Ошибка входа доверенного пользователя на машины в домене MS

Valentina

Участник
Регистрация
09.07.24
Сообщения
17
Реакции
0
Добрый день

Созданы доверительные отношения
Astra Linux 1.7.5 + ALD PRO 2.3.0
с контроллером домена на Windows 2022 (режим работы домена Windows Server 2016)

После установки доверительных отношений, dcdiag на контроллере ms дает такую ошибку:
Возникла ошибка. Код события (EventID): 0x00000C8A
Время создания: 07/09/2024 12:36:35
Строка события:
Произошла ошибка при проверке имени этого компьютера на контроллере \\aldproz1.z1.ru, являющимся контроллером домена Windows для домена Z1, и в результате этот компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому администратору.

При попытке входа пользователя из домена aldpro на раб.станцию Windows в домене MS получена ошибка:
Имя или идентификатор безопасности (SID) указанного домена несовместимы со сведениями, полученными о домене через отношения доверенности.


Попытка входа доменным пользователем из домена MS на Astra Linux в домене AldPro так же не удачна.

Подскажите как решить возникшую проблему.

В NETWORKmanager
Вкладка "Параметры IPv4" метод: вручную, адрес 172.18.105.175 маска 22 шлюз 172.16.104.1
dns 127.0.0.1 поисковый домен z1.ru
Вкладка "Параметры IPv6" метод: игнорировать

/etc/resolv.conf
search z1.ru
nameserver 127.0.0.1

sudo hostnamectl set-hostname aldproz1.z1.ru

/etc/hosts
127.0.0.1 localhost localhost.localdomain
#127.0.1.1 aldproz1 - локальная петля
172.18.105.175 aldproz1.z1.ru aldproz1
51.250.6.116 dl.astralinux.ru
51.250.6.116 download.astralinux.ru
84.201.172.233 astralinux.ru

/etc/network/interfaces
source /etc/network/interfaces.d/*

auto eth0
iface eth0 inet static
address 172.18.105.175
netmask 255.255.252.0
gateway 172.18.104.1
dns-nameservers 127.0.0.1
dns-search z1.ru

# The loopback network interface
auto lo
iface lo inet loopback

очистить старое значение eth0:
sudo ip addr flush dev eth0
перезапустить службу networking:
sudo systemctl restart networking

создать /etc/apt/apt.conf
sudo nano /etc/apt/apt.conf
Acquire::https::proxy "http://корп.домен\Name:pass@прокси:порт";
Acquire::http::proxy "http://корп.домен\Name:pass@прокси:порт";
Acquire::ftp::proxy "ftp://корп.домен\Name:pass@прокси:порт";
Acquire:🧦:proxy "http://корп.домен\Name:pass@прокси:порт";
Acquire::::proxy "true";
Примечание: https прокси обращается к http, а не https

----------------
Выставлено ОЗУ 8 гб, 4 ядра
----------------

sudo -i

sudo systemctl stop NetworkManager
sudo systemctl disable NetworkManager
sudo systemctl mask NetworkManager
sudo systemctl status NetworkManager

Проверка доступности:
ping -c 2 dl.astralinux.ru
ping -c 2 ya.ru
ping -c 2 google.com
ping -c 2 aldproz1.z1.ru
ping -c 2 aldproz1
ping -c 2 localhost

/etc/apt/sources.list
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-main 1.7_x86-64 main non-free contrib
deb http://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-update 1.7_x86-64 main contrib non-free

Создать список репозиториев /etc/apt/sources.list.d/aldpro.list
sudo nano /etc/apt/sources.list.d/aldpro.list
содержимое:
deb https://dl.astralinux.ru/aldpro/frozen/01/2.3.0 1.7_x86-64 main base

sudo astra-modeswitch get

sudo astra-modeswitch set 2

Убедиться что:
/etc/apt/preferences.d/smolensk
Результат:
Package: *
Pin: release n=1.7_x86-64
Pin-Priority: 900

sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew

sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-mp aldpro-gc
aldpro-gc - это модуль глобального каталога - он нужен для создания доверительных отношений с лесом ms windows

перепроверка:
sudo nano /etc/resolv.conf
nameserver 127.0.0.1
search z1.ru

перезапуск сетки
sudo systemctl restart networking

перепроверка доступности:
ping -c 2 dl.astralinux.ru
ping -c 2 ya.ru
ping -c 2 google.com
ping -c 2 aldproz1.z1.ru
ping -c 2 aldproz1
ping -c 2 localhost

повышение роли до контроллера домена
sudo aldpro-server-install -d z1.ru -n aldproz1 -p '1qazXSW@' --ip 172.18.105.175 --no-reboot --setup_gc

перепроверить
/etc/resolv.conf
# auto-generated by IPA installer
search z1.ru
nameserver 127.0.0.1

потупить сколько то минут

перезагрузить сервер:
sudo reboot

Ждать(ждать после появления окошка для аутентификации с выбором домена и ничего не вводить...)
Вход: домен z1.ru пользователь: admin пароль: 1qazXSW@
Если выбора домена нет, то нажать Alt+U

sudo aldproctl status
sudo ipactl status
(всё запущено и работает)

klist
sudo kinit admin

Вход по керберос - удачен.

Изменены настройки bind:
sudo nano /etc/bind/ipa-options-ext.conf
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
перезапустить DNS-службу на контроллере домена:
sudo systemctl restart bind9-pkcs11.service

проверка:
sudo ipa dnsconfig-show

Создание нескольких пользователей на https://aldproz1.z1.ru успешно.

Т.к при вводе в домен рабочей станции была ошибка на стороне клиента:
[ERROR ] DNS lookup or connection check of 'salt' failed.
[ERROR ] Master hostname: 'salt' not found or not responsive. Retrying in 30 seconds
то на сервере были внесены еще такие изменения:
1.
sudo nano /etc/salt/minion добавить строку:
master: aldproz1.z1.ru
sudo nano /etc/salt/master
interface: 172.18.105.175
sudo nano /etc/sysctl.d/disable-ipv6.conf скопипастить:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
2.
systemctl disable systemd-resolved

Указать в NetworkManager DNS-сервер и суфикс z1.ru

Задать пароль root:
sudo passwd root
пароль: 1qazXSW@

sudo hostnamectl set-hostname client1
(без z1.ru)

в /etc/hosts добавить
172.18.105.175 aldproz1.z1.ru aldproz1

sudo nano /etc/apt/sources.list
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-main 1.7_x86-64 main contrib non-free
deb https://dl.astralinux.ru/astra/frozen/1.7_x86-64/1.7.5/repository-update 1.7_x86-64 main contrib non-free

sudo nano /etc/apt/sources.list.d/aldpro.list
deb https://download.astralinux.ru/aldpro/frozen/01/2.3.0 1.7_x86-64 main base

sudo nano /etc/apt/apt.conf
Acquire::https::proxy "http://корп.домен\Name:pass@прокси:порт";
Acquire::http::proxy "http://корп.домен\Name:pass@прокси:порт";
Acquire::ftp::proxy "ftp://корп.домен\Name:pass@прокси:порт";
Acquire:🧦:proxy "http://корп.домен\Name:pass@прокси:порт";
Acquire::::proxy "true";
Примечание: https прокси обращается к http, а не https

ip a
ping -c 4 77.88.8.8
ping -c 4 dl.astralinux.ru
ping -c 4 aldproz1.z1.ru
ping -c 4 aldproz1

sudo apt update
sudo apt list --upgradable
sudo apt dist-upgrade -y -o Dpkg::Options::=--force-confnew
(на этом этапе еще можно перегрузиться)


в /etc/hosts раскоментировать петлю 127.0.1.1 и добавить явно ip хоста клиента
sudo DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client

в /etc/hosts закоментировать петлю и удалить ip хоста клиента

Проверка:
nslookup client1
+пинги к домену и на самого себя

Примечание: если перегрузить машину на данном этапе то следующая команда завершится ошибкой. И в целом возникнет проблема с резолвом DNS имен

sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain z1.ru --account admin --password '1qazXSW@' --host client1 --gui --force

перегрузить машину

ping -c 2 client1

Вход доменным пользователем успешен

Windows 2022 ru - поднять роли AD и DNS-сервера.
Отключен брандмауэр
Установлены обновления
Создан доменный администратор
Ему задана основная группа: "Администраторы домена"

Создание доверительных отношений происходит в два действия:
1. В DNS-сервере домена ms добавляется зона пересылки = IP контроллеру домена Ald Pro
2. На контроллере домена Ald Pro с веб странички https://aldproz1.z1.ru "Управление доменом" - "Интеграция с MS AD" нажать "Новое подключение к Active Directory"
Ввести данные домена ms:
В моём случае это: Домен z2.ru
Установлен check-box "Перенаправление зоны DNS" указан IP адрес DNS сервера = IP контроллера домена MS
Установлен check-box "Доверительные отношения"
Установлен check-box "Двухсторонние доверительные отношения"
Пользователь Администратор домена ms для которого указана основная группа: "Администраторы домены"
И пароли
После "Сохранить" возвращается сообщение о успехе создания доверительных отношений

В " Служба разрешения имен" появляется зона домена MS (z2.ru)
На контроллере домена MS в "Домены и доверие" - Свойства - вкладка "Отношения доверия" есть двухстороннее доверие к домену ALD PRO (z1.ru)
 
net.ipv6.conf.lo.disable_ipv6 = 1 тут лучше 0 указывать
При попытке входа пользователя из домена aldpro на раб.станцию Windows в домене MS получена ошибка:
Имя или идентификатор безопасности (SID) указанного домена несовместимы со сведениями, полученными о домене через отношения доверенности. Воспроизвести не смог. Можно попробовать пересоздать доверительные и проверить
 
Изменен /etc/sysctl.d/disable-ipv6.conf
Содержимое:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 0

Пересозданы доверительные отношения. Все машины перезагружены.
Не помогло избавиться от ошибки при попытке входа доверенного пользователя: Имя или идентификатор безопасности (SID) указанного домена несовместимы со сведениями, полученными о домене через отношения доверенности.

Отмечу что если при входе на машину Windows у доверенного пользователя AldPro стоит признак "смены пароля при следующем входе", то запрос на смену пароля появляется и смена пароля проходит успешно. Но самого входа пользователя нет.

Может в Astra Linux есть какой то способ сбросить/обновить sid доверенного домена MS ?
 
В инструкции было указано что следует отключить DNSSEC. И действовала я согласно инструкции.
Содержимое файла /etc/bind/ipa-options-ext.conf
allow-recursion { any; };
allow-query-cache { any; };
dnssec-validation no;
listen-on-v6 { any; };
Но в DNS сервере есть записи с ключами SSHFP
1720528058005.png

Это же указывает на то что DNSSEC не отключён? Может ли это порождать мою проблему с доверием?
 
Спасибо за анализ и временное решение проблемы. ❤️

Для истории:

Для корректного создания доверительных отношений с доменами Microsoft на контроллерах домена не должны быть установлены обновления Windows выпущенные ориентировочно с 2023 года.

Если они установлены, то при создании доверительных отношений с ms ad сообщается о успехе создания доверительных отношений, но не создаются группы, вида:
1721041330688.png

со стороны контроллера домена microsoft, тестирование доверительных отношений возвращает ошибку: "Произошла ошибка при проверке имени этого компьютера на контроллере \\кд ald pro ..."
Аутентификация доверенных пользователей не осуществляется.

Если обновлений на Windows не стоит, то доверительные отношения успешно создаются, включая группы пользователей.
Аутентификация пользователей из ald pro на рабочих станциях домена ms - проходит успешно

Проблема будет исправлена в Astra Linux 1.7.6 (будем надеяться)

Тему можно закрыть.
 
Назад
Сверху Снизу