Автор Тема: не все группы у пользователя AD в альт сервер С8 (Прочитано 6333 раз)

mag68 · « : 13.11.2019 11:19:55 »

Альт сервер С8 ввели в AD windows2012 командой system-auth. Было сообщение "ldb: unable to stat module /usr/lib64/samba/ldb : Нет такого файла или каталога" и сообщение "DNS update failed!" После перезагрузки все команды показывают, что сервер является членом домена, пользователи AD и группы AD видны. Однако команда "id имя-пользователя-AD" выдает только группу "domain users". Остальные группы AD, куда входит пользователь-AD, а также группы альт сервера С8 (users и прочее) не отображаются.
Аналогичные действия в альт сервер P8 отрабатываются правильно.
С чем может быть связано такое поведение системы?

Skull · « **Ответ #1 :** 13.11.2019 19:50:26 »

Выключите службу nscd. Помогает чистка кэшей SSSD и запуск его под правами root.

mag68 · « **Ответ #2 :** 14.11.2019 13:19:32 »

Спасибо за помощь!
После выключения nscd у пользователя стали видны группы альт сервера С8. В альт сервер P8 nscd.service изначально disabled.
Очистку кэшей sssd уже пробовали и попробавали еще раз, не помогает. Группы AD по-прежнему у пользователя не видны. Команда "getent имя-группы-AD" правильно показывает всех пользователей в группе. А команды "groups имя-пользователя-AD" и "id имя-пользователя-AD" показывают только группу "domain users".
Что еще посоветуете?

Skull · « **Ответ #3 :** 14.11.2019 22:31:51 »

Прочитайте моё сообщение ещё раз. Особенно про root.

mag68 · « **Ответ #4 :** 15.11.2019 11:40:53 »

Я не стал писать, но sssd и так из под root запущен, или я что-то не понял?

Код: [Выделить]

root       774  0.0  0.1 167384  9684 ?        Ss   ноя14   0:00 /usr/sbin/sssd -i -f
_sssd      886  0.0  0.2 279644 18932 ?        S    ноя14   0:17 /usr/libexec/sssd/sssd_be --domain ADM.TAMBOV.GOV.RU --uid 488 --gid 479 --debug-to-files
_sssd      929  0.0  0.6 190044 49684 ?        S    ноя14   0:41 /usr/libexec/sssd/sssd_nss --uid 488 --gid 479 --debug-to-files
_sssd      930  0.0  0.1 163852  9284 ?        S    ноя14   0:01 /usr/libexec/sssd/sssd_pam --uid 488 --gid 479 --debug-to-files

Skull · « **Ответ #5 :** 16.11.2019 14:59:09 »

Вы невнимательны. Сами бэкенды, которые обеспечивают функционал – под пользователем _sssd.

mag68 · « **Ответ #6 :** 20.11.2019 17:56:04 »

Ситуация воспроизводится следующим образом:
1.Установить альт сервер 8СП в минимальной конфгурации
2.Отключить кэширование: systemctl stop nscd и systemctl disable nscd.service
3.На всякий случай удалить кэш nscd: rm -f /var/lib/nscd/*
4.Установить запуск sssd от root: в файл /etc/sssd/sssd.conf в секцию [sssd] добавить user=root
5.Ввести в домен: system-auth write .......
6.Первые 1,5-2 минуты команда "id пользователь-домена" правильно выдает группы пользователей, в т.ч. доменные. Затем для тех пользователей, которые еще не проверял, выдает из доменных групп только группу domain users. Если дать sss_cache -E, то так станет для всех.
7.Если удалить фaйлы кэша sssd (systemctl stop sssd, затем rm -f /var/lib/sss/db/* и rm -f /var/lib/sss/mc/*, потом systemctl start sssd), то будет как в пункте 6.
Не могу понять, что происходит и как это исправить.

Skull · « **Ответ #7 :** 20.11.2019 22:10:34 »

Багу вешать.

Skull · « **Ответ #8 :** 20.11.2019 22:11:21 »

Только вряд ли будет обсуждаться версия СП до инспекционного контроля.

mag68 · « **Ответ #9 :** 21.11.2019 09:59:15 »

В той версии, которая подготовлена для инспекционного контроля, поведение системы оказалось таким же.

Skull · « **Ответ #10 :** 21.11.2019 15:26:23 »

Тогда писать в поддержку.

mag68 · « **Ответ #11 :** 03.12.2019 11:03:03 »

Техподдержка проблему решила. apt-repo add 242035. Спасибо!

Форум сообщества
Альт Линукс