Пользователь ald при отсутствии связи с сервером ald

Сообщения
29
#1
Каким образом разрешить вход доменным пользователям при отсутствии связи с контроллером домена? При условии, что пользователи уже заходили на данный компьютер. У меня, при потере соединения пишет "вход неудачен".
 
Последнее редактирование:
V

vasja

Guest
#2
эээ... По-моему никак. Как без сервера аутентификацию проводить?
 

QTframework

New member
Сообщения
6
#5
/etc/samba/smb.conf
в секции global
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
 
Сообщения
29
#6
/etc/samba/smb.conf
в секции global
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
Данный способ актуален для контроллера домена под управлением windows.
У меня "контролер домена" под Astra Linux, доменные учётные записи, компьютеры в домене все под Астрой. При пропадании связи с сервером (контроллер домена ald) доменные пользователи не могут войти под своими учётными записями. К примеру вышел из строя коммутатор, сервер, линия и т.д. и все ... Как сделать так, что бы пользователи смогли все равно зайти???
 

Rayman

New member
Сообщения
96
#7
Данный способ актуален для контроллера домена под управлением windows.
У меня "контролер домена" под Astra Linux, доменные учётные записи, компьютеры в домене все под Астрой. При пропадании связи с сервером (контроллер домена ald) доменные пользователи не могут войти под своими учётными записями. К примеру вышел из строя коммутатор, сервер, линия и т.д. и все ... Как сделать так, что бы пользователи смогли все равно зайти???
По идее если пользователь хранит свои доменные файлы на своей машине, параметр local, и установлен параметры "максимальное время жизни билета", то в теории должно заходить. Но на практике у меня такое не получилось :(
 

cogniter

Moderator
Team Astra Linux
Сообщения
391
#8
Период обновления локального кэша задается параметром CACHE_REFRESH_PERIOD в конфигурационном файле /etc/ald/ald.conf
 
Сообщения
29
#10
В домене Astra Linux данный функционал не предусмотрен. При пропадании соединения с сервером ald ни пользователи, ни доменные администраторы доступа к компьютеру не получат! Это очень прискорбно и черевато проблемами с доступом! Ответ от тех.поддержки прилагаю!
 

Вложения

cogniter

Moderator
Team Astra Linux
Сообщения
391
#11
В домене Astra Linux данный функционал не предусмотрен. При пропадании соединения с сервером ald ни пользователи, ни доменные администраторы доступа к компьютеру не получат! Это очень прискорбно и черевато проблемами с доступом! Ответ от тех.поддержки прилагаю!
у вас обязательно использовать только ALD? FreeIPA не подойдет?
 
Сообщения
29
#13
у вас обязательно использовать только ALD? FreeIPA не подойдет?
Только ald обязательно. Был прицендент, когда сломался коммутатор и все 200 рабочих мест не могли получить доступ к данным. Был полный коллапс, даже вспоминать страшно!!! Неприятно!
 

cogniter

Moderator
Team Astra Linux
Сообщения
391
#14
Только ald обязательно. Был прицендент, когда сломался коммутатор и все 200 рабочих мест не могли получить доступ к данным. Был полный коллапс, даже вспоминать страшно!!! Неприятно!
а почему только ALD? FreeIPA в 1.6 тоже поддерживает мандатное разграничение доступа.
 

rkislov

New member
Сообщения
158
#16
А при чем виндовс и freeipa. Freeipa, очень прогрессивная система построечная на базе 389 ldap и mit керберос. Удобное Управление пользователями, доменными службами, при желании можно установить доверие между лесами freeipa и ad версии до 2016 r2
 
Сообщения
29
#17
А при чем виндовс и freeipa. Freeipa, очень прогрессивная система построечная на базе 389 ldap и mit керберос. Удобное Управление пользователями, доменными службами, при желании можно установить доверие между лесами freeipa и ad версии до 2016 r2
Ещё Freeipa нельзя использовать из-за требований безопасности (так как использует java)
 

rkislov

New member
Сообщения
158
#18
Да но Java там используется только в сервисе управления сертификатами dogtag, которого по умолчанию нет во freeipa ни в орле не в смоленске. Как сервер сервер сертификации в данных дистрибутивах предлагается использовать xca. Поэтому никаких ограничений в и использование freeipa нет
 
Сообщения
26
#19
Да но Java там используется только в сервисе управления сертификатами dogtag, которого по умолчанию нет во freeipa ни в орле не в смоленске. Как сервер сервер сертификации в данных дистрибутивах предлагается использовать xca. Поэтому никаких ограничений в и использование freeipa нет
При таком подходе закон не запрещает гос.органам в принципе использовать каноничные дистрибутивы, не платя за это ни копейки.
 

rkislov

New member
Сообщения
158
#20
Интересное суждение и в нем есть своя истинна, но дистрибутиву, который применяется в органах государственной власти предъявляются требования такие как Необходимость присутствие его в реестре отечественного ПО, кстати та же история с офисным пакетом, ведь никому не секрет что в составе Астры идёт либреофис, но его нет в реестре отечественного ПО и для выполнения требований по импортозамещения вы будете вынужденных брать Мой Офис. Да и плюс к некоторым рабочим мечтам могут предъявляться дом требования там ИСПДн или какая-нибудь Конфа, в этом случае ещё больше сужается список доступных дистрибутивов. На мой взгляд Астра отличный продукт, он очень активно развивается, она подходит для обработки информации вплоть до СС без дополнительных наложенных средств....и многое другое. И хотел бы вставить ещё патриотические пять копеек - главное что деньги вложенные в отечественный софт остаются в экономике нашей страны, мы вкладываем в наших разработчиков, деньги остаются в нашей стране.
 
Последнее редактирование: