[devel] Q: sssd + AD

[devel] Q: sssd + AD

[Konstantin Lepikhov]

Привет!

А у нас есть какие-то специфические вещи которые нужно включать в sssd
чтобы использовать AD авторизацию?

Спрашиваю, потому что весь день сегодня пытался это настроить используя
магические команды, которые работают в CentOS/RHEL, но не работают у нас:

1) realm join -U <user> <domain> падает с ошибкой "невозможно создать
записи хоста", та же команда отрабатывает нормально в centos7. Да, я знаю,
что у меня возможно нет админских привилегий чтобы создать запись хоста в
AD, но мне это и не нужно, просто пусть создадутся конфиги для krb5/sssd.

2) Даже если скопировать конфигурацию /etc/krb5.conf и /etc/sssd/sssd.conf
из centos7, поменять system-auth на sss, проавторизоваться не получается,
в логах только странные записи вида

nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
pam_keyinit(su:session): OPEN 1
nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
pam_keyinit(su:session): Unable to look up user
"konstantin.lepikhov@<domain>"
nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
pam_systemd(su:session): Failed to get user data.
nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
pam_systemd(su:session): Failed to get user data.
nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
pam_mkhomedir(su:session): User unknown.
nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
pam_xauth(su:session): error determining target user's UID


В тоже время на тестовой машине с centos7 все работает:

Nov 06 17:33:30 centos7.test.domain su[10525]: (to
konstantin.lepikhov@<domain>) root on pts/0
Nov 06 17:33:30 centos7.test.domain su[10525]: pam_unix(su-l:session):
session opened for user konstantin.lepikhov@<domain> by
konstantin.lepikhov@<domain>(uid=0)
Nov 06 17:33:30 centos7.test.domain su[10525]: pam_lastlog(su-l:session):
username too long, output might be inaccurate

Из того что я заметил:

- kinit/klist работают.
- sssd успешно отрабатывает запрос на авторизацию, падает что-то дальше.
- в altlinux realm использует --membership-software=adcli по-умолчанию, а
  centos использует samba.
- в altlinux в sssd включен ad_gpo_access_control, в centos его нет (или
  вывод от него заглушен).

Я могу создать багу, но хотелось бы перед этим услышать еще отзывы от
пользователей этих продуктов в altlinux, как они все настраивали.

-- 
WBR et al.

Re: [devel] Q: sssd + AD

[Andrey Cherepanov]

06.11.2017 19:41, Konstantin Lepikhov пишет:
> Привет!
>
> А у нас есть какие-то специфические вещи которые нужно включать в sssd
> чтобы использовать AD авторизацию?
>
> Спрашиваю, потому что весь день сегодня пытался это настроить используя
> магические команды, которые работают в CentOS/RHEL, но не работают у нас:
>
> 1) realm join -U <user> <domain> падает с ошибкой "невозможно создать
> записи хоста", та же команда отрабатывает нормально в centos7. Да, я знаю,
> что у меня возможно нет админских привилегий чтобы создать запись хоста в
> AD, но мне это и не нужно, просто пусть создадутся конфиги для krb5/sssd.
>
> 2) Даже если скопировать конфигурацию /etc/krb5.conf и /etc/sssd/sssd.conf
> из centos7, поменять system-auth на sss, проавторизоваться не получается,
> в логах только странные записи вида
>
> nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
> pam_keyinit(su:session): OPEN 1
> nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
> pam_keyinit(su:session): Unable to look up user
> "konstantin.lepikhov@<domain>"
> nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
> pam_systemd(su:session): Failed to get user data.
> nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
> pam_systemd(su:session): Failed to get user data.
> nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
> pam_mkhomedir(su:session): User unknown.
> nov 06 17:26:01 comp-core-i7-7500u-36b400 su[18648]:
> pam_xauth(su:session): error determining target user's UID
>
>
> В тоже время на тестовой машине с centos7 все работает:
>
> Nov 06 17:33:30 centos7.test.domain su[10525]: (to
> konstantin.lepikhov@<domain>) root on pts/0
> Nov 06 17:33:30 centos7.test.domain su[10525]: pam_unix(su-l:session):
> session opened for user konstantin.lepikhov@<domain> by
> konstantin.lepikhov@<domain>(uid=0)
> Nov 06 17:33:30 centos7.test.domain su[10525]: pam_lastlog(su-l:session):
> username too long, output might be inaccurate
>
> Из того что я заметил:
>
> - kinit/klist работают.
> - sssd успешно отрабатывает запрос на авторизацию, падает что-то дальше.
> - в altlinux realm использует --membership-software=adcli по-умолчанию, а
>    centos использует samba.
> - в altlinux в sssd включен ad_gpo_access_control, в centos его нет (или
>    вывод от него заглушен).
>
> Я могу создать багу, но хотелось бы перед этим услышать еще отзывы от
> пользователей этих продуктов в altlinux, как они все настраивали.
>
https://www.altlinux.org/ActiveDirectory/Login

https://www.altlinux.org/SSSD/AD

-- 
Andrey Cherepanov
cas@altlinux.org

Re: [devel] Q: sssd + AD

[Konstantin Lepikhov]

Hi Andrey!

On 11/06/2017, at 10:02:53 PM you wrote:

<skip>
> > В тоже время на тестовой машине с centos7 все работает:
> >
> > Nov 06 17:33:30 centos7.test.domain su[10525]: (to
> > konstantin.lepikhov@<domain>) root on pts/0
> > Nov 06 17:33:30 centos7.test.domain su[10525]: pam_unix(su-l:session):
> > session opened for user konstantin.lepikhov@<domain> by
> > konstantin.lepikhov@<domain>(uid=0)
> > Nov 06 17:33:30 centos7.test.domain su[10525]: pam_lastlog(su-l:session):
> > username too long, output might be inaccurate
> >
> > Из того что я заметил:
> >
> > - kinit/klist работают.
> > - sssd успешно отрабатывает запрос на авторизацию, падает что-то дальше.
> > - в altlinux realm использует --membership-software=adcli по-умолчанию, а
> >    centos использует samba.
> > - в altlinux в sssd включен ad_gpo_access_control, в centos его нет (или
> >    вывод от него заглушен).
> >
> > Я могу создать багу, но хотелось бы перед этим услышать еще отзывы от
> > пользователей этих продуктов в altlinux, как они все настраивали.
> >
> https://www.altlinux.org/ActiveDirectory/Login
> 
> https://www.altlinux.org/SSSD/AD
> 
Это все не про то. Мой вопрос - про наличие в дистрибутиве средств для
автоматической настройки, а не подробный гайд с сайта redhat.com. Да,
можно еще промучаться и получить что-то рабочее но см. выше - на centos
все работает "из коробки" через одну команду

$ realm join -U <user> <domain>

все, после этого можно сразу логиниться и ошибок не возникает. Вопрос -
зачем тогда realm в у нас в дистрибутиве если все нужно настраивать
вручную?

-- 
WBR et al.

Re: [devel] Q: sssd + AD

[Andrey Cherepanov]

06.11.2017 23:22, Konstantin Lepikhov пишет:
> Hi Andrey!
>
> On 11/06/2017, at 10:02:53 PM you wrote:
>
> <skip>
>>> В тоже время на тестовой машине с centos7 все работает:
>>>
>>> Nov 06 17:33:30 centos7.test.domain su[10525]: (to
>>> konstantin.lepikhov@<domain>) root on pts/0
>>> Nov 06 17:33:30 centos7.test.domain su[10525]: pam_unix(su-l:session):
>>> session opened for user konstantin.lepikhov@<domain> by
>>> konstantin.lepikhov@<domain>(uid=0)
>>> Nov 06 17:33:30 centos7.test.domain su[10525]: pam_lastlog(su-l:session):
>>> username too long, output might be inaccurate
>>>
>>> Из того что я заметил:
>>>
>>> - kinit/klist работают.
>>> - sssd успешно отрабатывает запрос на авторизацию, падает что-то дальше.
>>> - в altlinux realm использует --membership-software=adcli по-умолчанию, а
>>>    centos использует samba.
>>> - в altlinux в sssd включен ad_gpo_access_control, в centos его нет (или
>>>    вывод от него заглушен).
>>>
>>> Я могу создать багу, но хотелось бы перед этим услышать еще отзывы от
>>> пользователей этих продуктов в altlinux, как они все настраивали.
>>>
>> https://www.altlinux.org/ActiveDirectory/Login
>>
>> https://www.altlinux.org/SSSD/AD
>>
> Это все не про то. Мой вопрос - про наличие в дистрибутиве средств для
> автоматической настройки, а не подробный гайд с сайта redhat.com. Да,
> можно еще промучаться и получить что-то рабочее но см. выше - на centos
> все работает "из коробки" через одну команду
>
> $ realm join -U <user> <domain>
>
> все, после этого можно сразу логиниться и ошибок не возникает. Вопрос -
> зачем тогда realm в у нас в дистрибутиве если все нужно настраивать
> вручную?

А бага уже висит или как обычно, на завалинке потрещим?

-- 
Andrey Cherepanov
cas@altlinux.org

Re: [devel] Q: sssd + AD

[Konstantin Lepikhov]

Hi Aleksey!

On 06-11-17, at 11:57:29  you wrote:

<skip>
> > > Я могу создать багу, но хотелось бы перед этим услышать еще отзывы от
> > > пользователей этих продуктов в altlinux, как они все настраивали.
> > >
> > https://www.altlinux.org/ActiveDirectory/Login
> >
> > https://www.altlinux.org/SSSD/AD
> >
> Это все не про то. Мой вопрос - про наличие в дистрибутиве средств для
> автоматической настройки, а не подробный гайд с сайта redhat.com. Да,
> можно еще промучаться и получить что-то рабочее но см. выше - на centos
> все работает "из коробки" через одну команду
> 
> 
> 
> Константин, Вы все же почитали бы тексты по ссылкам, хотя бы первые абзацы,
> прежде чем такие выводы делать.
При чем тут ссылки вообще? В ссылках пересказ как все сделать вручную, там
вообще нет ничего про команду realm.

В redhat связка realm/authconfig это рекомендованный способ настройки
входа/авторизации в домене, а что в ALTLinux? Набирать все команды
вручную, проверять их вывод и надеятся, что все заработает? Да, это наезд,
потому что пока это просто куча софта, который непонятно как работает, а
не решение для использования. Почему я должен тратить целый день на то, в
centos настраивается и работает за 5 минут?

Спасибо lav@ за скрипт, который в чем-то повторяет действия realm, но
хотелось бы разобраться именно с realm.

-- 
WBR et al.

Re: [devel] Q: sssd + AD

[Konstantin Lepikhov]

Hi Aleksey!

On 07-11-17, at 01:14:46  you wrote:

<skip>
> > Константин, Вы все же почитали бы тексты по ссылкам, хотя бы первые
> абзацы,
> > прежде чем такие выводы делать.
> При чем тут ссылки вообще? В ссылках пересказ как все сделать вручную
> 
> 
> Как будто мы разные тексты читаем. Там начинается с task-auth-add-sssd. Те
> же 5 минут и у наших пользователей до сих пор не было претензий. Остальное
> факультативно.
[lakostis@comp-core-i7-7500u-36b400 ~]$ rpm -qa|fgrep task
task-auth-ad-sssd-0.35-alt1.x86_64
[lakostis@comp-core-i7-7500u-36b400 ~]$ rpm -ql task-auth-ad-sssd
(contains no files)
[lakostis@comp-core-i7-7500u-36b400 ~]$ sudo apt-get install --reinstall
task-auth-ad-sssd
Reading Package Lists... Done
Building Dependency Tree... Done
0 upgraded, 0 newly installed, 1 reinstalled, 0 removed and 10 not
upgraded.
Need to get 0B/11,9kB of archives.
After unpacking 0B of additional disk space will be used.
Do you want to continue? [Y/n] 
Committing changes...
Preparing...
####################################################################################################
[100%]
Updating / installing...
1: task-auth-ad-sssd-0.35-alt1
####################################################################################################
[100%]
Done.
[lakostis@comp-core-i7-7500u-36b400 ~]$ sudo su - konstantin.lepikhov
su: User not known to the underlying authentication module

Алексей, ваши сотрудники вас обманывают. Отмотайте переписку назад и
прочитайте мою задачу - использовать авторизацию в AD для входа в систему,
все.

BTW запуск acc тоже не работает - после ввода пароля root я получаю
сообщение permission denied.


-- 
WBR et al.

Re: [devel] Q: sssd + AD

[Yuri Sedunov]

В Вт, 07/11/2017 в 11:38 +0100, Konstantin Lepikhov пишет:
> Hi Aleksey!
> 
> BTW запуск acc тоже не работает - после ввода пароля root я получаю
> сообщение permission denied.

В wayland-сессии consolehelper'ы не работают.

-- 
Yuri N. Sedunov

Re: [devel] Q: sssd + AD

[Konstantin Lepikhov]

Hi Yuri!

On 07-11-17, at 01:52:25  you wrote:

> В Вт, 07/11/2017 в 11:38 +0100, Konstantin Lepikhov пишет:
> > Hi Aleksey!
> > 
> > BTW запуск acc тоже не работает - после ввода пароля root я получаю
> > сообщение permission denied.
> 
> В wayland-сессии consolehelper'ы не работают.
> 
Вот, я тоже про это подумал.

-- 
WBR et al.

Re: [devel] Q: sssd + AD

[Andrey Cherepanov]

07.11.2017 13:38, Konstantin Lepikhov пишет:
> Hi Aleksey!
>
> On 07-11-17, at 01:14:46  you wrote:
>
> <skip>
>>> Константин, Вы все же почитали бы тексты по ссылкам, хотя бы первые
>> абзацы,
>>> прежде чем такие выводы делать.
>> При чем тут ссылки вообще? В ссылках пересказ как все сделать вручную
>>
>>
>> Как будто мы разные тексты читаем. Там начинается с task-auth-add-sssd. Те
>> же 5 минут и у наших пользователей до сих пор не было претензий. Остальное
>> факультативно.
> [lakostis@comp-core-i7-7500u-36b400 ~]$ rpm -qa|fgrep task
> task-auth-ad-sssd-0.35-alt1.x86_64
> [lakostis@comp-core-i7-7500u-36b400 ~]$ rpm -ql task-auth-ad-sssd
> (contains no files)
> [lakostis@comp-core-i7-7500u-36b400 ~]$ sudo apt-get install --reinstall
> task-auth-ad-sssd
> Reading Package Lists... Done
> Building Dependency Tree... Done
> 0 upgraded, 0 newly installed, 1 reinstalled, 0 removed and 10 not
> upgraded.
> Need to get 0B/11,9kB of archives.
> After unpacking 0B of additional disk space will be used.
> Do you want to continue? [Y/n] 
> Committing changes...
> Preparing...
> ####################################################################################################
> [100%]
> Updating / installing...
> 1: task-auth-ad-sssd-0.35-alt1
> ####################################################################################################
> [100%]
> Done.
> [lakostis@comp-core-i7-7500u-36b400 ~]$ sudo su - konstantin.lepikhov
> su: User not known to the underlying authentication module
>
> Алексей, ваши сотрудники вас обманывают. Отмотайте переписку назад и
> прочитайте мою задачу - использовать авторизацию в AD для входа в систему,
> все.
>
> BTW запуск acc тоже не работает - после ввода пароля root я получаю
> сообщение permission denied.

$ links -dump https://altlinux.org/ActiveDirectory/Login | grep -A3
'Ввод в домен в командной строке\['
                  Ввод в домен в командной строке[[46]править]

 # system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word'
 Joined 'HOST-15' to dns domain 'school.alt'

-- 
Andrey Cherepanov
cas@altlinux.org

Re: [devel] Q: sssd + AD

[Konstantin Lepikhov]

Hi Andrey!

On 07-11-17, at 01:53:20  you wrote:

> $ links -dump https://altlinux.org/ActiveDirectory/Login | grep -A3
> 'Ввод в домен в командной строке\['
>                   Ввод в домен в командной строке[[46]править]
> 
>  # system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word'
>  Joined 'HOST-15' to dns domain 'school.alt'
> 
Так заработало, но:

1) почему я должен знать группу, если в остальных случаях достаточно знать
имя домена (и группа это всего лишь прозводная от DN)

2) GPO в sssd включены по-умолчанию, и их приходится отключать. Вопрос:
почему у нас GPO включены, а в centos нет (из того что вижу по .src.rpm -
потому что при сборке GPO_DEFAULT=enforcing).

3) логин ладно, ну а пароль то зачем вот так, а не через stdin, т.е. если
это делать через ansible/puppet то пароль прям вот так, через cleartext
фигачить?

Я повешу багу на realm, потому то system-auth делает тоже самое, но
кривоватенько и есть смысл его просто не использовать, а вызывать realm.

-- 
WBR et al.

[devel] git.alt - Disk quota exceeded

[Oleg Solovyov]

Добрый день.
Столкнулся с проблемой:

[mcpain@basalt phonon-backend-vlc]$ ssh git.alt init-db phonon-backend-vlc
mkdir: cannot create directory 'packages/phonon-backend-vlc.git': Disk 
quota exceeded
[mcpain@basalt phonon-backend-vlc]$ ssh git.alt quota
[mcpain@basalt phonon-backend-vlc]$

Почему команда quota молчит, а так же как и насколько сильно 
ограничивается квота?
По занимаемому месту или по количеству репоиториев?

Re: [devel] git.alt - Disk quota exceeded

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 618 bytes --]

On Tue, Nov 07, 2017 at 04:25:44PM +0300, Oleg Solovyov wrote:
> Добрый день.
> Столкнулся с проблемой:
> 
> [mcpain@basalt phonon-backend-vlc]$ ssh git.alt init-db phonon-backend-vlc
> mkdir: cannot create directory 'packages/phonon-backend-vlc.git': Disk 
> quota exceeded

Попробуйте ещё раз.

> [mcpain@basalt phonon-backend-vlc]$ ssh git.alt quota
> 
> Почему команда quota молчит,

Эта информация ей недоступна. :)

> а так же как и насколько сильно ограничивается квота?

Не очень сильно.

> По занимаемому месту или по количеству репоиториев?

Как обычно, blocks и inodes.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] git.alt - Disk quota exceeded

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 566 bytes --]

On Tue, Nov 07, 2017 at 04:46:33PM +0300, Dmitry V. Levin wrote:
> On Tue, Nov 07, 2017 at 04:25:44PM +0300, Oleg Solovyov wrote:
> > Добрый день.
> > Столкнулся с проблемой:
> > 
> > [mcpain@basalt phonon-backend-vlc]$ ssh git.alt init-db phonon-backend-vlc
> > mkdir: cannot create directory 'packages/phonon-backend-vlc.git': Disk 
> > quota exceeded
> 
> Попробуйте ещё раз.
> 
> > [mcpain@basalt phonon-backend-vlc]$ ssh git.alt quota
> > 
> > Почему команда quota молчит,
> 
> Эта информация ей недоступна. :)

Теперь доступна.


-- 
ldv

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] Q: sssd + AD

[Konstantin Lepikhov]

Hi Андрей!

On 11/07/2017, at 10:46:10 PM you wrote:

> 1. Можно указать пустой: ''
Очень интуитивно.

> 2. Спросите в CentOS, почему они отключают востребованный функционал.
Востребованный кем? Школьным линуксом? Он есть в centos, просто выключен
по-умолчанию.

> 3. Для удобства использования в бэкенде Alterator и для исключения ненужной интерактивщины.
> 
> Доказать кривоватость system-auth по сравнению с realm сможете? Вы анализировали что делают оба варианта?
Зачем мне что-то доказывать? system-auth и realm делают одинаковые вещи
только в первом это часть функционала, причем написанная на коленке, а во
втором случае это специализированная утилита, которая делает ровно одну
вещь и хорошо. Спорить бесполезно, поскольку у меня нет желания
прикручивать realm к alterator в том виде, в котором он используется, а у
автора system-auth нет желания привести эту утилиту в приличный вид, когда
ей можно пользоваться за пределами alterator. Т.е. нет предмета спора.

PS Из того, что не работает в realm в altinux - это net join вместо adcli
и изменение /etc/nsswitch.conf, которое в centos делается через
authconfig. Чем его делать в altlinux надо придумать и можно забыть про
system-auth ;)

-- 
WBR et al.

Re: [devel] Q: sssd + AD

[Vitaly Lipatov]

Konstantin Lepikhov писал 7.11.17 13:02:
...
> Спасибо lav@ за скрипт, который в чем-то повторяет действия realm, но
> хотелось бы разобраться именно с realm.
К сожалению, о realm я узнал случайно и уже после того, как написал 
скрипт.
Кстати, скрипт написан в том числе по сценарию действий
system-auth write ad school.alt....
но с учётом особенностей среды: system-auth далеко не универсален, 
многое прибивается гвоздями, а некоторые решения спорны.

Так что realm в Альте просто ждёт своего героя. И я бы начал с 
документирования того, как всё должно быть устроено, а потом уже 
скриптования / допиливания программ.

Во-первых, почему-то слишком много приходится менять.
Во-вторых, очень плохо со средствами диагностики, из-за чего можно долго 
настраивать.


-- 
С уважением,
Виталий Липатов,
Etersoft

Re: [devel] Q: sssd + AD

[Andrey Cherepanov]

08.11.2017 22:31, Vitaly Lipatov пишет:
> Konstantin Lepikhov писал 7.11.17 13:02:
> ...
>> Спасибо lav@ за скрипт, который в чем-то повторяет действия realm, но
>> хотелось бы разобраться именно с realm.
> К сожалению, о realm я узнал случайно и уже после того, как написал 
> скрипт.
> Кстати, скрипт написан в том числе по сценарию действий
> system-auth write ad school.alt....
> но с учётом особенностей среды: system-auth далеко не универсален, 
> многое прибивается гвоздями, а некоторые решения спорны.
А подробнее можно? В том числе и лично.
>
> Так что realm в Альте просто ждёт своего героя. И я бы начал с 
> документирования того, как всё должно быть устроено, а потом уже 
> скриптования / допиливания программ.
Я видел код realm. Поэтому проще было продолжить дорабатывать system-auth
>
> Во-первых, почему-то слишком много приходится менять.
> Во-вторых, очень плохо со средствами диагностики, из-за чего можно 
> долго настраивать.

Да, есть такое. Если есть идеи, напиши мне лично.

-- 
Andrey Cherepanov
cas@altlinux.org

Re: [devel] Q: sssd + AD

[Vitaly Lipatov]

Konstantin Lepikhov писал 6.11.17 19:41:
> Привет!
> 
> А у нас есть какие-то специфические вещи которые нужно включать в sssd
> чтобы использовать AD авторизацию?

Я добавляю только такой файл, больше ничего не меняя:

# cat /etc/sssd/conf.d/ad.conf
[sssd]
domains = ETERSOFT.RU

[domain/ETERSOFT.RU]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad

default_shell = /bin/bash
fallback_homedir = /home/%u
;debug_level = 5

;chpass_provider = ldap
; enable when auto discovery is enabled
ldap_chpass_dns_service_name = ad

ldap_id_mapping = False
use_fully_qualified_names = False


Я настраиваю машины на ALT/Ubuntu/CentOS таким скриптом:
https://gitlab.eterfund.ru/etersoft/etersoft-admin-essentials/blob/master/dc-client/tune_sssd.sh
который путём некоторого опыта получен из скриптов тестирования AD на 
vargand от sin@.

-- 
С уважением,
Виталий Липатов,
Etersoft