Astra linux вход неудачен домен

Astra linux вход неудачен домен

Текстовые метки: astra, linux, вход, неудачен, не работает, перестал, работать, ALD, домен, пользователь

Иногда домен ALD с операционной системой Astra Linux 1.6 начинает тупить, и доменный пользователь не может залогиниться в домене со своей рабочей станции. В окне логина появляется сообщение «Вход неудачен».

Причины такого поведения, обычно, две: либо на рабочей станции не настроена синхронизация времени, и время сильно «съехало» относительно доменного сервера, либо перестал нормально работать сервис nslcd , отвечающий за работу с доменом.

Если причина в сервисе nslcd , когда после нескольких перезапусков рабочей станции пользователь так и не может зайти в домен, нужно данный сервис перезапустить (на рабочей станции, естественно). Если описанный ниже перезапуск вручную сработает, это может говорить о том, что сервис nslcd запускается раньше, чем успевает сконфигурироваться сетевой интерфейс компьютера. Для решения этой проблемы необходимо будет сделать настройки systemd-подсистемы.

Ручная перезагрузка сервиса nslcd

Если залогиниться доменным пользователем не получается, надо сделать следующее.

1. Залогиниться локальным администратором или рутом на рабочей станции. Логиниться необходимо в отдельной текстовой консоли, переключившись на нее через клавиши Ctrl+Alt+F1 из окна графического логина.

2. Перезапустить сервис командой:

3. Выйти из текстовой консоли и переключиться на графический вход по клавишам Ctrl+Alt+F7.

После этих действий вход в домен ALD должен заработать.

Чтобы заставить сервис nslcd запускаться позднее, чем конфигурируется сетевая подсистема Astra Linux, необходимо создать файл /lib/systemd/system/nslcd.service (не путать с nscd.service — это другой сервис, его название отличается на одну букву). Если таковой файл уже есть в системе, его надо отредактировать.

Содержимое файла должно быть таким:

# systemd service file for nslcd

Description=Naming services LDAP client daemon.

Здесь значимым параметром является строка ExecStartPre . Команда sleep , прописанная в данной строке, заставляет задержать запуск сервиса на указанное количество секунд. Задержку надо подобрать экспериментально. На медленных системах вместо 5 секунд можно указать 10.

После внесения изменений в данный файл, компьютер надо перезагрузить, и вход в домен ALD должен начать работать.

Читайте также:  What are linux loop devices

Локальный сброс количества неудачных попыток входа в домен ALD

Если перезапуск сервера nslcd не дает результата, возможно что счетчик неудачных входов по какой-то причине превысил допустимое значение. Причем это превышение по неведомой причине может произойти даже если пользователь ранее не входил в систему, или пытался зайти один-два раза.

Одна из возможных причин такого поведения — это использование команды sudo в каких-либо скриптах, вызываемых из QtCreator (в Astra Linux часто ведется разработка на Qt), причем разрешения NOPASSWD для таких команд в /etc/sudoers не прописано. Пользователь не видит неудачных попыток запуска sudo , но при этом неудачные попытки выполнить команду от текущего пользователя под суперпользователем увеличивают счетчик неудачных попыток входа. И после этого обычный вход в систему перестает работать.

Внешне отличить недачный вход при проблемахс nslcd от проблем с превышением количества неудачных попыток входа никак невозможно. Просто будет появляться сообщение «Вход неудачный» и все. Поэтому для решения проблемы с входом может помочь следующий вариант действий.

1. Войти на рабочей станции в консоль под суперпользователем, нажав кнопки Ctrl+Alt+F1.

3. Переключиться на графическое окно логина Ctrl+Alt+F7 и ввести логин-пароль доменного пользователя. Вход в домен должен сработать.

  • Соответствие версий Astra Linux Смоленск и Debian, таблица версий библиотек
  • Как понять, к какой версии Astra Linux относятся файлы документации
  • Восстановление пользователя root в Astra Linux 1.6 Смоленск
  • Отключение блокировки экрана паролем в Astra Linux 1.6
  • Как отменить гашение экрана в Astra Linux 1.6 через конфиги
  • Как в Astra Linux 1.3 установить разрешение экрана через конфиги?
  • Какие пакеты ПО устанавливаются при выборе пунктов «Средства работы в сети» и «Сетевые сервисы» в инсталляторе?
  • Как прописать команды, которые должны выполниться перед появлением окна логина FLY DM
  • Как прописать команды, которые выполнятся перед стартом X-сессии
  • Как в Astra Linux 1.3 ограничить возможности рабочего стола
  • Проблема запуска скрипта на сервере ALD домена при логине пользователя с нулевой мандатной меткой
  • Как войти в домен ALD Astra Linux на рабочей станции, если вход не работает
  • Как настроить видеодрайвер в Astra Linux 1.6 для Орион ПК 103 (ПК-Э-103-02)
  • Как пользоваться мандатным флагом ccnr, чтобы не менялась мандатная метка в Astra Linux 1.6
  • Управление безопасностью ОССН с использованием мандатного управления доступом в Astra Linux
  • Мандатный контроль целостности в Astra Linux
  • Структура мандатной метки в Astra Linux 1.6 (инфографика)
  • Как предоставить доступ пользователю к COM-порту /dev/ttyS0 в ALD
  • Понижение классификационной мандатной метки в Astra Linux 1.6
  • Какие секции репозитария есть в Astra Linux
  • Как в Astra отключить монитор печати при отключении области уведомлений
  • Известные проблемные пакеты Astra Linux, которые блокируют установку обновлений и не только
  • Почему не виден ярлык на рабочем столе Astra Linux 1.6 Update 10?
  • Как включить NumLock при старте рабочего стола в Astra Linux 1.6
  • Что не работает в Astra Linux 1.6
  • Восстановление загрузчика Grub после применения обновлений в Astra Linux 1.6
  • Как выйти/разлогиниться из FLY WM — опции команды fly-wmfunc в Astra Linux 1.6
  • Как запустить SSH-сервер в Astra Linux 1.6
  • Установка обновленного ejabberd в Astra Linux 1.6 Update 10. Как выкачивать ПО из репозитариев
  • Загрузка X-сервера в Debian и Astra Linux 1.6. Какие скрипты в какие моменты времени срабатывают?
  • Как загрузить и подключить диск со средствами разработки для Astra Linux SE 1.7
  • Что означает аббревиатура МРОСЛ ДП
  • Как обозначаются версии релизов Astra Linux в файлах etc-директории
Читайте также:  Как удалить vmware tools linux

Источник

Проблемы с аутентификацией в AD

Возможная причина: Превышено число неудачных попыток входа . Перейти к решению.

Возможная причина: Некорректные параметры в /etc/nsswitch.conf . Перейти к решению.

fly-dm: :0[965]: pam_parsec_mac(fly-dm:auth): Unknown user domain.example\user fly-dm: :0[965]: pam_krb5(fly-dm:auth): authentication failure; logname=domain.example\user uid=0 euid=0 tty=/dev/tty7 ruser= rhost= fly-dm: :0[965]: pam_unix(fly-dm:auth): check pass; user unknown fly-dm: :0[965]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= 

Возможная причина: Установлен пакет vmtools . Перейти к решению.

  • Проверить наличие NTP-служб и их корректную настройку, например, в конфигурационных файлах /etc/ntp.conf или /etc/systemd/timesyncd.conf .

Возможная причина: Рассинхронизация времени с контроллером домена . Перейти к решению.

  • Проверить возможность консольного входа ( ) в случае сетевой доступности контроллера домена и активной доменной учетной записи.

Возможная причина: Проблема с домашним каталогом доменного пользователя . Перейти к решению.

Возможная причина: Не задан параметр winbind separator в smb.conf . Перейти к решению.

  • При входе под доменной учетной записью после ввода пароля происходит возврат на окно логина.
  • Проверить в файле /var/log/auth.log наличие ошибок вида:
fly-dm: :0[1037]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test fly-dm: :0[1037]: pam_sss(fly-dm:auth): authentication success; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=test fly-dm: :0[1037]: pam_unix(fly-dm:session): session opened for user test by (uid=0) systemd-logind[778]: New session 3 of user test. systemd: pam_unix(systemd-user:session): session opened for user test by (uid=0) fly-dm: :0[1037]: pam_unix(fly-dm:session): session closed for user test systemd-logind[778]: Removed session 3. systemd: pam_unix(systemd-user:session): session closed for user test

Возможная причина: Использование системных ограничений ulimits . Перейти к решению.

auth [success=6 default=ignore] pam_krb5.so minimum_uid=2500

Возможная причина: Используется модуль pam_krb5 . Перейти к решению.

NT_STATUS_OBJECT_NAME_NOT_FOUND

Возможная причина: Некорректная работа повторной авторизации в PAM-стеке . Перейти к решению.

Источник

Основные ошибки при вводе клиента в домен Windows AD

Ошибка «Failed to join domain: failed to lookup DC info for domain ‘win.ad’ over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»

Причина: в команде ввода в домен неправильно указано имя администратора домена или пароль:

  • Указанный пользователь не имеет необходимых прав;
  • В файле /etc/resolv.conf указаны неверные данные, либо данные отсутствуют;
  • В файле /etc/nsswitch.conf указаны неверные данные (например, после самостоятельного внесения изменений).
  • Использовать правильный логин или пароль, а также проверить вход от имени администратора домена;
  • При настройке сети указать правильные данные сервера (серверов) DNS и правильный поисковый домен;
  • Вернуть файл /etc/nsswitch.conf к исходному состоянию.

Ошибка: «Failed to join domain: Invalid configuration («workgroup» set to ‘ASTRA’, should be ‘WIN’) and configuration modification was not requested»

Причина: неправильно указано имя рабочей группы (NetBIOS).

Читайте также:  Линукс просит пароль администратора которого нету

Решение: указать правильное имя рабочей группы (NetBIOS).

Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»

Причина: в команде ввода в домен указано имя компьютера уже использованное в домене AD (например, имя другого компьютера).

  1. Изменить имя компьютера, вводимого в домен:
    1. Изменить имя компьютера в файле /etc/hosts и в файле /etc/hostname;
    2. Перезагрузить компьютер;
    3. Повторить ввод в домен AD;

    Проблема с авторизацией после ввода в домен

    Вход в домен не выполняется, записи об ошибках входа в журналах отсутствуют, возможно появление на экране входа сообщения «Ошибка входа».

    Причина: не синхронизировано время контроллера домена и клиента.

    Решение: проверить синхронизацию времени с контроллером домена AD, для чего выполнить команду:

    Дополнительно проверить синхронизацию времени с контроллером домена AD, если нет информации об ошибке. В /var/log/auth.log отображается следующее:

    Конфликтующие модули в pam-стеке (winbind и sssd)

    На экране авторизации отображается ошибка «Вход неудачен». В файлах журналов отсутствует информация о попытке входа доменным пользователем, однако в /var/log/auth.log содержатся сообщения вида:

    Jul 13 15:52:35 astra polkitd(authority=local): Unregistered Authentication Agent for unix-session:3 (system bus name :1.32, object path /org/kde/PolicyKit1/AuthenticationAgent, locale ru_RU.UTF-8) (disconnected from bus)

    Причина: одновременное использование пакетов winbind и sssd.

    Решение: использовать только пакеты winbind или только sssd. Для удаления ненужного пакета выполнить команду:

    где в появившемся окне снять чек-бокс с модуля sss authentication:

    См. также следующий раздел «Исправление параметров в файле /etc/krb5.conf при использовании winbind»

    Исправление параметров в файле /etc/krb5.conf при использовании winbind

    Если иные способы не помогают, то при проблемах с входом пользователя можно попробовать д обавить в файл /etc/krb5.conf в секцию [realms] следующие параметры:

    auth_to_local = RULE:[1:$1@$0](^.*@WINDOMAIN.AD$)s/@WINDOMAIN.AD/@windomain.ad/ auth_to_local = DEFAULT

    Вместо «@WINDOMAIN.AD» и «@windomain.ad» указать свой домен:

    Если после изменения файла /etc/krb5.conf возникает ошибка входа, необходимо проверить правильность написания параметров.

    Ошибка «Проблема установки» при использовании sssd

    Причина: ошибка «проблема установки» может возникать, если раннее ПК был введен в домен AD с использованием winbind.

    Решение: выполнить следующие команды:

    Ошибка: «Your account has been locked. Please contact your System administrator»

    Причина: пользователь заблокирован на контроллере домена AD.

    Решение: разблокировать доменного пользователя на контроллере домена AD.

    Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»

    Причина: компьютер ранее вводился в домен разными способами (winbind или sssd).

    • Проверить настройку PAM-стека;
    • Временно перенести папку .fly из домашнего каталога проблемного пользователя в любое удобное место;
    • При использовании Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) установить обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7), где исправлена данная ошибка.

    ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd

    Причина: для динамического обновления записей DNS необходима утилита nsupdate (содержится в пакете dnsutils), не устанавливаемом по умолчанию.

    Решение: установить пакет dnsutils:

    Источник

Оцените статью
Adblock
detector