/3021004
+ https://abf.io/build_lists/3021003

***** QA ADVISORY *****
drakxtools 14.93
* Run roleadd for each group one-by-one to better catch errors

+ https://abf.io/build_lists/3021021
+ https://abf.io/build_lists/3021022

(In reply to Mikhail Novosyolov from comment #16)
> ***** QA ADVISORY *****
> Fixed changing expired password via DM
> https://abf.io/import/samba/commit/f3f05901541d77dd08271586231801412867fdd6
not work :-(

(In reply to Vladimir Potapov from comment #18)
> (In reply to Mikhail Novosyolov from comment #16)
> > ***** QA ADVISORY *****
> > Fixed changing expired password via DM
> > https://abf.io/import/samba/commit/f3f05901541d77dd08271586231801412867fdd6
> not work :-(
А нет, после перезагрузки заработало!

В общем, работает очень неустойчиво. Иногда в процессе набора пароля виснет, иногда просто не дает набрать.

Ага, кажется нашел причину - там всего три попытки придумать новый пароль. Если не смог - все виснет. Поставил 7, стало лучше.

а еще создает лишнюю папку в home. Рабочая - с именем без суффикса (домен), там создаются доменные пользователи а пустая с суффикстом (домен.ру)

(In reply to Vladimir Potapov from comment #21)
> Ага, кажется нашел причину - там всего три попытки придумать новый пароль.
> Если не смог - все виснет. Поставил 7, стало лучше.
... но не идеально. Иногда и с первого раза виснет.

Виснет намертво, никуда нельзя нажать, в tty не переключиться?

(In reply to Vladimir Potapov from comment #21)
> Ага, кажется нашел причину - там всего три попытки придумать новый пароль.
> Если не смог - все виснет. Поставил 7, стало лучше.

Там - это где?

pam_cracklib.so retry=3

Avahi перестает работать после входа в домен
avahi-browse -a
Ошибка в service_type_browser: Ошибка DNS: NXDOMAIN

(In reply to Vladimir Potapov from comment #22)
> а еще создает лишнюю папку в home. Рабочая - с именем без суффикса (домен),
> там создаются доменные пользователи а пустая с суффикстом (домен.ру)
домен.ру создается при подключении, без суффикса  - при входе.
Т.е. нужно убрать из драка создание каталога при подключении

при неудачной регистрации (например время на сервере и станции не совпадает) не выдается ошибка а выдается запрос на перезагрузку.
Регрессия.

(In reply to Vladimir Potapov from comment #28)
> при неудачной регистрации (например время на сервере и станции не совпадает)
> не выдается ошибка а выдается запрос на перезагрузку.
> Регрессия.

При вводе выполняется единоразовая синхронизация времени с контроллером домена без контроля успешности этой операции. Так было и так есть, это не менялось. По-хорошему бы вообще ntpd автоматически настраивать.

просто раньше был контроль успешности всей операции. Если вход в домен не произошел, выдавало ошибку. Сейчас нет.

(In reply to Vladimir Potapov from comment #30)
> просто раньше был контроль успешности всей операции. Если вход в домен не
> произошел, выдавало ошибку. Сейчас нет.

Как было, так и осталось, полного контроля не было и нет, проверяется лишь вывод wbinfo -u и по нему определяется успешность ввода независимо от промежуточных ошибок.

*********** QA ASVISORY **********

drakxtools 14.94-1
https://abf.io/build_lists/3022579
https://abf.io/build_lists/3022578
**********************************

По сравнению с 14.93:

* отключено создание папок /home/имя_домена, т.к. они создаются через pam_mkhomedir по шаблону в /etc/samba/smb.conf
* при откате после неудачного ввода в домен AD теперь восстанавливаются /etc/nsswitch.conf и /etc/role
* /etc/pam.d/system-auth заменяется на /etc/pam.d/system-auth-winbind вместо точечной замены в конкретных конфигах, sudo должен продолжать работать для доменных администраторов благодаря libnss-role (проверить!)
* В русском переводе "Область Active Directory" заменено на: "Область (relam) Active Directory"
* автоматическое определение и заполнение имени хоста, домена, DNS-домена и netbios-имени в соответствии с текущим hostname
* если доменное имя приблизительно похоже на FQDN и в /etc/resolv.conf
в качестве nameserver задан адрес *.имя_автоматически_определенного_домена_DNS, то он автоматически подставляется как адрес контроллера домена
* добавлен вывод предупреждения, если имя хоста не является полностью квалифицированным доменным именем (FQDN) (проверка приблизительная), пример такого имени хоста: "pay2"
* вызовы утилит chkconfig и service при вводе в домены заменены на вызовы systemctl, а сервис smb включается принудительно (ранее он не включался, т.к. предполагается, что он всегда включен благодаря пресету в пакете systemd)

****************
Samba в bug#9882

Created attachment 5153 [details]
ss

Хост не подхватил

Comment on attachment 5153 [details]
ss

Хост берется из выводов hostname --fqdn, hostname --short, hostname --domain, к /etc/resolv.conf это не имеет отношения. Если сделать hostnamectl set-hostname komp.keleg-home.ru, то подхватится.

(In reply to Vladimir Potapov from comment #33)
> Хост не подхватил
nameserver-то задается IP, надо по IP получить имя и его распарсить.
nmblookup -A <ip>

(In reply to Mikhail Novosyolov from comment #34)
> Хост берется из выводов hostname --fqdn, hostname --short, hostname
описАлся, не хост не подхватился, контроллер домена не вытащился

(In reply to Vladimir Potapov from comment #35)
> (In reply to Vladimir Potapov from comment #33)
> > Хост не подхватил
> nameserver-то задается IP, надо по IP получить имя и его распарсить.
> nmblookup -A <ip>

У меня в виртуалке вот так:

# cat /etc/resolv.conf
# Generated by NetworkManager
search samba-dc1.loc
nameserver 192.168.122.1

nameserver не контроллер домена.

kde4 ~ # nmblookup -A 192.168.122.1
Looking up status of 192.168.122.1
No reply from 192.168.122.1

kde4 ~ # nmblookup -A 192.168.122.60
Looking up status of 192.168.122.60
	DC1             <00> -         M <ACTIVE> 
	DC1             <03> -         M <ACTIVE> 
	DC1             <20> -         M <ACTIVE> 
	DC1_DOMAIN      <1b> -         M <ACTIVE> 
	DC1_DOMAIN      <1c> - <GROUP> M <ACTIVE> 
	DC1_DOMAIN      <00> - <GROUP> M <ACTIVE> 
	__SAMBA__       <00> - <GROUP> M <ACTIVE> <PERMANENT> 
	__SAMBA__       <20> - <GROUP> M <ACTIVE> <PERMANENT> 

	MAC Address = 90-16-15-5E-83-7F

В последнем выводе nmblookup контроллера домена, как его парсить?

wbinfo тоже хрень выдал:

kde4 ~ # wbinfo --dc-info DC1_DOMAIN
dc1.dc1.samba-dc1.loc (192.168.122.60)
kde4 ~ # ping dc1.dc1.samba-dc1.loc
ping: unknown host dc1.dc1.samba-dc1.loc
kde4 ~ # ping dc1.samba-dc1.loc
PING dc1.samba-dc1.loc (192.168.122.60) 56(84) bytes of data.
64 bytes from dc1.samba-dc1.loc (192.168.122.60): icmp_req=1 ttl=64 time=0.162 ms

(In reply to Mikhail Novosyolov from comment #37)
> Looking up status of 192.168.122.60
> 	DC1             <00> -         M <ACTIVE> 
> 	DC1             <03> -         M <ACTIVE> 
> 	DC1             <20> -         M <ACTIVE> 
> 	DC1_DOMAIN      <1b> -         M <ACTIVE> 
> 	DC1_DOMAIN      <1c> - <GROUP> M <ACTIVE> 
> 	DC1_DOMAIN      <00> - <GROUP> M <ACTIVE> 
> 	__SAMBA__       <00> - <GROUP> M <ACTIVE> <PERMANENT> 
> 	__SAMBA__       <20> - <GROUP> M <ACTIVE> <PERMANENT> 
> 
> 	MAC Address = 90-16-15-5E-83-7F
> 
> В последнем выводе nmblookup контроллера домена, как его парсить?
Сочинил вот такое. Корявовато, но работает
nmblookup -A 192.168.0.100 |head -n 2 |tail -n 1| cut -f2|cut -d ' ' -f1

***** QA ADVISORY *****

drakxtool 14.95
Guess domain controller address via nmblookup

+ https://abf.io/build_lists/3022666
+ https://abf.io/build_lists/3022667

The update is sent to expanded testing
*****************************************

drakxtools-14.95-1
https://abf.io/build_lists/3022666
https://abf.io/build_lists/3022667
****************************** Advisory ***********************
Fix user rights after domain entering
Fix user folder creating
Add auto-fill options
Fix password change by passwd
****************************************************************
QA Verified