ALD вход не удачен (AstraLinux SE 1.5)
Всем привет. Проблема возникла из не откуда, все работало и вдруг армы перестали заходить в свои учетки, если заходить на сервере то заходит в эти учетки. время одинаковое что на армах что на сервере, на армах заходит тока под root и почта работает.Когда на армах захожу в учетку то дает выбрать степень секретности и дальше пишет вход не удачен. faiilog пробывал, пробывал создать новую учетку, новую группу и результат один и тодже (вход не удачен). Накидайте пожалуйста варианты что делать.
и сразу еще вопрос: как чистить логи. когда захожу в mc снизу пишет 98% это занято или свободно?
Fd1501h
Moderator
Всем привет. Проблема возникла из не откуда, все работало и вдруг армы перестали заходить в свои учетки, если заходить на сервере то заходит в эти учетки. время одинаковое что на армах что на сервере, на армах заходит тока под root и почта работает.Когда на армах захожу в учетку то дает выбрать степень секретности и дальше пишет вход не удачен. faiilog пробывал, пробывал создать новую учетку, новую группу и результат один и тодже (вход не удачен). Накидайте пожалуйста варианты что делать.
и сразу еще вопрос: как чистить логи. когда захожу в mc снизу пишет 98% это занято или свободно?
Попробуйте перезапустить службу ALD на сервере. Проверьте что на клиентах синхронизировано время.
По месту на диске: лучше используйте команнастрду df -h
Логи хранятся , в основном, в /var/log .Чистить можно руками или настраивать под себя logrotate, ну и смотрите что в системе происходит (кто генерируте основно поток логов)
mario
New member
Попробуйте перезапустить службу ALD на сервере. Проверьте что на клиентах синхронизировано время.
По месту на диске: лучше используйте команнастрду df -h
Логи хранятся , в основном, в /var/log .Чистить можно руками или настраивать под себя logrotate, ну и смотрите что в системе происходит (кто генерируте основно поток логов)
megabite1688
New member
mario
New member
megabite1688
New member
Необходимо сбросить пользователей локально
Из под root
#:cd /sbin/
sbin#: pam_telly —user username —reset=0
После этого должен войти из под пользователя ald
megabite1688
New member
Возможно, что у вас присутствует и pam_telly2, повторить тоже самое и с ним. А вообще, в настройках ALD (в администраторе, не в конфигурационном файле) в дефолтном правиле паролей нужно выставить максимальное количество неудачных вводов паролей, в связи с тем, что Kerbiros неадекватно считает попытки, и регистрирует гараздо большее число неудачных вводов нежели реально
megabite1688
New member
mario
New member
Необходимо сбросить пользователей локально
Из под root
#:cd /sbin/
sbin#: pam_telly —user username —reset=0
После этого должен войти из под пользователя ald
megabite1688
New member
mario
New member
Не помогает, может что то надо делать на сервере? У меня есть ns1 и ns2 на первом у меня почта, на втором ALD, на первом ns1 у меня получается заходить под этими учетками
Yuri
New member
как настроены пользователи? local? cifs? или по умолчанию? где папки пользователя, на сервере в папке ald_home или на клиенте?
Если для тебя не критично удали в администраторе домена пользователя, заведи снова , ставь local — папки пользователя будут на клиентской машине. Зайди под рутом на клиентскую машину в введи ее по новому в домен
mario
New member
как настроены пользователи? local? cifs? или по умолчанию? где папки пользователя, на сервере в папке ald_home или на клиенте?
Если для тебя не критично удали в администраторе домена пользователя, заведи снова , ставь local — папки пользователя будут на клиентской машине. Зайди под рутом на клиентскую машину в введи ее по новому в домен
На счёт пользователей: ес ть один local остальные все через домен, что значит cifs? Ald_home есть на армах, но папка пустая
Yuri
New member
В ald-admin (графическая утилита управления доменом) в общих настройках пользователя в поле стоит по умолчанию, local, sifs посмотрите внимательно. Это разные протоколы передачи данных по сети. А сиф основанное на windows, там и керберос и т.д. Если у вас домен на сиф то папки пользователя на сервере (ald_home) если локал то на клиенте. Выбирайте сами — если в сети нет винды, по мне лучше локал. Если у вас все работало а потом перестало, возможно на сервере что-то делали, например устанавливали сервер единого времени, Что-то с билетами кербер. Попробуйте удалить пользователя в ALD на сервере, удалить компьютер-клиент в ALD. На клиенте под рутом введите комп в ALD, заведите по-новому в ALD нового пользователя установите ему протокол локал, укажите ему группу и имя клиента в закладке и работайте
mario
New member
В ald-admin (графическая утилита управления доменом) в общих настройках пользователя в поле стоит по умолчанию, local, sifs посмотрите внимательно. Это разные протоколы передачи данных по сети. А сиф основанное на windows, там и керберос и т.д. Если у вас домен на сиф то папки пользователя на сервере (ald_home) если локал то на клиенте. Выбирайте сами — если в сети нет винды, по мне лучше локал. Если у вас все работало а потом перестало, возможно на сервере что-то делали, например устанавливали сервер единого времени, Что-то с билетами кербер. Попробуйте удалить пользователя в ALD на сервере, удалить компьютер-клиент в ALD. На клиенте под рутом введите комп в ALD, заведите по-новому в ALD нового пользователя установите ему протокол локал, укажите ему группу и имя клиента в закладке и работайте
Посмотрел стоит local, в том то и дело, ни кто ничего не делал на серверах, ночью просто перестал заходить, пробуб ещё раз добавить пользователя.
Yuri
New member
Если вы говорите, что папка на adl_home клиенте пустая, а на сервере стоит локал, то где тогда файлы пользователя? Файлы пользователя должны быть там. А если тих там нет и нет на сервере в папке adl_home, то как вы зайдете? А как пользователи отображаются при запуске fly-dm? Они видны слевы от поля ввода логина и пароля? Клиент вообще введен в домен?
megabite1688
New member
Скорее всего проблема тут как и в сервере так и в машинах, нужно обратить внимание на время загрузки клиентской машины, если загрузка долгая, долго мигает лого Астры, затем долго пустой черный экран а затем только приглашение на ввод логина и пароля, то тщательно проверяйте сеть. Обратите внимание на вкладку Компьютеры в приложении «Управление доменной политикой безопасности», при выборе одной (любой) машины, с какой скоростью сервер определяет атрибутику машины, если выпадает окошко «Задачи — Чтение атрибутов компьютера домена НЕИЗВЕСТНО» , тщательно проверяйте свою сеть. Будьте внимательны, привязаны ли к пользователям их машины во вкладке «Привилегии домена» пользователя. Опыт работы с ALD показывает, что к каждому пользователю должны быть привязаны:
— сервер ALD (c описанием PDC);
— почтовый сервер;
— арм пользователя.
Дерзайте!
P.S.
Если у Вас клиентский коммутатор Микролинк 3300, обязательно перезагрузите его по питанию,
эта тварь может выёживаться.
mario
New member
Вобщем папки пустые ald_home, ещё вот что заметил что если в файле interfaces ставить сеть eth1 то пользователи появляются слева где вводить логин и пароль, а если ставить как раньше eth3 то они изщезают, но раньше стояло eth3 и все работало, пользователи в домен добавлялись
megabite1688
New member
Если вы говорите, что папка на adl_home клиенте пустая, а на сервере стоит локал, то где тогда файлы пользователя? Файлы пользователя должны быть там. А если тих там нет и нет на сервере в папке adl_home, то как вы зайдете? А как пользователи отображаются при запуске fly-dm? Они видны слевы от поля ввода логина и пароля? Клиент вообще введен в домен?
При отсутствии сети даже из под root(а) файлов пользователя, в связи с отсутствием центрального ключа Kerberos, если же Вы всё же их видите (без сети) то Ваша настройка неверна и работает неправильно
mario
New member
Скорее всего проблема тут как и в сервере так и в машинах, нужно обратить внимание на время загрузки клиентской машины, если загрузка долгая, долго мигает лого Астры, затем долго пустой черный экран а затем только приглашение на ввод логина и пароля, то тщательно проверяйте сеть. Обратите внимание на вкладку Компьютеры в приложении «Управление доменной политикой безопасности», при выборе одной (любой) машины, с какой скоростью сервер определяет атрибутику машины, если выпадает окошко «Задачи — Чтение атрибутов компьютера домена НЕИЗВЕСТНО» , тщательно проверяйте свою сеть. Будьте внимательны, привязаны ли к пользователям их машины во вкладке «Привилегии домена» пользователя. Опыт работы с ALD показывает, что к каждому пользователю должны быть привязаны:
— сервер ALD (c описанием PDC);
— почтовый сервер;
— арм пользователя.
Дерзайте!
P.S.
Если у Вас клиентский коммутатор Микролинк 3300, обязательно перезагрузите его по питанию,
эта тварь может выёживаться.
Все проверено, и в превелеги домена, никто ничего не менял ведь. Да у меня стоит камутатор микролинк 3300, я его перезагружал, вкл/выкл питание не помогло (((
Некоторые проблемы при эксплуатации AstraLinux 1.5 SE
Решил поделиться решением некоторых проблем при работе в АстраЛинукс, участвующей в ald-домене, с которыми столкнулся сам и с которыми можете столнуться и вы.
п. 1. При работе вне домена, управление пользователями производится в приложении Политика безопасности.
Если пользователь превышает число неудачных попыток входа в систему, его учетная запись блокируется. С помощью приложения Политика безопасности можно сбросить счетчик неудачных попыток и, тем самым, разблокировать пользователя.
Когда вы работаете в домене, аналогичные возможности предоставляет приложение Доменная политика безопасности.
Все это прекрасно работает до тех пор, пока контроллер домена по каким-либо причинам стал недоступен. В этом случае происходит следующее. Авторизация доменным пользователем завершается неудачно, т.к. контроллер домена недоступен, но локальный счетчик неудачных попыток входа увеличивается. После достижения некоторого числа (10) пользователь блокируется.
Когда контроллер домена снова появляется в пределах видимости, он ничего не знает о числе неудачных попыток входа и, соответственно, не позволяет их сбросить. Но и войти в систему вы не можете т.к. учетная запись заблокирована.
Все это относится также и к почтовым ящикам, поскольку для доступа к ним требуется авторизация.
Мое решение проблемы: войти на АРМ с заблокированным пользователем и дать команду
sudo /sbin/pam_tally —user —reset
Узнать что пользователь заблокирован из-за превышения количества неудачных попыток входа можно просто: переключиться в консоль Ctrl+Alt+F2 и попробовать войти пользователем в консоли. В этом случае о блокировке пользователя будет выведено сообщение.
Увы, такая ситуация совсем не надуманная и мне приходилось с этим сталкиваться дважды за то недолгое время, что я работаю в АстраЛинукс.
п. 2. Допустим на АРМ используется железка, подключенная к COM1. Железка управляется из системы через файл устройства /dev/ttyS0, доступ к которому разрешен только root и группе dialout. На автономной ПЭВМ мне было достаточно через Политику безопасности включить пользователя в группу dialout и он мог работать с железкой. По каким-то причинам с доменными пользователями такого не происходит. Можно вклчить доменного пользователя в группу dialout, но на АРМ пользователя он не получит соответствующих прав и, соответственно, доступа к устройству.
В этом случае я решения не нашел. Просто в файле /etc/rc.local добавил команду chmod 666 /dev/ttyS0, чтобы разрешить использовать COM-порт всем желающим.
Может кто сталкивался с этим и имеет другие решения прошу отписаться. Буду очень признателен.