Астра линукс не заходит под доменным пользователем
Обновлено: 07.07.2024
Делюсь опытом в описанных технологиях. Блог в первую очередь выполняет роль памяток для меня самого.
12.16.2016
Настройка сети в Astra Linux
Все выполняемые операции требуют привилегий пользователя root.Astra Linux использует для конфигурирования сетей собственную утилиту wicd. В общем, она довольно удобна, но у неё есть фатальный недостаток - её писали не мы сеть не будет работать до авторизации пользователя в системе. Для обычных компьютеров в этом нет ничего страшного, однако, для сервера это большая проблема, так как иногда его приходится перезагружать по SSH.
Пусть компьютеры будут находиться в сети с адресами 192.168.0.XXX , где вместо XXX - число от 1 до 254.
Настройка осуществляется путем правки файла /etc/network/interfaces . Каждый сетевой интерфейс (сетевая карта, хотя это не совсем точное название) настраивается отдельно. Настройки для сервера выглядят так:
Первая строчка auto lo eth0 указывает, какие интерфейсы должны быть запущены при загрузке ОС. Отмечу, что локальная петля lo должна присутствовать там в любом случае.
Пропустим описание локальной петли и сразу перейдем к сетевому интерфейсу.
iface | Ключевое слово, говорящее о том, что дальше будет описание сетевого интерфейса |
eth0 | Указываем, что данный сетевой интерфейс должен быть привязан к сетевой карте eth0. Посмотреть список карт можно командой: lshw -class network |
inet | Указываем, что это будет настройка сети. |
static | При этом все настройки будут указаны вручную. |
address | IPv4-адрес компьютера |
netmask | Маска подсети. |
gateway | Шлюз, т. е. IP-адрес, через который идёт подключение к интернету. Обычно на сервере указывают адрес, выданный провайдером, но в нашем случае (закрытый от мира сегмент) пусть будет 192.168.150.1, т. е. компьютер обращается сам к себе. |
dns-nameservers | Список разделенных пробелами IP-адресов DNS-серверов. Полезно при разворачивании ЕПП под управлением Astra Linux и настройке приложения bind. |
На клиентских компьютерах настройки следует выполнить аналогичным образом, меняя только четвёртый октет в поле address .
На этом настройка не заканчивается. Теперь нужно отключить автозапуск встроенных утилит и остановить уже запущенный экземпляр службы wicd, после чего перезапустить службу поддержки сети.
Если на одной сетевой карте по каким-то причинам нужно иметь 2 или более IP-адресов, настройки делаются следующим образом:
Посмотреть настройку сети в Debian более подробно можно на официальной Wiki-странице или её несколько устаревшей русской версии
Я вот сижу на Росе, а на старый ноут поставил Kubuntu. Вот думаю чем заменить Kubuntu. Астру поставить или Альт?
Стоит АстраЛинукс 1.6 Смоленск у пользователей. Периодически падает сеть, недоступен домен и в этот момент у пользователя не получается зайти в комп под своей доменной учетной записью. В smb.conf задан параметр winbind offline logon=yes. Домен на винде. Но доступа к управлению доменом нет, что и как там настроено, я не знаю. Можно локально на астралинуксе что-то сделать или астралинукс в виндовым доменом не особо дружит? Может кто знает решение данного вопроса?
Задавали вопрос в техподдержку Астралинукса, но внятного ответа не получили.
Вопрос наверное простой, но не могу найти на него решения нигде. Используем Смоленск 1.6 в изделии. Должно все сертифицироваться в МО. И опыта в этом 0. Изделие - это сеть из нескольких вычислителей, обрабатывающая кучу разнородной инфы для принятия решений - АСУ. В основном - это масса сокетов с нулевым мандатом, поставляющая инфу в сервер. Сервер интегрирует разнородную информацию, в том числе может принимать и инфу с грифом для принятия решений. Если сокетов для МАК0 большинство и только один с например МАК1 возникает вопрос можно ли совместно обрабатывать такую информацию и каким будет результат по МАК. Понятно, что передать инфу с МАК0 наверх в МАК1 можно. Но вот с МАК1 на МАК0 допустима ли передача инфы и как это сделать. Ведь результатом принятия решения может быть простой результат - ДА или НЕТ. Вроде на МАК1 это не тянет, но как можно из процесса с МАК1 передать в процесс с МАК0 например исполнителю, который открывает или закрывает дверь к примеру? Все это будет кодиться на С и если есть примеры хотелось бы выяснить насколько это пройдет сертификацию по СЗИ в МО?
Константин, может быть и можно какими то окольными путями передать с 1 уровня на нулевой уровень инфу. Но, имхо, это создаст канал утечки информации и вряд ли такое сертифицируют. В этом плане у ФСТЭК жесткие требования, а у МО и подавно
Шурикъ, возможно есть какая-то другая возможность реализовать управление аппаратурой уровня МАК0 с уровня МАК1? Или все средства сразу необходимо перевести на уровень МАК1, даже те, что вообще могут всегда работать на уровне 0.
Константин, вроде как это разное: администрирование и мандатное разграничение. И думаю, что вам лучше написать в саму компанию или ее представителю..
Народ, подскажите, пожалуйста, у меня какая-то дичь с ярлыками на рабочем столе. По двойному клику начинается переименование ярлыка, программа не запускается. Но можно дблкликнуть в самый верх ярлыка и он сработает.
Alexandr, у меня как то окружение рабочего стола через раз работало. Оказалась проблема с мышкой. Поменял и стало норм
Многие пользователи Linux сталкивались с проблемой, когда после ввода пароля вместо загрузки графического окружения и рабочего стола появляется чёрный экран, а потом снова запрос ввода пароля. Такая ситуация называется Login loop или ещё её можно описать как ошибка входа в систему. Часто она вызвана неверно выполненным обновлением или экспериментами с системой, хотя у неё могут быть и другие причины.
Почему не входит в систему Ubuntu
Но сначала надо попасть в терминал. Для этого на экране входа нажмите сочетание клавиш Ctrl+Alt+F2, затем введите логин и пароль:
Перед вами откроется командная строка в которую уже можно вводить команды терминала. Теперь вы можете просмотреть лог с ошибками:
Если здесь этого файла нет, что можно попытаться найти его по такому пути:
1. Нет места на диске
2. Проблемы с обновлением
Если вы раньше выполняли обновление и оно прошло неудачно, попробуйте его завершить. Для этого выполните такие команды:
sudo apt update
sudo apt -y full-upgrade
Затем очистите систему от лишних пакетов:
sudo apt -y autoremove
sudo apt -y clean
3. Неверные права на
Убедитесь, что права на файл
/.Xauthority верные. Владельцем этого файла должен быть пользователь, от имени которого вы пытаетесь войти в систему и у этого владельца должны быть все права на файл. В старых дистрибутивах этот файл находился в домашней папке:
В современной Ubuntu он находится по пути /run/user/id_пользователя/gdm/Xauthority и создается он уже после успешного входа в систему:
ls -l /run/имя_пользователя/id_пользователя/gdm/Xauthority
Во втором случае проблема с правами вряд-ли возникнет, но в первом она вполне может быть. Для её исправления выполните:
sudo chown имя_пользователя:имя_пользователя
4. Неверные права на /tmp
Папка /tmp предназначена для записи временных файлов и поэтому она должна быть доступна всем пользователям в системе как для чтения, так и для записи. Проверьте какие сейчас установлены права на эту папку:
ls -l / | grep /tmp
Затем установите правильные права если надо:
sudo chmod 1777 /tmp
5. Проблема с проприетарными драйверами
Ещё одной причиной проблем может стать проприетарный драйвер видеокарты. Возможно он сломался после обновления или каких-либо действий с ядром. Его можно обновить до новой версии, переустановить или удалить вовсе. Для удаления драйвера Nvidia используйте команду:
sudo apt remove nvidia-*
Затем очистить конфигурацию Xorg:
нужно переустановить свободный драйвер Nouveau:
sudo apt install --reinstall xserver-xorg-video-nouveau
Подробнее про удаление видео драйвера Nvidia читайте тут. Про установку драйвера Nvidia - здесь.
6. Перезапуск менеджера входа
После того, как вы проверили все методы надо вернуться в графический режим и попробовать войти в систему снова. Для этого используйте сочетание клавиш Ctrl+Alt+F1 или Ctrl+Alt+F7 в старых системах. Также вы можете полностью перезагрузить компьютер или только менеджер входа:
sudo systemctl restart display-manager
Выводы
Нет похожих записей
Статья распространяется под лицензией Creative Commons ShareAlike 4.0 при копировании материала ссылка на источник обязательна.
Измените имя сервера, если это необходимо. Его можно задать в окне менеджера сервера:
Добавим службу Active Dirrectory и DNS на сервер. Для этого откроем окно добавления ролей в менеджере сервера:
В окне для выбора сервисов установим галочки "Active Directory Domain Services" и "DNS Server":
Во всех остальных пунктах даем согласие на установку.
После завершения установки сервисов вам надо перейти к настройке домена. Для этого откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":
На первой вкладке укажите опцию для создания нового домена и укажите его название:
Введите пароль сброса:
На следующей вкладке оставляем все как есть., т.к. наш сервер сам является DNS сервером:
На следующих трёх вкладках также оставляем все как есть:
Перед запуском процесса установки ознакомимся с уведомлениями об ошибках.. И если необходимо, устраняем возникшие проблемы. В нашем случае уведомления не являются критичными:
После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то нас попросят войти в аккаунт на этот раз доменного пользователя:
Добавление новых пользователей:
Откроем утилиту управления пользователями и компьютерами домена:
Для удобства можно создать отдельную дирректорию Domain Users, где будем создавать доменных пользователей:
Добавим нового пользователя user:
Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.
Установка центра сертификации Active Directory:
Установите драйверы для работы с Рутокеном на сервер. Их можно получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.
Для пользоватей Linux
Его можно получить здесь:
Настройка подключения к домену
Astra Linux Smolensk
Для Astra Linux Smolensk чтобы подключиться к домену (не настраивая двухфакторную аутентификацию), можно воспользоваться следующей инструкцией.
Если во время выполнения инструкции панель " Настройки клиента Active Directory " не будет запускаться, то введите в командной строке следующую команду:
Она предоставит пользователю root доступ к графическому интерфейсу среды.
В первую очередь настроим подключение к домену. Это можно сделать с помощью следующей последовательности команд:
Настройка автоматического создания домашней директории
Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.
Это можно сделать в настройках pam. Для этого в файле
/etc/pam.d/common-session для систем основанных на Debian
/etc/pam.d/system-auth для систем основанных на Red Hat
/etc/pam.d/system-auth-sss-only для пользователей Alt linux
активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет выглядеть следующем образом:
Проверка аутентификации под пользователем в домене без Рутокена
Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутнетифицироваться через командную строку:
Настройка клиента для аутентфикации в домене с помощью Рутокена
Упрощенная настройка
Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут.
Ручная настройка
Установка необходимых пакетов для работу:
Для ручной настройки также потребуется установить библиотеку librtpkcs11ecp. Ее можно получить тут. Установим данную библиотеку.
Читайте также: