Доверительные отношения с MS

К

Костюков Владимир

Команда форума
Админ
Регистрация
04.03.23
Сообщения
255
Реакции
39
на астре зайти под учеткой из AD, в логах auth следующее:
fly-dm[4691]: localhost:100[4691]: pam_unix(fly-dm:auth): check pass; user unknown
fly-dm[4691]: localhost:100[4691]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=localhost:100 ruser= rhost=localhost
fly-dm[4691]: localhost:100[4691]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=localhost:100 ruser= rhost=localhost user=xxx@yyy.ru
fly-dm[4691]: localhost:100[4691]: pam_sss(fly-dm:auth): received for user xxx@yyy.ru: 10 (Пользователь не известен базовому модулю проверки подлинности)
На контроллере домена куча ошибок krb5kdc[1524]: TGS_REQ (3 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), DEPRECATED:arcfour-hmac(23)})





Вернуться к началу
 
и что же теперь делать, пятачок ?
ничего, ждать пока АД похудеет ....

получаю такую же ошибку...
500 пользователей в ад вроде не много.
может еще в какие-то логи посмотреть?
проблема будет решаться?

только что увидел, что это баг репорт, извиняюсь....
 
Последнее редактирование:
sergigm написал(а):
и что же теперь делать, пятачок ?
ничего, ждать пока АД похудеет ....

получаю такую же ошибку...
500 пользователей в ад вроде не много.
может еще в какие-то логи посмотреть?
проблема будет решаться?

только что увидел, что это баг репорт, извиняюсь....
Нажмите для раскрытия...
Напишите мне в телегу
 
Здравствуйте.

В домене MS AD больше 700 пользователей. После установки доверительных отношений можно зайти в систему под учетной записью из MS AD с контроллеров домена ALD Pro и с любого сервера инфраструктуры (развернуты сервера мониторинга, репозитория, печати, доступа к файлам, журнала событий, установки ОС по сети) - вход работает, возможность выбора домена MS AD на странице авторизации в списке есть.

На клиенте (установлена Astra SE 1.7.2 Orel) возможность выбора домена MS AD в списке ОТСУТСТВУЕТ, но вход работает после установки доверительных отношений, учетка вводится в виде <домен>\<логин>, вход в Этот компьютер. Спустя некоторое время данная возможность пропадает (на следующий день вход неудачен). После выполнения команды aldpro-update-all --repo 'deb https://repo.astra.ald/repos/aldpro-main/ 1.4.1 main' --username admin --password pa$$w0rd --all вход заработал, но снова временно - на следующий день снова не войти.

Система ALD Pro установлена с нуля версии 1.4.0, после этого обновлена до версии 1.4.1, доверительные отношения устанавливались уже на версии 1.4.1.
Система на клиенте развертывается в автоматическом режиме по сети, ввод в домен автоматически без ошибок.

Как добиться стабильного входа в доверенный домен MS AD (исп. Server 2008R2), почему на серверах доверенный домен есть в списке выбора, а на клиенте отсутствует? Если нужны логи - выложу.

Спасибо.
 
Алексей написал(а):
Здравствуйте.

В домене MS AD больше 700 пользователей. После установки доверительных отношений можно зайти в систему под учетной записью из MS AD с контроллеров домена ALD Pro и с любого сервера инфраструктуры (развернуты сервера мониторинга, репозитория, печати, доступа к файлам, журнала событий, установки ОС по сети) - вход работает, возможность выбора домена MS AD на странице авторизации в списке есть.

На клиенте (установлена Astra SE 1.7.2 Orel) возможность выбора домена MS AD в списке ОТСУТСТВУЕТ, но вход работает после установки доверительных отношений, учетка вводится в виде <домен>\<логин>, вход в Этот компьютер. Спустя некоторое время данная возможность пропадает (на следующий день вход неудачен). После выполнения команды aldpro-update-all --repo 'deb https://repo.astra.ald/repos/aldpro-main/ 1.4.1 main' --username admin --password pa$$w0rd --all вход заработал, но снова временно - на следующий день снова не войти.

Система ALD Pro установлена с нуля версии 1.4.0, после этого обновлена до версии 1.4.1, доверительные отношения устанавливались уже на версии 1.4.1.
Система на клиенте развертывается в автоматическом режиме по сети, ввод в домен автоматически без ошибок.

Как добиться стабильного входа в доверенный домен MS AD (исп. Server 2008R2), почему на серверах доверенный домен есть в списке выбора, а на клиенте отсутствует? Если нужны логи - выложу.

Спасибо.
Нажмите для раскрытия...
Прикрепите скрин
 
Для стабильной авторизации пользователей AD в домене ALD Pro на основе доверительных отношений на всех контроллерах домена ALD необходимо добавить в файл /etc/sssd/sssd.conf в секцию [domain/test.ald] следующие строки:

subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout
ignore_group_members = True
ldap_purge_cache_timeout = 0

Админ спасибо за совет(y)
 
Проверьте время на клиенте, после синхронизации время с КД все заработало. ntpdate -u КД
 
Astra 1.7.4, ALD Pro 2.1.0

После установки двусторонних доверительных отношений с доменом AD, на клиенте невозможно войти в систему под пользователем AD.
На экране появляется сообщение об ошибке "Вход не выполнен".
auth.log:
aldclient01 fly-dm[1040]: :0[1040]: pam_parsec_mac(fly-dm:auth): Unknown user qweqwe@domain.local
aldclient01 fly-dm[1040]: :0[1040]: pam_unix(fly-dm:auth): check pass; user unknown
aldclient01 fly-dm[1040]: :0[1040]: pam_unix(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost=
aldclient01 fly-dm[1040]: :0[1040]: pam_sss(fly-dm:auth): authentication failure; logname= uid=0 euid=0 tty=/dev/tty7 ruser= rhost= user=qweqwe@domain.local
aldclient01 fly-dm[1040]: :0[1040]: pam_sss(fly-dm:auth): received for user qweqwe@domain.local: 10 (Пользователь не известен базовому модулю проверки подлинности)

На сервере вход под пользователем AD работает.

При выполнении команды id qweqwe@domain.local на сервере выдаётся список групп пользователя.
На клиенте выдаётся сообщение "пользователь не найден".

Домен большой - ~700 пользователей, ~1000 групп.

Имеется ли решение или обходной путь? Домен в обозримое время худеть не планирует... :)
 
Для стабильной авторизации пользователей AD в домене ALD Pro на основе доверительных отношений на всех контроллерах домена ALD необходимо добавить в файл /etc/sssd/sssd.conf в секцию [domain/test.ald] следующие строки:
subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout
ignore_group_members = True
ldap_purge_cache_timeout = 0
Затем перезапустить службу sssd
//-------------------------------------------------------------------------------------------------------------------------------------------------------------
поменять в файле /etc/bind/ipa-options-ext.conf
dnssec-validation yes на no
и добавить allow-query-cache { any; };
то есть должно быть так в конце файла:
dnssec-validation no;
allow-query-cache { any; };
Перезагрузить КД и клиента и попробовать
 
  • Like
Реакции: mdo
Здравствуйте,
cherant1 написал(а):
Для стабильной авторизации пользователей AD в домене ALD Pro на основе доверительных отношений на всех контроллерах домена ALD необходимо добавить в файл /etc/sssd/sssd.conf в секцию [domain/test.ald] следующие строки:
subdomain_inherit = ignore_group_members, ldap_purge_cache_timeout
ignore_group_members = True
ldap_purge_cache_timeout = 0
Затем перезапустить службу sssd
//-------------------------------------------------------------------------------------------------------------------------------------------------------------
поменять в файле /etc/bind/ipa-options-ext.conf
dnssec-validation yes на no
и добавить allow-query-cache { any; };
то есть должно быть так в конце файла:
dnssec-validation no;
allow-query-cache { any; };
Перезагрузить КД и клиента и попробовать
Нажмите для раскрытия...
Попробовал сделать по вашей инструкции проблема не исчезла.
Под КД могу входить в учетки а под клиентом нет.
Подскажите кто нибудь.
 

Вложения

  • 2024-04-26_12-03.png
    2024-04-26_12-03.png
    7.5 KB · Просмотры: 11
  • 2024-04-26_12-04.png
    2024-04-26_12-04.png
    7.5 KB · Просмотры: 11
  • 2024-04-26_12-06.png
    2024-04-26_12-06.png
    55.2 KB · Просмотры: 12
  • 2024-04-26_12-09.png
    2024-04-26_12-09.png
    20 KB · Просмотры: 12
Последнее редактирование:
wizard написал(а):
Здравствуйте,

Попробовал сделать по вашей инструкции проблема не исчезла.
Под КД могу входить в учетки а под клиентом нет.
Подскажите кто нибудь.
Нажмите для раскрытия...
Домен случайно нет.local ?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу