ALD вход не удачен (AstraLinux SE 1.5)

mario

New member
Сообщения
11
#1
Всем привет. Проблема возникла из не откуда, все работало и вдруг армы перестали заходить в свои учетки, если заходить на сервере то заходит в эти учетки. время одинаковое что на армах что на сервере, на армах заходит тока под root и почта работает.Когда на армах захожу в учетку то дает выбрать степень секретности и дальше пишет вход не удачен. faiilog пробывал, пробывал создать новую учетку, новую группу и результат один и тодже (вход не удачен). Накидайте пожалуйста варианты что делать...
и сразу еще вопрос: как чистить логи. когда захожу в mc снизу пишет 98% это занято или свободно?
 
Последнее редактирование:

Fd1501h

Moderator
Сообщения
666
#2
Всем привет. Проблема возникла из не откуда, все работало и вдруг армы перестали заходить в свои учетки, если заходить на сервере то заходит в эти учетки. время одинаковое что на армах что на сервере, на армах заходит тока под root и почта работает.Когда на армах захожу в учетку то дает выбрать степень секретности и дальше пишет вход не удачен. faiilog пробывал, пробывал создать новую учетку, новую группу и результат один и тодже (вход не удачен). Накидайте пожалуйста варианты что делать...
и сразу еще вопрос: как чистить логи. когда захожу в mc снизу пишет 98% это занято или свободно?
Попробуйте перезапустить службу ALD на сервере. Проверьте что на клиентах синхронизировано время.
По месту на диске: лучше используйте команнастрду df -h
Логи хранятся , в основном, в /var/log .Чистить можно руками или настраивать под себя logrotate, ну и смотрите что в системе происходит (кто генерируте основно поток логов)
 

mario

New member
Сообщения
11
#3
Попробуйте перезапустить службу ALD на сервере. Проверьте что на клиентах синхронизировано время.
По месту на диске: лучше используйте команнастрду df -h
Логи хранятся , в основном, в /var/log .Чистить можно руками или настраивать под себя logrotate, ну и смотрите что в системе происходит (кто генерируте основно поток логов)
Перезапустить ALD, это перезагрузка сервера? Или в терминале как то перезапускать?
 
Сообщения
13
#7
Возможно, что у вас присутствует и pam_telly2, повторить тоже самое и с ним. А вообще, в настройках ALD (в администраторе, не в конфигурационном файле) в дефолтном правиле паролей нужно выставить максимальное количество неудачных вводов паролей, в связи с тем, что Kerbiros неадекватно считает попытки, и регистрирует гараздо большее число неудачных вводов нежели реально
 
Сообщения
13
#8
И да... Надеюсь понятно, что username это имя вашего пользователя ALD, имя ВАШЕГО пользователя
 

mario

New member
Сообщения
11
#9
Необходимо сбросить пользователей локально
Из под root
#:cd /sbin/
sbin#: pam_telly --user username --reset=0

После этого должен войти из под пользователя ald
т.е. зайти из под любого Арма под root, и прописать эту команду?
 

mario

New member
Сообщения
11
#11
Не помогает, может что то надо делать на сервере? У меня есть ns1 и ns2 на первом у меня почта, на втором ALD, на первом ns1 у меня получается заходить под этими учетками
 

Yuri

New member
Сообщения
6
#12
как настроены пользователи? local? cifs? или по умолчанию? где папки пользователя, на сервере в папке ald_home или на клиенте?
Если для тебя не критично удали в администраторе домена пользователя, заведи снова , ставь local - папки пользователя будут на клиентской машине. Зайди под рутом на клиентскую машину в введи ее по новому в домен
 

mario

New member
Сообщения
11
#13
как настроены пользователи? local? cifs? или по умолчанию? где папки пользователя, на сервере в папке ald_home или на клиенте?
Если для тебя не критично удали в администраторе домена пользователя, заведи снова , ставь local - папки пользователя будут на клиентской машине. Зайди под рутом на клиентскую машину в введи ее по новому в домен
На счёт пользователей: ес ть один local остальные все через домен, что значит cifs? Ald_home есть на армах, но папка пустая
 

Yuri

New member
Сообщения
6
#14
В ald-admin (графическая утилита управления доменом) в общих настройках пользователя в поле стоит по умолчанию, local, sifs посмотрите внимательно. Это разные протоколы передачи данных по сети. А сиф основанное на windows, там и керберос и т.д. Если у вас домен на сиф то папки пользователя на сервере (ald_home) если локал то на клиенте. Выбирайте сами - если в сети нет винды, по мне лучше локал. Если у вас все работало а потом перестало, возможно на сервере что-то делали, например устанавливали сервер единого времени, Что-то с билетами кербер. Попробуйте удалить пользователя в ALD на сервере, удалить компьютер-клиент в ALD. На клиенте под рутом введите комп в ALD, заведите по-новому в ALD нового пользователя установите ему протокол локал, укажите ему группу и имя клиента в закладке и работайте
 

mario

New member
Сообщения
11
#15
В ald-admin (графическая утилита управления доменом) в общих настройках пользователя в поле стоит по умолчанию, local, sifs посмотрите внимательно. Это разные протоколы передачи данных по сети. А сиф основанное на windows, там и керберос и т.д. Если у вас домен на сиф то папки пользователя на сервере (ald_home) если локал то на клиенте. Выбирайте сами - если в сети нет винды, по мне лучше локал. Если у вас все работало а потом перестало, возможно на сервере что-то делали, например устанавливали сервер единого времени, Что-то с билетами кербер. Попробуйте удалить пользователя в ALD на сервере, удалить компьютер-клиент в ALD. На клиенте под рутом введите комп в ALD, заведите по-новому в ALD нового пользователя установите ему протокол локал, укажите ему группу и имя клиента в закладке и работайте
Посмотрел стоит local, в том то и дело, ни кто ничего не делал на серверах, ночью просто перестал заходить, пробуб ещё раз добавить пользователя.
 

Yuri

New member
Сообщения
6
#16
Если вы говорите, что папка на adl_home клиенте пустая, а на сервере стоит локал, то где тогда файлы пользователя? Файлы пользователя должны быть там. А если тих там нет и нет на сервере в папке adl_home, то как вы зайдете? А как пользователи отображаются при запуске fly-dm? Они видны слевы от поля ввода логина и пароля? Клиент вообще введен в домен?
 
Сообщения
13
#17
Скорее всего проблема тут как и в сервере так и в машинах, нужно обратить внимание на время загрузки клиентской машины, если загрузка долгая, долго мигает лого Астры, затем долго пустой черный экран а затем только приглашение на ввод логина и пароля, то тщательно проверяйте сеть. Обратите внимание на вкладку Компьютеры в приложении "Управление доменной политикой безопасности", при выборе одной (любой) машины, с какой скоростью сервер определяет атрибутику машины, если выпадает окошко "Задачи - Чтение атрибутов компьютера домена НЕИЗВЕСТНО" , тщательно проверяйте свою сеть. Будьте внимательны, привязаны ли к пользователям их машины во вкладке "Привилегии домена" пользователя. Опыт работы с ALD показывает, что к каждому пользователю должны быть привязаны:
- сервер ALD (c описанием PDC);
- почтовый сервер;
- арм пользователя.
Дерзайте!

P.S.
Если у Вас клиентский коммутатор Микролинк 3300, обязательно перезагрузите его по питанию,
эта тварь может выёживаться!!!!
 

mario

New member
Сообщения
11
#18
Вобщем папки пустые ald_home, ещё вот что заметил что если в файле interfaces ставить сеть eth1 то пользователи появляются слева где вводить логин и пароль, а если ставить как раньше eth3 то они изщезают, но раньше стояло eth3 и все работало, пользователи в домен добавлялись
 
Сообщения
13
#19
Если вы говорите, что папка на adl_home клиенте пустая, а на сервере стоит локал, то где тогда файлы пользователя? Файлы пользователя должны быть там. А если тих там нет и нет на сервере в папке adl_home, то как вы зайдете? А как пользователи отображаются при запуске fly-dm? Они видны слевы от поля ввода логина и пароля? Клиент вообще введен в домен?
При отсутствии сети даже из под root(а) файлов пользователя, в связи с отсутствием центрального ключа Kerberos, если же Вы всё же их видите (без сети) то Ваша настройка неверна и работает неправильно
 

mario

New member
Сообщения
11
#20
Скорее всего проблема тут как и в сервере так и в машинах, нужно обратить внимание на время загрузки клиентской машины, если загрузка долгая, долго мигает лого Астры, затем долго пустой черный экран а затем только приглашение на ввод логина и пароля, то тщательно проверяйте сеть. Обратите внимание на вкладку Компьютеры в приложении "Управление доменной политикой безопасности", при выборе одной (любой) машины, с какой скоростью сервер определяет атрибутику машины, если выпадает окошко "Задачи - Чтение атрибутов компьютера домена НЕИЗВЕСТНО" , тщательно проверяйте свою сеть. Будьте внимательны, привязаны ли к пользователям их машины во вкладке "Привилегии домена" пользователя. Опыт работы с ALD показывает, что к каждому пользователю должны быть привязаны:
- сервер ALD (c описанием PDC);
- почтовый сервер;
- арм пользователя.
Дерзайте!

P.S.
Если у Вас клиентский коммутатор Микролинк 3300, обязательно перезагрузите его по питанию,
эта тварь может выёживаться!!!!
Все проверено, и в превелеги домена, никто ничего не менял ведь. Да у меня стоит камутатор микролинк 3300, я его перезагружал, вкл/выкл питание не помогло (((