Смоленск 1.5 Уровни доступа (ALD)

Yaposhka174

New member
Сообщения
5
#1
Всем доброго времени суток, настал и наш черед перехода на Астру.
В чем суть проблемы?
Зайдя в настройки политики безопасности и выставив во вкладке "Мандатные атрибуты" уровни (4 штуки), заходит только на нулевой, на 1-3 не запускает, появляется черный экран и возвращает обратно в поле ввода логина пароля.
Очень надеюсь на Вашу помощь, спасибо.
____________________________________________________________________________________
Дома накатил на виртуалку ничего не настраивая установил пользователю min и max уровни доступа во вкладке МРД и все работает.Магия блин какая-то
 
Последнее редактирование:

ingener

New member
Сообщения
128
#2
Посмотри на сервере в папке /ald_expotr_home/имя_пользователя/ возможно есть другие папки. каждая папка соответствует индивидуальной комбинации уровня, целостности, категории. удали те, которые соответствуют незапускаемым уровням
эти папки создаются при первом входе пользователя в новом контексте безопасности. на экране появляется сообщение - первичный запуск.
 

Yaposhka174

New member
Сообщения
5
#3
Посмотри на сервере в папке /ald_expotr_home/имя_пользователя/ возможно есть другие папки. каждая папка соответствует индивидуальной комбинации уровня, целостности, категории. удали те, которые соответствуют незапускаемым уровням
эти папки создаются при первом входе пользователя в новом контексте безопасности. на экране появляется сообщение - первичный запуск.
Спасибо буду завтра пробовать
—————————————————
Не помогло
 
Последнее редактирование:

Yaposhka174

New member
Сообщения
5
#5
Решил проблему, закрывайте тему
——————————————————
Переустановил астру, сделал те же действия все заработало, за неделю использования астры уже 4-й раз перестанавливаю ибо постоянно начинает троить система.
 

ingener

New member
Сообщения
128
#6
А так происходит на всех пользователях или на определенных?
проведи эксперимент.
а попробуй удалить пользователя из домена и полностью папку /ald_export_home/имя_пользователя
затем вновь создай пользователя (старайся делать из консоли) и пробуй заходить с пользовательского компьютера
 

Yaposhka174

New member
Сообщения
5
#7
проведи эксперимент.
а попробуй удалить пользователя из домена и полностью папку /ald_export_home/имя_пользователя
затем вновь создай пользователя (старайся делать из консоли) и пробуй заходить с пользовательского компьютера
Да уже занимался этим😂😂
 

ingener

New member
Сообщения
128
#8
Переустановил астру, сделал те же действия все заработало, за неделю использования астры уже 4-й раз перестанавливаю ибо постоянно начинает троить система.
только так можно исследовать поведение системы. а свой опыт выкладывать сюда.
 

ingener

New member
Сообщения
128
#11
Так как, кроме переустановки решить данную проблему?
удалить пользователя из домена и полностью папку /ald_export_home/имя_пользователя
затем вновь создай пользователя (старайся делать из консоли) и пробуй заходить с пользовательского компьютера
предварительно сохрани файлы
 
Сообщения
29
#12
удалить пользователя из домена и полностью папку /ald_export_home/имя_пользователя
затем вновь создай пользователя (старайся делать из консоли) и пробуй заходить с пользовательского компьютера
предварительно сохрани файлы
Спасибо
 

ingener

New member
Сообщения
128
#13
проблема проявилась по новому.
после установки КриптоПро (а может и по другой причине) в ненулевом уровне перестал подключаться доменный пользователь. в нулевом уровне подключение без проблем. на другом компьютере этот же пользователь в ненулевых уровнях подключается без проблем. в консольном режиме все работает отлично. очевидно, проблема именно в компьютере.
такая же проблема проявилась и на локальном компьютере. все пользователи в ненулевом уровне не подключаются.
кто сталкивался? как можно вылечить?
 
Сообщения
29
#14
проблема проявилась по новому.
после установки КриптоПро (а может и по другой причине) в ненулевом уровне перестал подключаться доменный пользователь. в нулевом уровне подключение без проблем. на другом компьютере этот же пользователь в ненулевых уровнях подключается без проблем. в консольном режиме все работает отлично. очевидно, проблема именно в компьютере.
такая же проблема проявилась и на локальном компьютере. все пользователи в ненулевом уровне не подключаются.
кто сталкивался? как можно вылечить?
Я сталкивался , пока не решил проблему, отправил запрос в техподдержку! Посмотри auth.log, что пишет? Случайно не "error making home dir 4 zero lable session нет такого файла или каталога"?
 

ingener

New member
Сообщения
128
#15
в auth.log похожей записи не нашел.
есть в файле /var/log/debug такая подозрительная запись
Jan 21 17:28:23 ozi-chief cifs.upcall: find_krb5_cc: scandir error on directory '/run/user/2508': No such file or directory
такая же запись есть для другого пользователя с другим ID
 
Сообщения
29
#16
в auth.log похожей записи не нашел.
есть в файле /var/log/debug такая подозрительная запись
Jan 21 17:28:23 ozi-chief cifs.upcall: find_krb5_cc: scandir error on directory '/run/user/2508': No such file or directory
такая же запись есть для другого пользователя с другим ID
Используете cifs?
 

ingener

New member
Сообщения
128
#17
НУ ДА
самое интересное, почему в консольном режиме подключение успешное.
к стати, в fstab у меня есть запись для файлового ресурса Samba. но с этой записью работа была нормальная. связываю только с КриптоПро. что-то он поменял и Х11 в мандатном уровне не хочет запускаться
 

ingener

New member
Сообщения
128
#20
если локальному пользователю добавить привилегию PARSEC_CAP_READSEARCH то запуск пользователя успешен. очевидно, что при запуске рабочего стола после аутентификации процесс не может прочитать какой-то файл. из-за этого процесс обрывается. как понять, что это за файл? и почему не запускается доменный пользователь в не нулевом уровне на компьютере с КриптоПро?

вполне возможно, что на этом файле должна стоять сетка ccnr, а сам файл имеет максимальную мандатную метку. и мандатная метка этого файла слетела при установке КриптПро. но если КРиптПро заменила этот файл, то его мандатная метка была бы нулевой, и его смог бы прочитать любой процесс. непонятно