Добрый день! Возникла следующая проблема.
После перезагрузки машины, на которой развернут домен ald, доменные пользователи не могут войти в систему до тех пор, пока не выполнишь команду:
После выполнения данной команды все начинает нормально работать.
В aldd.log ошибка:
В syslog ошибки:
ald-admin test-integrity после перезапуска ald-init ошибок не находит. Если попытаться выполнить данную команду до перезапуска вылезает ошибка:
Ну и auth.log в момент подключения пользователя:
Подтверждение того, что dns работает:
Как я понимаю проблемы со службой sldap. Но не понятно куда еще можно копать. Может кто-то сталкивался?
После перезагрузки машины, на которой развернут домен ald, доменные пользователи не могут войти в систему до тех пор, пока не выполнишь команду:
ald-init restartПосле выполнения данной команды все начинает нормально работать.
В aldd.log ошибка:
Aug 29 15:28:32 aldd[3693] <w> Caught termination signal. Exitting...
--< 29.08.2019 15:28:32.573 >--------< } >----------
--< 29.08.2019 15:29:42.722 >--------< { >----------
Aug 29 15:29:44 aldd[3177] <n> /usr/sbin/aldd daemon
Aug 29 15:29:44 aldd[3177] <n> Restarting service nscd...
Aug 29 15:29:44 aldd[3177] <n> Restarting service nslcd...
Aug 29 15:29:59 aldd[3177] <n> Daemon will be started on behalf of aldd:aldd.
Aug 29 15:29:59 aldd[3177] <n> ALD Daemon starter exitted.
Aug 29 15:29:59 aldd[3761] <n> ALD Daemon task process started.
Aug 29 15:29:59 aldd[3761] <w> Can't contact LDAP server. Failed to authenticate user 'aldd/dc.dfo.lan': MIT Kerberos V5 error: Error while initializing krb5 user credentials. in ALDKadm5Connection.cpp:443(ConnectKeytab)
:> Cannot contact any KDC for realm 'DFO.LAN'
--< 29.08.2019 15:28:32.573 >--------< } >----------
--< 29.08.2019 15:29:42.722 >--------< { >----------
Aug 29 15:29:44 aldd[3177] <n> /usr/sbin/aldd daemon
Aug 29 15:29:44 aldd[3177] <n> Restarting service nscd...
Aug 29 15:29:44 aldd[3177] <n> Restarting service nslcd...
Aug 29 15:29:59 aldd[3177] <n> Daemon will be started on behalf of aldd:aldd.
Aug 29 15:29:59 aldd[3177] <n> ALD Daemon starter exitted.
Aug 29 15:29:59 aldd[3761] <n> ALD Daemon task process started.
Aug 29 15:29:59 aldd[3761] <w> Can't contact LDAP server. Failed to authenticate user 'aldd/dc.dfo.lan': MIT Kerberos V5 error: Error while initializing krb5 user credentials. in ALDKadm5Connection.cpp:443(ConnectKeytab)
:> Cannot contact any KDC for realm 'DFO.LAN'
В syslog ошибки:
Сюда не влез, можно посмотреть тут:
https://pastebin.com/VxXhBDGf
https://pastebin.com/VxXhBDGf
ald-admin test-integrity после перезапуска ald-init ошибок не находит. Если попытаться выполнить данную команду до перезапуска вылезает ошибка:
root@dc:~# ald-admin test-integrity
Введите пароль администратора ALD: *********
-- ОШИБКА:
Ошибка при установке ALD соединения.
--
-- ОШИБКА:
Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5: Ошибка инициализации аутентификационных данных krb5 пользователя. в ALDKadm5Connection.cpp:283(ConnectPassword)
:> Cannot contact any KDC for realm 'DFO.LAN'
--
Введите пароль администратора ALD: *********
-- ОШИБКА:
Ошибка при установке ALD соединения.
--
-- ОШИБКА:
Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5: Ошибка инициализации аутентификационных данных krb5 пользователя. в ALDKadm5Connection.cpp:283(ConnectPassword)
:> Cannot contact any KDC for realm 'DFO.LAN'
--
Ну и auth.log в момент подключения пользователя:
Aug 29 16:03:26 amursk login[4918]: pam_parsec_mac(login:auth): Unknown user domainadm
Aug 29 16:03:26 amursk login[4918]: pam_securetty(login:auth): access denied: tty '/dev/pts/0' is not secure !
Aug 29 16:03:26 amursk login[4918]: pam_tally(login:auth): pam_get_uid; no such user
Aug 29 16:03:28 amursk login[4918]: pam_unix(login:auth): check pass; user unknown
Aug 29 16:03:28 amursk login[4918]: pam_unix(login:auth): authentication failure; logname=root uid=0 euid=0 tty=/dev/pts/0 ruser= rhost=
Aug 29 16:03:28 amursk login[4918]: pam_krb5(login:auth): authentication failure; logname=domainadm uid=0 euid=0 tty=/dev/pts/0 ruser= rhost=
Aug 29 16:03:32 amursk login[4918]: FAILED LOGIN (1) on '/dev/pts/0' FOR 'UNKNOWN', User not known to the underlying authentication module
Aug 29 16:03:33 amursk login[4918]: pam_parsec_mac(login:auth): Module pam_parsec_mac caused an exception in auth: UserInterruptionException
Aug 29 16:03:33 amursk login[4918]: pam_securetty(login:auth): Module pam_securetty caused an exception in auth: UserInterruptionException
Aug 29 16:03:26 amursk login[4918]: pam_securetty(login:auth): access denied: tty '/dev/pts/0' is not secure !
Aug 29 16:03:26 amursk login[4918]: pam_tally(login:auth): pam_get_uid; no such user
Aug 29 16:03:28 amursk login[4918]: pam_unix(login:auth): check pass; user unknown
Aug 29 16:03:28 amursk login[4918]: pam_unix(login:auth): authentication failure; logname=root uid=0 euid=0 tty=/dev/pts/0 ruser= rhost=
Aug 29 16:03:28 amursk login[4918]: pam_krb5(login:auth): authentication failure; logname=domainadm uid=0 euid=0 tty=/dev/pts/0 ruser= rhost=
Aug 29 16:03:32 amursk login[4918]: FAILED LOGIN (1) on '/dev/pts/0' FOR 'UNKNOWN', User not known to the underlying authentication module
Aug 29 16:03:33 amursk login[4918]: pam_parsec_mac(login:auth): Module pam_parsec_mac caused an exception in auth: UserInterruptionException
Aug 29 16:03:33 amursk login[4918]: pam_securetty(login:auth): Module pam_securetty caused an exception in auth: UserInterruptionException
Подтверждение того, что dns работает:
root@dc:~# dig dc.dfo.lan @192.168.2.21
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> dc.dfo.lan @192.168.2.21
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30114
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;dc.dfo.lan. IN A
;; ANSWER SECTION:
dc.dfo.lan. 86400 IN A 192.168.2.21
;; AUTHORITY SECTION:
dfo.lan. 86400 IN NS ns.dfo.lan.
;; ADDITIONAL SECTION:
ns.dfo.lan. 86400 IN A 192.168.1.21
;; Query time: 0 msec
;; SERVER: 192.168.2.21#53(192.168.2.21)
;; WHEN: Thu Aug 29 16:06:12 2019
;; MSG SIZE rcvd: 80
root@dc:~# dig -x 192.168.2.21
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -x 192.168.2.21
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6804
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;21.2.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
21.2.168.192.in-addr.arpa. 86400 IN PTR dc.dfo.lan.
;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN NS ns.lan.
;; ADDITIONAL SECTION:
ns.lan. 86400 IN A 192.168.0.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 29 16:06:33 2019
;; MSG SIZE rcvd: 102
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> dc.dfo.lan @192.168.2.21
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30114
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;dc.dfo.lan. IN A
;; ANSWER SECTION:
dc.dfo.lan. 86400 IN A 192.168.2.21
;; AUTHORITY SECTION:
dfo.lan. 86400 IN NS ns.dfo.lan.
;; ADDITIONAL SECTION:
ns.dfo.lan. 86400 IN A 192.168.1.21
;; Query time: 0 msec
;; SERVER: 192.168.2.21#53(192.168.2.21)
;; WHEN: Thu Aug 29 16:06:12 2019
;; MSG SIZE rcvd: 80
root@dc:~# dig -x 192.168.2.21
; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> -x 192.168.2.21
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6804
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;21.2.168.192.in-addr.arpa. IN PTR
;; ANSWER SECTION:
21.2.168.192.in-addr.arpa. 86400 IN PTR dc.dfo.lan.
;; AUTHORITY SECTION:
168.192.in-addr.arpa. 86400 IN NS ns.lan.
;; ADDITIONAL SECTION:
ns.lan. 86400 IN A 192.168.0.21
;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Aug 29 16:06:33 2019
;; MSG SIZE rcvd: 102
Как я понимаю проблемы со службой sldap. Но не понятно куда еще можно копать. Может кто-то сталкивался?
Последнее редактирование: