Астра линукс не заходит под доменным пользователем

Обновлено: 07.07.2024

Делюсь опытом в описанных технологиях. Блог в первую очередь выполняет роль памяток для меня самого.

12.16.2016

Настройка сети в Astra Linux

Все выполняемые операции требуют привилегий пользователя root.

Astra Linux использует для конфигурирования сетей собственную утилиту wicd. В общем, она довольно удобна, но у неё есть фатальный недостаток - её писали не мы сеть не будет работать до авторизации пользователя в системе. Для обычных компьютеров в этом нет ничего страшного, однако, для сервера это большая проблема, так как иногда его приходится перезагружать по SSH.

Пусть компьютеры будут находиться в сети с адресами 192.168.0.XXX , где вместо XXX - число от 1 до 254.

Настройка осуществляется путем правки файла /etc/network/interfaces . Каждый сетевой интерфейс (сетевая карта, хотя это не совсем точное название) настраивается отдельно. Настройки для сервера выглядят так:

Первая строчка auto lo eth0 указывает, какие интерфейсы должны быть запущены при загрузке ОС. Отмечу, что локальная петля lo должна присутствовать там в любом случае.

Пропустим описание локальной петли и сразу перейдем к сетевому интерфейсу.

iface Ключевое слово, говорящее о том, что дальше будет описание сетевого интерфейса
eth0 Указываем, что данный сетевой интерфейс должен быть привязан к сетевой карте eth0. Посмотреть список карт можно командой: lshw -class network
inet Указываем, что это будет настройка сети.
static При этом все настройки будут указаны вручную.
address IPv4-адрес компьютера
netmask Маска подсети.
gateway Шлюз, т. е. IP-адрес, через который идёт подключение к интернету. Обычно на сервере указывают адрес, выданный провайдером, но в нашем случае (закрытый от мира сегмент) пусть будет 192.168.150.1, т. е. компьютер обращается сам к себе.
dns-nameservers Список разделенных пробелами IP-адресов DNS-серверов. Полезно при разворачивании ЕПП под управлением Astra Linux и настройке приложения bind.

На клиентских компьютерах настройки следует выполнить аналогичным образом, меняя только четвёртый октет в поле address .

На этом настройка не заканчивается. Теперь нужно отключить автозапуск встроенных утилит и остановить уже запущенный экземпляр службы wicd, после чего перезапустить службу поддержки сети.

Если на одной сетевой карте по каким-то причинам нужно иметь 2 или более IP-адресов, настройки делаются следующим образом:

Посмотреть настройку сети в Debian более подробно можно на официальной Wiki-странице или её несколько устаревшей русской версии

Александр Ларичкин

Я вот сижу на Росе, а на старый ноут поставил Kubuntu. Вот думаю чем заменить Kubuntu. Астру поставить или Альт?

Денис Бутенко

Стоит АстраЛинукс 1.6 Смоленск у пользователей. Периодически падает сеть, недоступен домен и в этот момент у пользователя не получается зайти в комп под своей доменной учетной записью. В smb.conf задан параметр winbind offline logon=yes. Домен на винде. Но доступа к управлению доменом нет, что и как там настроено, я не знаю. Можно локально на астралинуксе что-то сделать или астралинукс в виндовым доменом не особо дружит? Может кто знает решение данного вопроса?
Задавали вопрос в техподдержку Астралинукса, но внятного ответа не получили.

Владимир Кудрявцев

Денис Бутенко

Кристина Пердофориди

Подскажите что делать? Нет связи с cups, не могу настроить печать, уже весь интернет перелопатили, ничего не помогает

Шурик Попов

Константин Винник

Вопрос наверное простой, но не могу найти на него решения нигде. Используем Смоленск 1.6 в изделии. Должно все сертифицироваться в МО. И опыта в этом 0. Изделие - это сеть из нескольких вычислителей, обрабатывающая кучу разнородной инфы для принятия решений - АСУ. В основном - это масса сокетов с нулевым мандатом, поставляющая инфу в сервер. Сервер интегрирует разнородную информацию, в том числе может принимать и инфу с грифом для принятия решений. Если сокетов для МАК0 большинство и только один с например МАК1 возникает вопрос можно ли совместно обрабатывать такую информацию и каким будет результат по МАК. Понятно, что передать инфу с МАК0 наверх в МАК1 можно. Но вот с МАК1 на МАК0 допустима ли передача инфы и как это сделать. Ведь результатом принятия решения может быть простой результат - ДА или НЕТ. Вроде на МАК1 это не тянет, но как можно из процесса с МАК1 передать в процесс с МАК0 например исполнителю, который открывает или закрывает дверь к примеру? Все это будет кодиться на С и если есть примеры хотелось бы выяснить насколько это пройдет сертификацию по СЗИ в МО?

Шурик Попов

Константин, может быть и можно какими то окольными путями передать с 1 уровня на нулевой уровень инфу. Но, имхо, это создаст канал утечки информации и вряд ли такое сертифицируют. В этом плане у ФСТЭК жесткие требования, а у МО и подавно

Константин Винник

Шурикъ, возможно есть какая-то другая возможность реализовать управление аппаратурой уровня МАК0 с уровня МАК1? Или все средства сразу необходимо перевести на уровень МАК1, даже те, что вообще могут всегда работать на уровне 0.

Шурик Попов

Константин, вроде как это разное: администрирование и мандатное разграничение. И думаю, что вам лучше написать в саму компанию или ее представителю..

Alexandr Smeernov

Народ, подскажите, пожалуйста, у меня какая-то дичь с ярлыками на рабочем столе. По двойному клику начинается переименование ярлыка, программа не запускается. Но можно дблкликнуть в самый верх ярлыка и он сработает.

Шурик Попов

Alexandr, у меня как то окружение рабочего стола через раз работало. Оказалась проблема с мышкой. Поменял и стало норм

Многие пользователи Linux сталкивались с проблемой, когда после ввода пароля вместо загрузки графического окружения и рабочего стола появляется чёрный экран, а потом снова запрос ввода пароля. Такая ситуация называется Login loop или ещё её можно описать как ошибка входа в систему. Часто она вызвана неверно выполненным обновлением или экспериментами с системой, хотя у неё могут быть и другие причины.

Почему не входит в систему Ubuntu


Но сначала надо попасть в терминал. Для этого на экране входа нажмите сочетание клавиш Ctrl+Alt+F2, затем введите логин и пароль:


Перед вами откроется командная строка в которую уже можно вводить команды терминала. Теперь вы можете просмотреть лог с ошибками:

Если здесь этого файла нет, что можно попытаться найти его по такому пути:

1. Нет места на диске


2. Проблемы с обновлением

Если вы раньше выполняли обновление и оно прошло неудачно, попробуйте его завершить. Для этого выполните такие команды:

sudo apt update
sudo apt -y full-upgrade


Затем очистите систему от лишних пакетов:

sudo apt -y autoremove
sudo apt -y clean

3. Неверные права на

Убедитесь, что права на файл

/.Xauthority верные. Владельцем этого файла должен быть пользователь, от имени которого вы пытаетесь войти в систему и у этого владельца должны быть все права на файл. В старых дистрибутивах этот файл находился в домашней папке:

В современной Ubuntu он находится по пути /run/user/id_пользователя/gdm/Xauthority и создается он уже после успешного входа в систему:

ls -l /run/имя_пользователя/id_пользователя/gdm/Xauthority

Во втором случае проблема с правами вряд-ли возникнет, но в первом она вполне может быть. Для её исправления выполните:

sudo chown имя_пользователя:имя_пользователя

4. Неверные права на /tmp

Папка /tmp предназначена для записи временных файлов и поэтому она должна быть доступна всем пользователям в системе как для чтения, так и для записи. Проверьте какие сейчас установлены права на эту папку:

ls -l / | grep /tmp


Затем установите правильные права если надо:

sudo chmod 1777 /tmp

5. Проблема с проприетарными драйверами

Ещё одной причиной проблем может стать проприетарный драйвер видеокарты. Возможно он сломался после обновления или каких-либо действий с ядром. Его можно обновить до новой версии, переустановить или удалить вовсе. Для удаления драйвера Nvidia используйте команду:

sudo apt remove nvidia-*

Затем очистить конфигурацию Xorg:

нужно переустановить свободный драйвер Nouveau:

sudo apt install --reinstall xserver-xorg-video-nouveau

Подробнее про удаление видео драйвера Nvidia читайте тут. Про установку драйвера Nvidia - здесь.

6. Перезапуск менеджера входа

После того, как вы проверили все методы надо вернуться в графический режим и попробовать войти в систему снова. Для этого используйте сочетание клавиш Ctrl+Alt+F1 или Ctrl+Alt+F7 в старых системах. Также вы можете полностью перезагрузить компьютер или только менеджер входа:

sudo systemctl restart display-manager

Выводы

Нет похожих записей


Статья распространяется под лицензией Creative Commons ShareAlike 4.0 при копировании материала ссылка на источник обязательна.

Измените имя сервера, если это необходимо. Его можно задать в окне менеджера сервера:


Добавим службу Active Dirrectory и DNS на сервер. Для этого откроем окно добавления ролей в менеджере сервера:


В окне для выбора сервисов установим галочки "Active Directory Domain Services" и "DNS Server":


Во всех остальных пунктах даем согласие на установку.

После завершения установки сервисов вам надо перейти к настройке домена. Для этого откройте меню уведомлений и выберите пункт "Promote this server to a domain controller":

На первой вкладке укажите опцию для создания нового домена и укажите его название:


Введите пароль сброса:


На следующей вкладке оставляем все как есть., т.к. наш сервер сам является DNS сервером:

На следующих трёх вкладках также оставляем все как есть:




Перед запуском процесса установки ознакомимся с уведомлениями об ошибках.. И если необходимо, устраняем возникшие проблемы. В нашем случае уведомления не являются критичными:


После установки Active Directory сервер перезагрузится. Если настройка прошла успешно, то нас попросят войти в аккаунт на этот раз доменного пользователя:


Добавление новых пользователей:

Откроем утилиту управления пользователями и компьютерами домена:


Для удобства можно создать отдельную дирректорию Domain Users, где будем создавать доменных пользователей:



Добавим нового пользователя user:





Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

Установка центра сертификации Active Directory:

Установите драйверы для работы с Рутокеном на сервер. Их можно получить тут. После этого можно приступить к настройке центра сертификации и выдачи сертификатов для пользователей. Это можно сделать по данной инструкции. Настройку авторизации с помощью сертификатов можно воспроизвести по этой инструкции.

Для пользоватей Linux

Его можно получить здесь:





Настройка подключения к домену

Astra Linux Smolensk

Для Astra Linux Smolensk чтобы подключиться к домену (не настраивая двухфакторную аутентификацию), можно воспользоваться следующей инструкцией.

Если во время выполнения инструкции панель " Настройки клиента Active Directory " не будет запускаться, то введите в командной строке следующую команду:

Она предоставит пользователю root доступ к графическому интерфейсу среды.

В первую очередь настроим подключение к домену. Это можно сделать с помощью следующей последовательности команд:

Настройка автоматического создания домашней директории

Когда доменный пользователь аутентифицируется в системе необходимо чтобы для него автоматически создавался домашний каталог.

Это можно сделать в настройках pam. Для этого в файле

/etc/pam.d/common-session для систем основанных на Debian

/etc/pam.d/system-auth для систем основанных на Red Hat

/etc/pam.d/system-auth-sss-only для пользователей Alt linux

активируем модуль pam_mkhomedir.so, после pam_sss.so. Содержимое файла будет выглядеть следующем образом:

Проверка аутентификации под пользователем в домене без Рутокена

Если в домене есть пользователь user, под которым можно аутентифицироваться без смарт-карты, то можно проверить предыдущую надстройку аутентифицируясь под ним. Для начала можно попробовать аутнетифицироваться через командную строку:


Настройка клиента для аутентфикации в домене с помощью Рутокена

Упрощенная настройка

Для упрощенной настройки можно воспользоваться утилитой для работы с токенами. Описание упрощенной настройки можно прочитать тут.

Ручная настройка

Установка необходимых пакетов для работу:

Для ручной настройки также потребуется установить библиотеку librtpkcs11ecp. Ее можно получить тут. Установим данную библиотеку.

Читайте также: