- Astra linux вход неудачен домен
- Проблемы с аутентификацией в AD
- Основные ошибки при вводе клиента в домен Windows AD
- Ошибка «Failed to join domain: failed to lookup DC info for domain ‘win.ad’ over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»
- Ошибка: «Failed to join domain: Invalid configuration («workgroup» set to ‘ASTRA’, should be ‘WIN’) and configuration modification was not requested»
- Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»
- Проблема с авторизацией после ввода в домен
- Конфликтующие модули в pam-стеке (winbind и sssd)
- Исправление параметров в файле /etc/krb5.conf при использовании winbind
- Ошибка «Проблема установки» при использовании sssd
- Ошибка: «Your account has been locked. Please contact your System administrator»
- Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»
- ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd
Astra linux вход неудачен домен
Текстовые метки: astra, linux, вход, неудачен, не работает, перестал, работать, ALD, домен, пользователь
Иногда домен ALD с операционной системой Astra Linux 1.6 начинает тупить, и доменный пользователь не может залогиниться в домене со своей рабочей станции. В окне логина появляется сообщение «Вход неудачен».
Причины такого поведения, обычно, две: либо на рабочей станции не настроена синхронизация времени, и время сильно «съехало» относительно доменного сервера, либо перестал нормально работать сервис nslcd , отвечающий за работу с доменом.
Если причина в сервисе nslcd , когда после нескольких перезапусков рабочей станции пользователь так и не может зайти в домен, нужно данный сервис перезапустить (на рабочей станции, естественно). Если описанный ниже перезапуск вручную сработает, это может говорить о том, что сервис nslcd запускается раньше, чем успевает сконфигурироваться сетевой интерфейс компьютера. Для решения этой проблемы необходимо будет сделать настройки systemd-подсистемы.
Ручная перезагрузка сервиса nslcd
Если залогиниться доменным пользователем не получается, надо сделать следующее.
1. Залогиниться локальным администратором или рутом на рабочей станции. Логиниться необходимо в отдельной текстовой консоли, переключившись на нее через клавиши Ctrl+Alt+F1 из окна графического логина.
2. Перезапустить сервис командой:
3. Выйти из текстовой консоли и переключиться на графический вход по клавишам Ctrl+Alt+F7.
После этих действий вход в домен ALD должен заработать.
Чтобы заставить сервис nslcd запускаться позднее, чем конфигурируется сетевая подсистема Astra Linux, необходимо создать файл /lib/systemd/system/nslcd.service (не путать с nscd.service — это другой сервис, его название отличается на одну букву). Если таковой файл уже есть в системе, его надо отредактировать.
Содержимое файла должно быть таким:
# systemd service file for nslcd
Description=Naming services LDAP client daemon.
Здесь значимым параметром является строка ExecStartPre . Команда sleep , прописанная в данной строке, заставляет задержать запуск сервиса на указанное количество секунд. Задержку надо подобрать экспериментально. На медленных системах вместо 5 секунд можно указать 10.
После внесения изменений в данный файл, компьютер надо перезагрузить, и вход в домен ALD должен начать работать.
Локальный сброс количества неудачных попыток входа в домен ALD
Если перезапуск сервера nslcd не дает результата, возможно что счетчик неудачных входов по какой-то причине превысил допустимое значение. Причем это превышение по неведомой причине может произойти даже если пользователь ранее не входил в систему, или пытался зайти один-два раза.
Одна из возможных причин такого поведения — это использование команды sudo в каких-либо скриптах, вызываемых из QtCreator (в Astra Linux часто ведется разработка на Qt), причем разрешения NOPASSWD для таких команд в /etc/sudoers не прописано. Пользователь не видит неудачных попыток запуска sudo , но при этом неудачные попытки выполнить команду от текущего пользователя под суперпользователем увеличивают счетчик неудачных попыток входа. И после этого обычный вход в систему перестает работать.
Внешне отличить недачный вход при проблемахс nslcd от проблем с превышением количества неудачных попыток входа никак невозможно. Просто будет появляться сообщение «Вход неудачный» и все. Поэтому для решения проблемы с входом может помочь следующий вариант действий.
1. Войти на рабочей станции в консоль под суперпользователем, нажав кнопки Ctrl+Alt+F1.
3. Переключиться на графическое окно логина Ctrl+Alt+F7 и ввести логин-пароль доменного пользователя. Вход в домен должен сработать.
- Соответствие версий Astra Linux Смоленск и Debian, таблица версий библиотек
- Как понять, к какой версии Astra Linux относятся файлы документации
- Восстановление пользователя root в Astra Linux 1.6 Смоленск
- Отключение блокировки экрана паролем в Astra Linux 1.6
- Как отменить гашение экрана в Astra Linux 1.6 через конфиги
- Как в Astra Linux 1.3 установить разрешение экрана через конфиги?
- Какие пакеты ПО устанавливаются при выборе пунктов «Средства работы в сети» и «Сетевые сервисы» в инсталляторе?
- Как прописать команды, которые должны выполниться перед появлением окна логина FLY DM
- Как прописать команды, которые выполнятся перед стартом X-сессии
- Как в Astra Linux 1.3 ограничить возможности рабочего стола
- Проблема запуска скрипта на сервере ALD домена при логине пользователя с нулевой мандатной меткой
- Как войти в домен ALD Astra Linux на рабочей станции, если вход не работает
- Как настроить видеодрайвер в Astra Linux 1.6 для Орион ПК 103 (ПК-Э-103-02)
- Как пользоваться мандатным флагом ccnr, чтобы не менялась мандатная метка в Astra Linux 1.6
- Управление безопасностью ОССН с использованием мандатного управления доступом в Astra Linux
- Мандатный контроль целостности в Astra Linux
- Структура мандатной метки в Astra Linux 1.6 (инфографика)
- Как предоставить доступ пользователю к COM-порту /dev/ttyS0 в ALD
- Понижение классификационной мандатной метки в Astra Linux 1.6
- Какие секции репозитария есть в Astra Linux
- Как в Astra отключить монитор печати при отключении области уведомлений
- Известные проблемные пакеты Astra Linux, которые блокируют установку обновлений и не только
- Почему не виден ярлык на рабочем столе Astra Linux 1.6 Update 10?
- Как включить NumLock при старте рабочего стола в Astra Linux 1.6
- Что не работает в Astra Linux 1.6
- Восстановление загрузчика Grub после применения обновлений в Astra Linux 1.6
- Как выйти/разлогиниться из FLY WM — опции команды fly-wmfunc в Astra Linux 1.6
- Как запустить SSH-сервер в Astra Linux 1.6
- Установка обновленного ejabberd в Astra Linux 1.6 Update 10. Как выкачивать ПО из репозитариев
- Загрузка X-сервера в Debian и Astra Linux 1.6. Какие скрипты в какие моменты времени срабатывают?
- Как загрузить и подключить диск со средствами разработки для Astra Linux SE 1.7
- Что означает аббревиатура МРОСЛ ДП
- Как обозначаются версии релизов Astra Linux в файлах etc-директории
Проблемы с аутентификацией в AD
Возможная причина: Превышено число неудачных попыток входа . Перейти к решению.
Возможная причина: Некорректные параметры в /etc/nsswitch.conf . Перейти к решению.
fly-dm: :0[965]: pam_parsec_mac(fly-dm:auth): Unknown user domain.example\user fly-dm: :0[965]: pam_krb5(fly-dm:auth): authentication failure; logname=domain.example\user uid=0 euid=0 tty=/dev/tty7 ruser= rhost= fly-dm: :0[965]: pam_unix(fly-dm:auth): check pass; user unknown fly-dm: :0[965]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=
Возможная причина: Установлен пакет vmtools . Перейти к решению.
- Проверить наличие NTP-служб и их корректную настройку, например, в конфигурационных файлах /etc/ntp.conf или /etc/systemd/timesyncd.conf .
Возможная причина: Рассинхронизация времени с контроллером домена . Перейти к решению.
- Проверить возможность консольного входа ( ) в случае сетевой доступности контроллера домена и активной доменной учетной записи.
Возможная причина: Проблема с домашним каталогом доменного пользователя . Перейти к решению.
Возможная причина: Не задан параметр winbind separator в smb.conf . Перейти к решению.
- При входе под доменной учетной записью после ввода пароля происходит возврат на окно логина.
- Проверить в файле /var/log/auth.log наличие ошибок вида:
fly-dm: :0[1037]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test fly-dm: :0[1037]: pam_sss(fly-dm:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test fly-dm: :0[1037]: pam_unix(fly-dm:session): session opened for user test by (uid=0) systemd-logind[778]: New session 3 of user test. systemd: pam_unix(systemd-user:session): session opened for user test by (uid=0) fly-dm: :0[1037]: pam_unix(fly-dm:session): session closed for user test systemd-logind[778]: Removed session 3. systemd: pam_unix(systemd-user:session): session closed for user test
Возможная причина: Использование системных ограничений ulimits . Перейти к решению.
auth [success=6 default=ignore] pam_krb5.so minimum_uid=2500
Возможная причина: Используется модуль pam_krb5 . Перейти к решению.
NT_STATUS_OBJECT_NAME_NOT_FOUND
Возможная причина: Некорректная работа повторной авторизации в PAM-стеке . Перейти к решению.
Основные ошибки при вводе клиента в домен Windows AD
Ошибка «Failed to join domain: failed to lookup DC info for domain ‘win.ad’ over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»
Причина: в команде ввода в домен неправильно указано имя администратора домена или пароль:
- Указанный пользователь не имеет необходимых прав;
- В файле /etc/resolv.conf указаны неверные данные, либо данные отсутствуют;
- В файле /etc/nsswitch.conf указаны неверные данные (например, после самостоятельного внесения изменений).
- Использовать правильный логин или пароль, а также проверить вход от имени администратора домена;
- При настройке сети указать правильные данные сервера (серверов) DNS и правильный поисковый домен;
- Вернуть файл /etc/nsswitch.conf к исходному состоянию.
Ошибка: «Failed to join domain: Invalid configuration («workgroup» set to ‘ASTRA’, should be ‘WIN’) and configuration modification was not requested»
Причина: неправильно указано имя рабочей группы (NetBIOS).
Решение: указать правильное имя рабочей группы (NetBIOS).
Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»
Причина: в команде ввода в домен указано имя компьютера уже использованное в домене AD (например, имя другого компьютера).
- Изменить имя компьютера, вводимого в домен:
- Изменить имя компьютера в файле /etc/hosts и в файле /etc/hostname;
- Перезагрузить компьютер;
- Повторить ввод в домен AD;
Проблема с авторизацией после ввода в домен
Вход в домен не выполняется, записи об ошибках входа в журналах отсутствуют, возможно появление на экране входа сообщения «Ошибка входа».
Причина: не синхронизировано время контроллера домена и клиента.
Решение: проверить синхронизацию времени с контроллером домена AD, для чего выполнить команду:
Дополнительно проверить синхронизацию времени с контроллером домена AD, если нет информации об ошибке. В /var/log/auth.log отображается следующее:
Конфликтующие модули в pam-стеке (winbind и sssd)
На экране авторизации отображается ошибка «Вход неудачен». В файлах журналов отсутствует информация о попытке входа доменным пользователем, однако в /var/log/auth.log содержатся сообщения вида:
Jul 13 15:52:35 astra polkitd(authority=local): Unregistered Authentication Agent for unix-session:3 (system bus name :1.32, object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-8) (disconnected from bus)
Причина: одновременное использование пакетов winbind и sssd.
Решение: использовать только пакеты winbind или только sssd. Для удаления ненужного пакета выполнить команду:
где в появившемся окне снять чек-бокс с модуля sss authentication:
См. также следующий раздел «Исправление параметров в файле /etc/krb5.conf при использовании winbind»
Исправление параметров в файле /etc/krb5.conf при использовании winbind
Если иные способы не помогают, то при проблемах с входом пользователя можно попробовать д обавить в файл /etc/krb5.conf в секцию [realms] следующие параметры:
auth_to_local = RULE:[1:$1@$0](^.*@WINDOMAIN.AD$)s/@WINDOMAIN.AD/@windomain.ad/ auth_to_local = DEFAULT
Вместо «@WINDOMAIN.AD» и «@windomain.ad» указать свой домен:
Если после изменения файла /etc/krb5.conf возникает ошибка входа, необходимо проверить правильность написания параметров.
Ошибка «Проблема установки» при использовании sssd
Причина: ошибка «проблема установки» может возникать, если раннее ПК был введен в домен AD с использованием winbind.
Решение: выполнить следующие команды:
Ошибка: «Your account has been locked. Please contact your System administrator»
Причина: пользователь заблокирован на контроллере домена AD.
Решение: разблокировать доменного пользователя на контроллере домена AD.
Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»
Причина: компьютер ранее вводился в домен разными способами (winbind или sssd).
- Проверить настройку PAM-стека;
- Временно перенести папку .fly из домашнего каталога проблемного пользователя в любое удобное место;
- При использовании Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) установить обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7), где исправлена данная ошибка.
ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd
Причина: для динамического обновления записей DNS необходима утилита nsupdate (содержится в пакете dnsutils), не устанавливаемом по умолчанию.
Решение: установить пакет dnsutils: