Astra linux домен недоступен

Astra linux домен недоступен

Текстовые метки: astra, linux, вход, неудачен, не работает, перестал, работать, ALD, домен, пользователь

Иногда домен ALD с операционной системой Astra Linux 1.6 начинает тупить, и доменный пользователь не может залогиниться в домене со своей рабочей станции. В окне логина появляется сообщение «Вход неудачен».

Причины такого поведения, обычно, две: либо на рабочей станции не настроена синхронизация времени, и время сильно «съехало» относительно доменного сервера, либо перестал нормально работать сервис nslcd , отвечающий за работу с доменом.

Если причина в сервисе nslcd , когда после нескольких перезапусков рабочей станции пользователь так и не может зайти в домен, нужно данный сервис перезапустить (на рабочей станции, естественно). Если описанный ниже перезапуск вручную сработает, это может говорить о том, что сервис nslcd запускается раньше, чем успевает сконфигурироваться сетевой интерфейс компьютера. Для решения этой проблемы необходимо будет сделать настройки systemd-подсистемы.

Ручная перезагрузка сервиса nslcd

Если залогиниться доменным пользователем не получается, надо сделать следующее.

1. Залогиниться локальным администратором или рутом на рабочей станции. Логиниться необходимо в отдельной текстовой консоли, переключившись на нее через клавиши Ctrl+Alt+F1 из окна графического логина.

2. Перезапустить сервис командой:

3. Выйти из текстовой консоли и переключиться на графический вход по клавишам Ctrl+Alt+F7.

После этих действий вход в домен ALD должен заработать.

Чтобы заставить сервис nslcd запускаться позднее, чем конфигурируется сетевая подсистема Astra Linux, необходимо создать файл /lib/systemd/system/nslcd.service (не путать с nscd.service — это другой сервис, его название отличается на одну букву). Если таковой файл уже есть в системе, его надо отредактировать.

Содержимое файла должно быть таким:

# systemd service file for nslcd

Description=Naming services LDAP client daemon.

Здесь значимым параметром является строка ExecStartPre . Команда sleep , прописанная в данной строке, заставляет задержать запуск сервиса на указанное количество секунд. Задержку надо подобрать экспериментально. На медленных системах вместо 5 секунд можно указать 10.

После внесения изменений в данный файл, компьютер надо перезагрузить, и вход в домен ALD должен начать работать.

Читайте также:  Kali linux spoof email

Локальный сброс количества неудачных попыток входа в домен ALD

Если перезапуск сервера nslcd не дает результата, возможно что счетчик неудачных входов по какой-то причине превысил допустимое значение. Причем это превышение по неведомой причине может произойти даже если пользователь ранее не входил в систему, или пытался зайти один-два раза.

Одна из возможных причин такого поведения — это использование команды sudo в каких-либо скриптах, вызываемых из QtCreator (в Astra Linux часто ведется разработка на Qt), причем разрешения NOPASSWD для таких команд в /etc/sudoers не прописано. Пользователь не видит неудачных попыток запуска sudo , но при этом неудачные попытки выполнить команду от текущего пользователя под суперпользователем увеличивают счетчик неудачных попыток входа. И после этого обычный вход в систему перестает работать.

Внешне отличить недачный вход при проблемахс nslcd от проблем с превышением количества неудачных попыток входа никак невозможно. Просто будет появляться сообщение «Вход неудачный» и все. Поэтому для решения проблемы с входом может помочь следующий вариант действий.

1. Войти на рабочей станции в консоль под суперпользователем, нажав кнопки Ctrl+Alt+F1.

3. Переключиться на графическое окно логина Ctrl+Alt+F7 и ввести логин-пароль доменного пользователя. Вход в домен должен сработать.

  • Соответствие версий Astra Linux Смоленск и Debian, таблица версий библиотек
  • Как понять, к какой версии Astra Linux относятся файлы документации
  • Восстановление пользователя root в Astra Linux 1.6 Смоленск
  • Отключение блокировки экрана паролем в Astra Linux 1.6
  • Как отменить гашение экрана в Astra Linux 1.6 через конфиги
  • Как в Astra Linux 1.3 установить разрешение экрана через конфиги?
  • Какие пакеты ПО устанавливаются при выборе пунктов «Средства работы в сети» и «Сетевые сервисы» в инсталляторе?
  • Как прописать команды, которые должны выполниться перед появлением окна логина FLY DM
  • Как прописать команды, которые выполнятся перед стартом X-сессии
  • Как в Astra Linux 1.3 ограничить возможности рабочего стола
  • Проблема запуска скрипта на сервере ALD домена при логине пользователя с нулевой мандатной меткой
  • Как войти в домен ALD Astra Linux на рабочей станции, если вход не работает
  • Как настроить видеодрайвер в Astra Linux 1.6 для Орион ПК 103 (ПК-Э-103-02)
  • Как пользоваться мандатным флагом ccnr, чтобы не менялась мандатная метка в Astra Linux 1.6
  • Управление безопасностью ОССН с использованием мандатного управления доступом в Astra Linux
  • Мандатный контроль целостности в Astra Linux
  • Структура мандатной метки в Astra Linux 1.6 (инфографика)
  • Как предоставить доступ пользователю к COM-порту /dev/ttyS0 в ALD
  • Понижение классификационной мандатной метки в Astra Linux 1.6
  • Какие секции репозитария есть в Astra Linux
  • Как в Astra отключить монитор печати при отключении области уведомлений
  • Известные проблемные пакеты Astra Linux, которые блокируют установку обновлений и не только
  • Почему не виден ярлык на рабочем столе Astra Linux 1.6 Update 10?
  • Как включить NumLock при старте рабочего стола в Astra Linux 1.6
  • Что не работает в Astra Linux 1.6
  • Восстановление загрузчика Grub после применения обновлений в Astra Linux 1.6
  • Как выйти/разлогиниться из FLY WM — опции команды fly-wmfunc в Astra Linux 1.6
  • Как запустить SSH-сервер в Astra Linux 1.6
  • Установка обновленного ejabberd в Astra Linux 1.6 Update 10. Как выкачивать ПО из репозитариев
  • Загрузка X-сервера в Debian и Astra Linux 1.6. Какие скрипты в какие моменты времени срабатывают?
  • Как загрузить и подключить диск со средствами разработки для Astra Linux SE 1.7
  • Что означает аббревиатура МРОСЛ ДП
  • Как обозначаются версии релизов Astra Linux в файлах etc-директории
Читайте также:  Linux find sort by name

Источник

Некоторые проблемы при эксплуатации AstraLinux 1.5 SE

Решил поделиться решением некоторых проблем при работе в АстраЛинукс, участвующей в ald-домене, с которыми столкнулся сам и с которыми можете столнуться и вы.

п. 1. При работе вне домена, управление пользователями производится в приложении Политика безопасности.
Если пользователь превышает число неудачных попыток входа в систему, его учетная запись блокируется. С помощью приложения Политика безопасности можно сбросить счетчик неудачных попыток и, тем самым, разблокировать пользователя.
Когда вы работаете в домене, аналогичные возможности предоставляет приложение Доменная политика безопасности.
Все это прекрасно работает до тех пор, пока контроллер домена по каким-либо причинам стал недоступен. В этом случае происходит следующее. Авторизация доменным пользователем завершается неудачно, т.к. контроллер домена недоступен, но локальный счетчик неудачных попыток входа увеличивается. После достижения некоторого числа (10) пользователь блокируется.
Когда контроллер домена снова появляется в пределах видимости, он ничего не знает о числе неудачных попыток входа и, соответственно, не позволяет их сбросить. Но и войти в систему вы не можете т.к. учетная запись заблокирована.
Все это относится также и к почтовым ящикам, поскольку для доступа к ним требуется авторизация.
Мое решение проблемы: войти на АРМ с заблокированным пользователем и дать команду
sudo /sbin/pam_tally —user —reset
Узнать что пользователь заблокирован из-за превышения количества неудачных попыток входа можно просто: переключиться в консоль Ctrl+Alt+F2 и попробовать войти пользователем в консоли. В этом случае о блокировке пользователя будет выведено сообщение.
Увы, такая ситуация совсем не надуманная и мне приходилось с этим сталкиваться дважды за то недолгое время, что я работаю в АстраЛинукс.

п. 2. Допустим на АРМ используется железка, подключенная к COM1. Железка управляется из системы через файл устройства /dev/ttyS0, доступ к которому разрешен только root и группе dialout. На автономной ПЭВМ мне было достаточно через Политику безопасности включить пользователя в группу dialout и он мог работать с железкой. По каким-то причинам с доменными пользователями такого не происходит. Можно вклчить доменного пользователя в группу dialout, но на АРМ пользователя он не получит соответствующих прав и, соответственно, доступа к устройству.
В этом случае я решения не нашел. Просто в файле /etc/rc.local добавил команду chmod 666 /dev/ttyS0, чтобы разрешить использовать COM-порт всем желающим.

Читайте также:  Linux open vmware tools

Может кто сталкивался с этим и имеет другие решения прошу отписаться. Буду очень признателен.

Источник

Оцените статью
Adblock
detector