Некоторые проблемы при эксплуатации AstraLinux 1.5 SE

mike

New member
Сообщения
28
#1
Решил поделиться решением некоторых проблем при работе в АстраЛинукс, участвующей в ald-домене, с которыми столкнулся сам и с которыми можете столнуться и вы.

п. 1. При работе вне домена, управление пользователями производится в приложении Политика безопасности.
Если пользователь превышает число неудачных попыток входа в систему, его учетная запись блокируется. С помощью приложения Политика безопасности можно сбросить счетчик неудачных попыток и, тем самым, разблокировать пользователя.
Когда вы работаете в домене, аналогичные возможности предоставляет приложение Доменная политика безопасности.
Все это прекрасно работает до тех пор, пока контроллер домена по каким-либо причинам стал недоступен. В этом случае происходит следующее. Авторизация доменным пользователем завершается неудачно, т.к. контроллер домена недоступен, но локальный счетчик неудачных попыток входа увеличивается. После достижения некоторого числа (10) пользователь блокируется.
Когда контроллер домена снова появляется в пределах видимости, он ничего не знает о числе неудачных попыток входа и, соответственно, не позволяет их сбросить. Но и войти в систему вы не можете т.к. учетная запись заблокирована.
Все это относится также и к почтовым ящикам, поскольку для доступа к ним требуется авторизация.
Мое решение проблемы: войти на АРМ с заблокированным пользователем и дать команду
sudo /sbin/pam_tally --user <пользователь> --reset
Узнать что пользователь заблокирован из-за превышения количества неудачных попыток входа можно просто: переключиться в консоль Ctrl+Alt+F2 и попробовать войти пользователем в консоли. В этом случае о блокировке пользователя будет выведено сообщение.
Увы, такая ситуация совсем не надуманная и мне приходилось с этим сталкиваться дважды за то недолгое время, что я работаю в АстраЛинукс.

п. 2. Допустим на АРМ используется железка, подключенная к COM1. Железка управляется из системы через файл устройства /dev/ttyS0, доступ к которому разрешен только root и группе dialout. На автономной ПЭВМ мне было достаточно через Политику безопасности включить пользователя в группу dialout и он мог работать с железкой. По каким-то причинам с доменными пользователями такого не происходит. Можно вклчить доменного пользователя в группу dialout, но на АРМ пользователя он не получит соответствующих прав и, соответственно, доступа к устройству.
В этом случае я решения не нашел. Просто в файле /etc/rc.local добавил команду chmod 666 /dev/ttyS0, чтобы разрешить использовать COM-порт всем желающим.

Может кто сталкивался с этим и имеет другие решения прошу отписаться. Буду очень признателен.
 

mike

New member
Сообщения
28
#2
п.3. Время от времени в почтовом клиенте у пользователя пропадают сообщения. Никакой диагностики, просто пропали и все. Если попереключаться между профилями вылезает всплывающая подсказка с сообщением internal server error.
Суть проблемы в том, что в почтовом ящике пользователя у файла dovecot-uidlist изменяется мандатная метка и клиент, работающий на более низком уровне, не может получить к нему доступ.
Вообще-то для решения этой проблемы в моем понимании и нужен пакет astrase-fix-maildir, но похоже он не всегда корректно работает.
Посмотреть какие уровни доступа назначены файлам в почтовом ящике можно с помощью команды
pdp-ls -laM
Сбросить мандатные метки у файлов в почтовом ящике пользователя можно командой
sudo pdpl-file 0:0:0:ccnr,ehole *
Сделаете это и письма в почтовом клиенте появятся вновь.
 

stastels

New member
Сообщения
1
#3
Подскажите при установке astra linux в самом начале при установке службы ALD на сервере общего назначения, устанавливаем сервер ALD, а на остальных армах клиент ALD, или на всех армах клиент ALD, а мы привязываемся к серверу окружному?
 

mike

New member
Сообщения
28
#4
Думаю это организационный вопрос, а не технический. Лучше поинтересоваться в вышестоящей организации.
С технической точки зрения порядок установки клиентов и серверов не принципиален, важно что подключение клиента можно выполнить только к существующему домену
 

Artem161

New member
Сообщения
11
#5
Всем здравствуйте! Подскажите, возможно ли настроить астру 1.5, так что бы можно было заходить с локального Арма зсспд уделенно на сервер в графическом режиме. Заранее спасибо
 

Montfer

New member
Сообщения
2 364
#6
Всем здравствуйте! Подскажите, возможно ли настроить астру 1.5, так что бы можно было заходить с локального Арма зсспд уделенно на сервер в графическом режиме. Заранее спасибо
Смотря для чего. Если тупо качать с сервера что то, вполне норм миднайт коммандер. Если работать как с полноценным арм, то наверно как то через удаленную сессию делается
 

Palarmo

New member
Сообщения
2
#7
Всем здравствуйте. Подключаю технику через COM порт к ПВМ с настроенной AL15SE, что только не делал. Добавлял пользователя в группу dialout, редактировал файл /etc/rc.local командой chmod 666 /dev/ttyS0. Ничего не помогает. Что может быть?
 

DeR_KaTeR

New member
Сообщения
7
#8
п.3. Время от времени в почтовом клиенте у пользователя пропадают сообщения. Никакой диагностики, просто пропали и все. Если попереключаться между профилями вылезает всплывающая подсказка с сообщением internal server error.
Суть проблемы в том, что в почтовом ящике пользователя у файла dovecot-uidlist изменяется мандатная метка и клиент, работающий на более низком уровне, не может получить к нему доступ.
Вообще-то для решения этой проблемы в моем понимании и нужен пакет astrase-fix-maildir, но похоже он не всегда корректно работает.
Посмотреть какие уровни доступа назначены файлам в почтовом ящике можно с помощью команды
pdp-ls -laM
Сбросить мандатные метки у файлов в почтовом ящике пользователя можно командой
sudo pdpl-file 0:0:0:ccnr,ehole *
Сделаете это и письма в почтовом клиенте появятся вновь.
Давно искал решение данной проблемы, но что-то мне не очень понятно:
Команды выполнять на сервере или непосредственно на клиенте?
Первую команду надо делать так или иначе?
pdp-ls -laM /var/mail/user219
Вторую команду надо выполнить с указанием пути к ящику или просто как представлено?
sudo pdpl-file 0:0:0:ccnr,ehole *
 

_Denis_

New member
Сообщения
72
#9
Давно искал решение данной проблемы, но что-то мне не очень понятно:
Команды выполнять на сервере или непосредственно на клиенте?
Первую команду надо делать так или иначе?
pdp-ls -laM /var/mail/user219
Вторую команду надо выполнить с указанием пути к ящику или просто как представлено?
sudo pdpl-file 0:0:0:ccnr,ehole *
Я решаю вопрос следующим образом:
на почтовом сервере в файл /etc/crontab перед последним "#" добавляю строчку следующего содержания:
Код:
* * * * * root /usr/sbin/pdpl-file 0:0:0:ehole /var/mail/*/dovecot* >/dev/null
Получается ежеминутное изменение атрибута ehole на всех файлах всех пользователей (/var/mail/*/dovecot*).
Только учтите, что если пользователь перешел с высокого уровня на более низкий менее чем за минуту (Alt+Ctrl+F7(8,9)), то в почтовом агенте на низком уровне сообщения могут появяться не сразу, так как cron еще не отработал.

Если у кого-то есть другие варианты, прошу поделиться.
 
Последнее редактирование: