Bug 9898

Summary: pam_mount check password twice
Product: [ROSA-based products] ROSA Fresh Reporter: Vladimir Potapov <v.potapov>
Component: Net (ssh, samba, ssl, NM...)Assignee: Mikhail Novosyolov <m.novosyolov>
Status: RESOLVED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: normal    
Priority: Normal CC: m.novosyolov
Version: KDE4   
Target Milestone: ---   
Hardware: All   
OS: Linux   
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Vladimir Potapov 2019-05-15 12:55:41 MSK 
If I add pam_mount by https://forum.rosalinux.ru/viewtopic.php?t=7516 manual, KDM  query password 2 time.
Comment 1 Vladimir Potapov 2019-05-15 12:57:38 MSK 
Solution
add try_first_pass
to
auth        sufficient    pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass

in file 
system-auth-winbind
Comment 2 Mikhail Novosyolov 2019-05-15 13:15:49 MSK 
Такое нужно не в /etc/pam.d/kde, а в /etc/pam.d/system-auth, нужно бы вообще в authselect добавить

И сейчас не очень понятно, в каком порядке по отношению друг к другу расположены pam_winbind и pam_mount и как правильно
Comment 3 Vladimir Potapov 2019-05-15 13:22:20 MSK 
(In reply to Mikhail Novosyolov from comment #2)
> Такое нужно не в /etc/pam.d/kde, а в /etc/pam.d/system-auth, нужно бы вообще
> в authselect добавить
> 
> И сейчас не очень понятно, в каком порядке по отношению друг к другу
> расположены pam_winbind и pam_mount и как правильно

по доке pam_mount должен быть раньше первого sufficient, какой бы он ни был.
И я вычислил, что у этого sufficient должен быть try_first_pass

в system-auth-default параметр try_first_pass прописан, в старом скрипте для драка он тоже был.
Осталось прописать в system-auth-winbind
для преемственности, чтоб пользователей не переучивать.

system-auth у нас переписывается, потому для пользователей проще в kde добавить.
Еще и тем лучше, что при входе под рутом не будет мешаться.
Comment 4 Mikhail Novosyolov 2019-05-15 13:41:21 MSK 
нужно вообще перестать использовать /etc/pam.d/kde, это костыль, который создает разное поведение в графической сессии и вне ее
Comment 5 Vladimir Potapov 2019-05-15 14:23:48 MSK 
(In reply to Mikhail Novosyolov from comment #4)
> нужно вообще перестать использовать /etc/pam.d/kde, это костыль, который
> создает разное поведение в графической сессии и вне ее
Но здесь такое поведение наоборот нужно.
Comment 6 Mikhail Novosyolov 2019-05-15 14:40:08 MSK 
Зачем?)
Comment 7 Vladimir Potapov 2019-05-15 15:15:42 MSK 
(In reply to Mikhail Novosyolov from comment #6)
> Зачем?)
чтоб при входе под рутом в консоли не пыталось для него папку на сервере примонтировать.
Comment 8 Mikhail Novosyolov 2019-05-20 15:17:47 MSK 
(In reply to Vladimir Potapov from comment #1)
> Solution
> add try_first_pass
> to
> auth        sufficient    pam_winbind.so krb5_auth krb5_ccache_type=FILE
> cached_login try_first_pass
> 
> in file 
> system-auth-winbind

done in bug#9911