Некоторые проблемы при эксплуатации AstraLinux 1.5 SE

mike

New member
Сообщения
23
#1
Решил поделиться решением некоторых проблем при работе в АстраЛинукс, участвующей в ald-домене, с которыми столкнулся сам и с которыми можете столнуться и вы.

п. 1. При работе вне домена, управление пользователями производится в приложении Политика безопасности.
Если пользователь превышает число неудачных попыток входа в систему, его учетная запись блокируется. С помощью приложения Политика безопасности можно сбросить счетчик неудачных попыток и, тем самым, разблокировать пользователя.
Когда вы работаете в домене, аналогичные возможности предоставляет приложение Доменная политика безопасности.
Все это прекрасно работает до тех пор, пока контроллер домена по каким-либо причинам стал недоступен. В этом случае происходит следующее. Авторизация доменным пользователем завершается неудачно, т.к. контроллер домена недоступен, но локальный счетчик неудачных попыток входа увеличивается. После достижения некоторого числа (10) пользователь блокируется.
Когда контроллер домена снова появляется в пределах видимости, он ничего не знает о числе неудачных попыток входа и, соответственно, не позволяет их сбросить. Но и войти в систему вы не можете т.к. учетная запись заблокирована.
Все это относится также и к почтовым ящикам, поскольку для доступа к ним требуется авторизация.
Мое решение проблемы: войти на АРМ с заблокированным пользователем и дать команду
sudo /sbin/pam_tally --user <пользователь> --reset
Узнать что пользователь заблокирован из-за превышения количества неудачных попыток входа можно просто: переключиться в консоль Ctrl+Alt+F2 и попробовать войти пользователем в консоли. В этом случае о блокировке пользователя будет выведено сообщение.
Увы, такая ситуация совсем не надуманная и мне приходилось с этим сталкиваться дважды за то недолгое время, что я работаю в АстраЛинукс.

п. 2. Допустим на АРМ используется железка, подключенная к COM1. Железка управляется из системы через файл устройства /dev/ttyS0, доступ к которому разрешен только root и группе dialout. На автономной ПЭВМ мне было достаточно через Политику безопасности включить пользователя в группу dialout и он мог работать с железкой. По каким-то причинам с доменными пользователями такого не происходит. Можно вклчить доменного пользователя в группу dialout, но на АРМ пользователя он не получит соответствующих прав и, соответственно, доступа к устройству.
В этом случае я решения не нашел. Просто в файле /etc/rc.local добавил команду chmod 666 /dev/ttyS0, чтобы разрешить использовать COM-порт всем желающим.

Может кто сталкивался с этим и имеет другие решения прошу отписаться. Буду очень признателен.
 

mike

New member
Сообщения
23
#2
п.3. Время от времени в почтовом клиенте у пользователя пропадают сообщения. Никакой диагностики, просто пропали и все. Если попереключаться между профилями вылезает всплывающая подсказка с сообщением internal server error.
Суть проблемы в том, что в почтовом ящике пользователя у файла dovecot-uidlist изменяется мандатная метка и клиент, работающий на более низком уровне, не может получить к нему доступ.
Вообще-то для решения этой проблемы в моем понимании и нужен пакет astrase-fix-maildir, но похоже он не всегда корректно работает.
Посмотреть какие уровни доступа назначены файлам в почтовом ящике можно с помощью команды
pdp-ls -laM
Сбросить мандатные метки у файлов в почтовом ящике пользователя можно командой
sudo pdpl-file 0:0:0:ccnr,ehole *
Сделаете это и письма в почтовом клиенте появятся вновь.
 

stastels

New member
Сообщения
1
#3
Подскажите при установке astra linux в самом начале при установке службы ALD на сервере общего назначения, устанавливаем сервер ALD, а на остальных армах клиент ALD, или на всех армах клиент ALD, а мы привязываемся к серверу окружному?
 

mike

New member
Сообщения
23
#4
Думаю это организационный вопрос, а не технический. Лучше поинтересоваться в вышестоящей организации.
С технической точки зрения порядок установки клиентов и серверов не принципиален, важно что подключение клиента можно выполнить только к существующему домену