xRDP и Active Directory

Ещё одна забавная проблема, которая на первый взгляд совсем непонятна.

Пишет нам заказчик: у части компьютеров проблема — не зайти через RDP. При попытке входа с сохраненным паролем или через ввод в x11 ошибка "Login denied for ".

Смотрим стек РАМ - ничего, но и смотрели без фанатизма, ну вроде нормально.
Смотрим настройки xRDP и Sesman - ничего. Проверки групп доступа - выключены.
Смотрим журналы xRDP и Sesman - просто ошибка входа, будто бы неправильно пароль ввели. Ошибка в статусе INFO.

Окей, запустили xrdp-sesman через strace: ещё более странная ошибка, ругается будто бы на сеть (стек ошибки положу в комментарий в понедельник).

Проблема стала более массовой. Некоторые АРМы сразу после загрузки переставали быть доступны, некоторые после 1-2 дней.

В общем, загадка.

Часть коллег предложила собрать свежий релиз xRDP.

Вендор АЛ занял стратегическую позицию — «заявка взята нашими специалистами в работу» и висит несколько дней.

Пошли по шагам:
1. установка ОС - проверка - работает xRDP
2. ввод АРМ в домен - проверка - не работает xRDP

Ох, ну хотя бы понятно, куда копать! Работаем с доменом через SSSD и Kerberos.
Настраиваем журналирование, уровень 7 - ничего.

Уровень 10 - Бинго!

Журналы nss-модуля SSSD показали попытки разобрать членов группы TSUSERS в домене, куда подключен АРМ. Удивительное дело, судя по всему в xRDP вырубилась проверка параметра обязательной проверки членства в группах перед входом.

Решение простое - переименование группы, которое требуется xRDPдля входа на АРМ. По крайней мере, пока не выпустят релиз xRDP с исправлением этой ошибки.

Проблема случилась из-за того админа, который создал в домене группу tsusers.