Имя компьютера astra не содержит имени домена
Настроим ОС Astra Linux SE 1.6 и введем в домен MS Active Directory . В процессе настроим SMABA, WINBIND и POSTGRESQL, а также настроим в POSTGRESQL SSO через GSSAPI.
Данная настройка проводилась с обновлением ОС Astra Linux SE 1.6 - 20191029SE16 . Процесс обновления ОС не описан в процессе конфигурации.
17 Комментариев
Дмитрий Анохов
ald-init init возникает ошибка:
Ошибка при установке ALD соединения.
Ошибка OpenLDAP при GSSAPI соединения - Local error в ALDLDapConnection.cpp: 734 (Connect)
Дмитрий Анохов
При попытки ввести на сервере Ald-init init выводит ошибку:
-- ОШИБКА:
Триггер 'ald-cfg-parsec-ald:DoInitParsecAudLdapSchema' Вызвал исключение!
Не удалось именить права доступа к '/etc/ldap/slapd.d/cn=config.ldif'.
--
-- ОШИБКА:
Не удалось создать базу данных LDAP.
--
Дмитрий Анохов
домен astra.da.nu не обнаружен.
компьютер будет подключен к домену astra.da.nu .
Дмитрий Анохов
Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5: Ошибка инициализации аутентификационных данных krb5 пользователя. в ALDKadm5Connection.cpp:283(ConnectPassword)
:> Client 'admin/admin@168.32.216' not found in Kerberos database
Нет записи в hosts на обоих машинах. ald-client join по ip.
Дмитрий Анохов
Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5: Ошибка инициализации аутентификационных данных krb5 пользователя. в ALDKadm5Connection.cpp:283(ConnectPassword)
:> Client 'admin/admin@NU.DA' not found in Kerberos database
Неверная запись имени сервера в hosts клиента
Константин Ковалевский
На клиенте в файле /etc/hosts не внесены данные о резервном сервере.
Дмитрий Андреев
При попадании табов и пробелов в конце имени домена в параметре DOMAIN=.domain.ald файла /etc/ald/ald.conf
Дмитрий Андреев
Ошибка MIT Kerberos V5: Ошибка получения ключей принципала Kerberos 'host/client@DA.NU'. в ALDKadm5Connection.cpp:1581(KeytabAddPrincipal)
:> Principal does not exist
В /etc/hosts указано не длинное имя клиента.
Дмитрий Анохов
Не указано длинное имя клиента* ?
Дмитрий Андреев
Константин Ковалевский
Ошибка может быть вызвана применением антивируса или изменением правил iptables.
Проблема оказалась в Dr. Web ESS 10. Spider Gate блокирует порты RPC, его необходимо отключать. При чём, настройки Spider Gate для Linux недоступны, необходимо отключать Spider Gate в ЦУ Dr. Web для группы Everyone для Windows. Ну, или использовать на клиентах не Dr. Web for Workstations а Dr.Web for Fileservers, где этой проблемы не наблюдается.
Неизвестный пользователь (esuraev)
Ошибка при установке ALD соединения.
Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5: Ошибка инициализации аутентификационных данных krb5 пользователя. в ALDKadm5Connection.cpp:283(ConnectPassword)
:> Client 'admin/admin@NU.DA' not found in Kerberos database
Ошибка может быть вызвана вводом неправильного пароля при ald-init promote резервного сервера.
Константин Ковалевский
Если при перезапуске ALD выходит ошибка:
-- ОШИБКА:
Триггер 'ald-cfg-smb:DoSambaStartFS' вызвал исключение!
Не удалось запустить сервис nmbd. Код возврата 256.
--
Необходимо выполнить команды:
systemctl unmask nmbd
systemctl enable nmbd
systemctl restart nmbd
Неизвестный пользователь (esuraev)
cpp:144 чето там при попытке администрирования из графики - означает, что ранее уже был получен билет администратора и необходимо сначала уничтожить предыдущий билет командой:
Далее получить новый уже из графики.
Дмитрий Анохов
Если на контроллере домена создаётся принципал с именем 'host/arm@DOMAIN', тогда выполните на клиенте ald-client update-svc-keytab 'host/arm@DOMAIN'.
Марина Яловега
При возникновении ошибки 111 ( Смоленск 1.5):
Решение от клиента
- Добавить в конфигурационный файл /etc/ald/ald.conf параметр USE_RPC, равный нулю
2. Выполнить ald-init restart
Константин Ковалевский
При создании резервного сервера командой sudo ald-init init --slave выходит ошибка:
В конфигурационном файле /etc/ald/ald.conf не заполнены параметры DOMAIN и SERVER.
Ошибка "Проблема установки" при использовании sssd
Причина: ошибка "проблема установки" может возникать, если раннее ПК был введен в домен AD с использованием winbind.
Решение: выполнить следующие команды:
Установим требуемые пакеты
Сначала проверим установлены ли пакеты SAMBA, WINBIND, NTP и POSTGRESQL
Произведем до установку пакетов которые нам потребуются далее (потребуется диск с дистрибутивом ОС)
apt-get install nscd nslcd libpam-winbind libpam-krb5 libsasl2-modules-gssapi-mit krb5-user libnss-winbind
Чтобы установить следующий пакет потребуется диск разработчика
Ввод Astra Linux в домен Active Directory
После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":
Проблема с авторизацией после ввода в домен
Причина: не синхронизировано время контроллера домена и клиента.
Решение: проверить синхронизацию времени с контроллером домена AD, для чего выполнить команду:
Дополнительно проверить синхронизацию времени с контроллером домена AD, если нет информации об ошибке. В /var/log/auth.log отображается следующее:
Разблокировка учетной записи ROOT
Для удобства настройки разблокируем учетную запись ROOT
Для безопасности по окончанию работ требуется заблокировать учетную запись ROOT!
Ошибка: «Your account has been locked. Please contact your System administrator»
Причина: пользователь заблокирован на контроллере домена AD.
Решение: разблокировать доменного пользователя на контроллере домена AD.
Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»
Причина: компьютер ранее вводился в домен разными способами (winbind или sssd).
Проверить настройку PAM-стека;
Временно перенести папку .fly из домашнего каталога проблемного пользователя в любое удобное место;
При использовании Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) установить обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7), где исправлена данная ошибка.
Исправление параметров в файле /etc/krb5.conf при использовании winbind
Если иные способы не помогают, то при проблемах с входом пользователя можно попробовать д обавить в файл /etc/krb5.conf в секцию [realms] следующие параметры:
Вместо "@WINDOMAIN.AD" и "@windomain.ad" указать свой домен:
Если после изменения файла /etc/krb5.conf возникает ошибка входа, необходимо проверить правильность написания параметров.
Конфигурация стенда
Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
---|---|---|---|
dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | 192.168.0.1 |
astra01 | Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:
1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения. "
2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.
3) На вкладке "Параметры IPv4" задать IP-адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:
4) Нажать "Сохранить"
5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение.
Настройка конфигурационных файлов для работы с доменом Active Directory.
Отредактируем конфигурационный файл Kerberos /etc/krb5.conf и приведем его к виду
Ввод компьютера под управлением Astra Linux в домен Windows AD может быть выполнен двумя способами:
- с использованием samba/winbind (графический инструмент fly-admin-ad-client и инструмент командной строки astra-winbind);
- с использованием sssd (графический инструмент fly-admin-ad-sssd и инструмент командной строки astra-ad-sssd-client);
Далее рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи.
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd
Причина: для динамического обновления записей DNS необходима утилита nsupdate, которая содержится в пакете dnsutils, не устанавливаемом по умолчанию.
Комплекс программ Astra Linux Directory (ALD) является нашей разработкой и предназначен для организации единого пространства пользователей (домена локальной вычислительной сети) в автоматизированных системах.
ALD использует технологии LDAP, Kerberos 5, Samba/CIFS и обеспечивает:
- централизованное хранение и управление учетными записями пользователей и групп;
- сквозную аутентификацию пользователей в домене с использованием протокола Kerberos 5;
- функционирование глобального хранилища домашних директорий, доступных по Samba/CIFS;
- автоматическую настройку всех необходимых файлов конфигурации UNIX, LDAP, Kerberos, Samba, PAM;
- поддержку соответствия БД LDAP и Kerberos;
- создание резервных копий БД LDAP и Kerberos с возможностью восстановления;
- интеграцию в домен входящих в дистрибутив СУБД, серверов электронной почты, веб-серверов, серверов печати и т.п.
Кроме того, ALD предоставляет программные интерфейсы для интеграции в домен разрабатываемых программных решений.
«Служба Astra Linux Directory (ALD) представляет собой систему управления ЕПП. Таким образом, ALD является надстройкой над технологиями LDAP, Kerberos 5, CIFS и обеспечивает автоматическую настройку всех необходимых файлов конфигурации служб, реализующих перечисленные технологии, а также предоставляет интерфейс управления и администрирования. Все необходимые компоненты службы ALD входят в состав следующих пакетов:
ald-server — серверная часть ALD. Содержит утилиту конфигурации сервера ald-init. Пакет должен устанавливаться на сервер домена. При установке данного пакета также устанавливается ald-admin и, соответственно, клиентская часть. В руководстве man подробно описаны все возможности указанных утилит.
ald-admin — содержит утилиту ald-admin и утилиту администрирования БД ALD. Пакет должен устанавливаться на компьютеры, с которых будет осуществляться администрирование БД ALD. При установке данного пакета также устанавливается клиентская часть;
ald-client — клиентская часть ALD. Содержит утилиту конфигурирования клиентского компьютера ald-client и утилиту автоматического обновления пользовательских билетов -renew-tickets. Пакет должен устанавливаться на все клиентские компьютеры, входящие в домен.
Подготовим ALD сервер
Контроллер - srv.test.local (ip 192.168.1.100)
Клиент - arm.test.local (ip 192.168.1.101)
Установим и настроим ALD
Если сервер ALD не был отмечен при установке ОС, выполняем:
Пример файла sudo nano /etc/ald/ald.conf
Запустим первичную инициализацию из root:
Можно проверить командами
В случае изменения /etc/ald/ald.conf необходимо выполнить команду commit-config для того, чтобы изменения вступили в силу на сервере:
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd можно используя Графический менеджер пакетов synaptic или из командной строки командой :
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
Ошибка: «Failed to join domain: Invalid configuration ("workgroup" set to 'ASTRA', should be 'WIN') and configuration modification was not requested»
Причина: неправильно указано имя рабочей группы (NetBIOS).
Решение: указать правильное имя рабочей группы (NetBIOS).
Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»
Причина: в команде ввода в домен указано имя компьютера уже испольованное в домене AD (например, имя другого ПК).
- Изменить имя компьютера, вводимого в домен:
- Изменить имя ПК в файле /etc/hosts и в файле /etc/hostname;
- Перезагрузить ПК;
- повторить ввод в домен AD;
Конфликтующие модули в pam-стеке (winbind и sssd)
Причина: одновременное использование пакетов winbind и sssd.
Решение: использовать только пакеты winbind или только sssd. Для удаления ненужного пакета выполнить команду:
Для удаления пакета sssd:
где в появившемся окне снять чек-бокс с модуля sss authentication:
См. также следующий раздел "Исправление параметров в файле /etc/krb5.conf при использовании winbind"
Вводные данные
Контроллеры домена Active Directory
Сервер c базой данных Postgresql
ОС – Astra Linux SE 1.6. Установлена без ALD и без режима киоска. Дополнительное ПО выбрано базовые средства, рабочий стол Fly, средства работы в сети, СУБД.
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Ввод Astra Linux в домен Active Directory
Ввод компьютера в домен может быть выполнен командой:
Подсказка по команде:
Настройка сети на bd1
Приведем файл /etc/hosts к виду
Проверим правильность имени машины в /etc/hostname
Настроим статический IP-адрес, для этого внесем строки в файл /etc/network/interfaces
Для автоматической генерации файла /etc/resolv.conf установим пакет resolvconf.
Перезапустим службу сети
Проверим, должен появиться интерфейс eth0 с назначенным нами адресом 192.168.0.100
Проверим доступность контроллеров домена Active Directory
Настроим синхронизацию времени с контроллерами домена, для этого в файле /etc/ntp.conf добавим в секцию «You do need to talk to an NTP server or two (or three)»
Ввод Astra Linux в домен Active Directory
1) Открыть "Панель управления"
2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"
3) Заполнить все поля и нажать кнопку "Подключиться":
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя "username@example.com" или "EXAMPLE\username".
Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией.
На момент обновления данной статьи пакет указанной версии не входил в состав дистрибутивов, и предположительно должен быть включен в оперативное обновление 2.Для установки пакета:
Установка пакетов
Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Если во время настройки и перезагрузки сети появляются ошибки, например "Failed to bring up eth0", то можно "очистить" интерфейс командой:
ip addr flush eth0
Astra Linux Directory не сконфигурирована.
Заполните конфигурационный файл '/etc/ald/ald.conf'.
Не заполнен /etc/ald/ald.conf
ALD сервер домена '.da' не обнаружен.
ALD сервер домена '.da' не обнаружен.
Ошибка разрешения имени компьютера 'server.da'.
Некорректно настроены имя и ip адрес, например в /etc/hosts отсутствует длинное имя машин:
Триггер 'ald-cfg-nfs:DoNFSInitFS' вызвал исключение!
:> Incorrect net address
-- ОШИБКА: Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5:
Ошибка инициализации интерфейса администрирования kadm5. в ALDKadm5Connection.cpp:345(ConnectPassword)
:> GSS-API (or Kerberos) error
Некорректно настроены имя и ip адрес, например в /etc/hosts (разрешение имен может быть настроено и с помощью сервера DNS) следует указать ip, длинное и короткое имя и исключить запись "127.0.1.1 myserver":
В /etc/ald/ald.conf не указаны длинное имя машины и домен:
Недостаточно энтропии во время инициализации домена.
-
При вводе клиента (ald-client join), ошибка( 345 ) возникает из-за несовпадения времени на машинах.
Утилита hostname должна выдавать короткое имя. После внесения изменений в файл /etc/hostname необходимо перезагрузить машину.
Ошибка OpenLDAP при GSSAPI соединения - Local error в ALDLDapConnection.cpp:734(Connect)
Введите пароль администратора ALD 'ald-admin': *
Проверка конфигурации домена. ok
Проверка модулей LDAP. ok
Проверка индексов LDAP. ok
Проверка ограничений уникальности LDAP. ok
Проверка системных принципалов. -- ОШИБКА:
Ошибка RPC: Ошибка MIT Kerberos V5: Не удалось получить список принципалов Kerberos. в ALDKadm5Connection.cpp:924(Principals)
:> Operation requires ``list'' privilege
После добавления astra-admin в ALLOWED_LOCAL_GROUPS и выполнения ald-init commit-config снять права администратора домена, применить, установить права администратора домена, применить.
Ошибка «Failed to join domain: failed to lookup DC info for domain 'win.ad' over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»
Причина: в команде ввода в домен неправильно указано имя администратора домена или пароль:
- Указанный пользователь не имеет необходимых прав;
- В файле /etc/resolv.conf указаны неверные данные, либо данные отсутствуют;
- Неправильно указаны данные (например, после смостоятельного внесения изменений) в файле /etc/nsswitch.conf.
- Использовать правильный логин или пароль, а также проверить вход от имени администратора домена;
- При настройке сети указать правильные данные сервера (серверов) DNS и правильный поисковый домен;
- Вернуть файл /etc/nsswitch.conf к исходному состоянию.
Читайте также: