Орел 2.12 не дружит с доменом Windows?

remzalp

New member
Сообщения
3
#1
Подключал к домену через fly-admin-ad-client, отработало без ошибок, но доменных пользователей все-равно не пускает. В доменных компьютерах появилась новая запись, так что факт добавления отработан успешно.
//Виндовые рабочие станции и ОС от конкурентов с этим сервером вполне успешно работают.

Попробовал по мануалу убунты донастроить, kinit прошел успешно, net ads join тоже.
Самое заметное, что изменилось - на экране логина добавился список доменных пользователей, но на все попытки входа - с выбранным доменом local, domain.local, пользователем в формате DOMAIN\user, user@DOMAIN.LOCAL, user@domain.local - только "Вход неудачен".

Самба тоже отдельная радость - из файлового менеджера вообще никого не видит в локалке (конкуренты видят), из консоли smbclient работает успешно.
Дефолтная установка, гуй, офисные средства. Если такие проблемы с самого начала, что дальше будет - в полном восторге.
Даже не знаю, куда тыкать, чтобы завелось.
 

Montfer

New member
Сообщения
2 364
#2
Ну, я поднимал домен ради любопытства. Грубо говоря, делал "далее", "далее", "готово", потом прописал обратную зану (это наверно чисто для dns, хз). Потом создал комп, создал пользователя, которому разрешено входить на этот комп, и потом ввел Орла в домен. Все было норм: выбрал домен, ввел логин пользователя (без прописывания имени домена) и пароль
 

remzalp

New member
Сообщения
3
#3
Столкнулся похоже с коллизией - пользователь локальный и доменный с одним именем, из-за этого что-то поломалось. Переустановил с нуля, локального пользователя создал с уникальным именем, в домен теперь пускает.

А вот самба как не работала, так и отказывается. В убунте 18 сталкивался с подобным поведением, решить удалось только заменой файлового менеджера на другой. Что делать здесь?
 

Montfer

New member
Сообщения
2 364
#4
Тут советовали включить netbios, поставить обновления... но хз, поможет или нет
 

remzalp

New member
Сообщения
3
#5
нетбиос в винде активен, обновления windows 7 по самое 14 января установлены, apt update && apt upgrade прошел, ребут произвёл.
smbclient работает, косяк именно в гуёвом файловом менеджере
чего может не хватать астре?

Проблема в том, что при прочих равных ось конкурентов спокойно шарится по сети.
 

Frakiec

New member
Сообщения
2
#7
Если честно мне эти танцы с бубном при вводе в домен надоели...! Разрабы не уже ли нельзя сделать нормальную подробную инструкцию! или нормальную сборку, чтобы не было таких нюансов! Импортозамещение,,,! тьфу! чтобы замещать нужно замещать на достойное! Все нервы потрепаешь с вашим детищем!
 

oko

New member
Сообщения
1 257
#8
to Frakiec
Эээ... импортозамещение разве не предусматривает полноценный отказ от той же Win и ресурсов AD? Хаить решения при целенаправленном использовании полумер - это как бэ верх цинизма. Хочешь своевременной поддержки и оправданных апелляций - юзай разработанную ОС в штатном варианте (читай, переводи все на ALD). Хочешь скрестить ужа и ежа - смело ступай на путь велосипедостроителя, сознавая потенциальные риски и проблемы. Сообщество Linux давно ведет войну по полноценной и удобной интеграции того или иного дистрибутива в домен Win - надо сказать, с переменным успехом...

*в сторону*

Мне, вот, не ясно, в чем корень зла? Samba сама по себе - это чисто nix-разработка, и тот же Орел ее поддерживает без проблем. Или имеется в виду проблемы подключения/отображения Fly-FM (GUI-файловый менеджер в составе Орла/Смоленска) к удаленным сетевым "шарам" Win-машин? Так на форуме уже 100500 раз обсуждалось, что Fly-FM кривой, а также приводились варианты решения проблемы. С другой стороны, хотите удобный GUI-доступ к Win-сетевым шарам при использовании Орла - подключите репозиторий Debian и юзайте файловые менеджеры из состава Gnome, XFCE и т.п. Благо, при эксплуатации Орла это вполне допустимо (и импортозамещатели либо не поймут, либо не смогут ничего возразить). Чего ругаться-то?
 

astraNik

New member
Сообщения
7
#9
to Frakiec
полноценный отказ от той же Win и ресурсов AD?
Ну так то машин на винде много и срок эксплуатации у них не скоро закончится.
А самое главное никто же озаботился переписыванием всего ПО которое только под виндовс существует
 

oko

New member
Сообщения
1 257
#10
to astraNik
Перенос среды обработки (терм.серверы или виртуализация с Win-окружением и всем набором нужного софта и политик AD, а клиенты под nix) решает проблему, корни которой в технической несовместимости...
Перевод файловых-, СУБД-, почтовых- и прочих серверов под ALCE/ALSE при равных прочих решает проблему, корни которой в желании кого-то там козырнуть импортозамещением в одной отдельно взятой стране организации...
Создание независимых и разноцелевых контуров для Win-парка (и средств NetBIOS/AD/etc, заточенных под Win) и nix-парка (и средств NFS/Ansible/etc, заточенных непосредственно под nix) решают оба аспекта проблемы..
Но бесконечные попытки влепить весь функционал проприетарщины Win, накопленный за долгие годы ее эксплуатации, в nix-парк, imho, приведут только к подобным бессмысленным темам на различных форумах...
А самое главное никто же озаботился переписыванием всего ПО которое только под виндовс существует
— Ты один, как перст, да таких перстов вас в городе тысяч десять.
— Ну?
— Вот и думай.
(с) Классики советской фантастики

ЗЫ Прошу не считать за наезд или переход на личности. Это так, продолжение резонанса на резкие высказывания тов. Frakiec и иже с ним в контексте творящегося бардака и общей тематики, ага...
 

astraNik

New member
Сообщения
7
#11
to astraNik
Перенос среды обработки
Да, в эту сторону и смотрю, по мере прибавления астра машин будет скорее всего терминальный сервер на винде и домен freeipa или ald
Пока у меня эксперименты с двумя машинами
 

oko

New member
Сообщения
1 257
#12
*на правах эфира Сети*
Добрый вечер, дорогие читатели. В эфире передача "Доверяй, но проверяй"!
Интереса ради и пользы для специалисты нашей редакции решили проверить претензии, озвученные в текущей теме, и "ввести" машину под управлением ALCE 2.12.29 (самое свежее, что было под рукой) в "домен Windows". Что получилось в результате, читайте ниже (спойлер, все хорошо)...
- alce1.test.lan - целевая машина под управлением Astra Linux Common Edition 2.12.29
- srv1.test.lan - контроллер домена и DNS-сервер Windows
- test.lan - домен Windows (внезапно!)
- dadmin - уч.запись Администратора домена Windows

1. Настраиваем DNS в домене (прямая и обратная зоны), например, через оснастку DNS на контроллере домена Windows
2. На целевой машине ставим пакет astra-ad-sssd-client через sudo apt install astra-ad-sssd-client
3. Вводим целевую машину в домен через sudo astra-ad-sssd-client -d test.lan -u dadmin
4. Если используется статическая IP-адресация, прописываем нашу целевую машину вручную в DNS-зонах домена (автоматика не отрабатывает)
5. В локальном файле /etc/hostname целевой машины прописываем FQDN-имя хоста (если не прописалось автоматически)
6. В локальном файле /etc/hosts целевой машины прописываем IP-адрес DNS-сервера, IP-адрес контроллера домена (если отличается от DNS-сервера) и локальный адрес, например:
127.0.0.1 locahost alce1 alce1.test.lan
172.30.0.102 alce1 alce1.test.lan
172.30.0.5 srv1 srv1.test.lan
Запись про 127.0.1.1 полностью убираем!
7. Перезагружаемся и проверяем вход под любой доменной уч.записью кроме заблокированных (ваш КО!).

1. Если при попытке входа под доменной уч.записью на целевой машине выводится "Вход неудачен" - не стартанула служба sssd (systemctl status sssd). Крайне нестабильный демон, увы. Придется перезагружаться или заходить под локальным администратором целевой машины. Также можно переписать systemctl-сервис для повторного старта этого демона.
2. После выполнения рекомендаций нашей редакции (см. ниже) удалось добиться 100% успешных входов в систему из-под доменных уч.записей после 10 перезагрузок целевой машины.
3. Подключение к удаленной сетевой "шаре" Windows прекрасно происходит через оснастку "Сеть" в файловом менеджере Fly-fm. Никаких запросов лишних уч.записей, если зашли на Astra Linux под доменной учеткой. Никаких проблем с отображением русских букв и проч. символов. Если хочется большей нативности и наглядности, редакция рекомендует создавать точки монтирования удаленных сетевых "шар" автоматически при входе каждого пользователя и ссылки (ярлыки) на них в удобном месте размещения. Но это уже тема для следующего эфира.
4. Мелкая неприятность для неподготовленных юзверей: при использовании текстовых документов аля TXT Astra Linux в полном соответствии со стандартом для nix-систем использует другой код возврата коретки (переноса строки). Из-под Windows такие файлы читаются, соответственно, без переноса строк.

Настоятельные рекомендации нашей редакции:
  • использовать наименование корневого домена .lan вместо .local (легче будет раз переименовать, чем позже мучаться с потенциальной несовместимостью);
  • отказаться от кривого NetworkManager (что обсуждалось уже не один раз);
  • провести тюнинг системы целевой машины с ALCE согласно вот этим заметкам для повышения стабильности;
  • если домен не поддерживает современную реализацию Kerberos или, напротив, работает только с ним в формате AES-128 и AES-256 исключительно - тюнинговать поддержку Kerberos (в первом случае, в Win согласно распространенным мануалам; во втором - в ALCE аналогично Debian);
  • учиться анализировать /var/log/syslog и /var/log/sssd на ALCE и "Журналы Windows" на контроллере домена;
  • учиться гуглить;
  • помнить, что основа ALCE 2.12 - Debian 9 Stretch, а не Debian 10 Buster - и это во многих случаях критично;
  • для тонкой настройки целевой машины использовать файл /etc/sssd/sssd.conf (там много вкусных опций) и вообще почитать про SSSD-метод "ввода nix в домен Windows".
 

astraNik

New member
Сообщения
7
#13
Спасибо, очень интересно Особенно за ссылку на советы, я почему то их раньше не нагуглил У меня как раз задержки аутентификации наблюдаются
Про результаты
1 Похожее поведение, я не перезагружаю, входит не со второго так с третьего раза
2 Не делал ничего из этого Статические записи не вносил, все раздается dhcp
3 Подтверждаю, все работает хорошо
4 Ну мелких неприятностей там вагон )))

ps У меня правда в домене SE но я думаю здесь это не играет роли