Проблема

Компьютер не вводится в домен, скрипт завершается с ошибками.

Диагностика

  • На ПК, которую вводят в домен, в лог-файле /var/log/ipaclient-install.log присутствует ошибка вида:
    Joining realm failed: HTTP response code is 401, not 200
  • Не удается выполнить авторизацию на Портале управления ALD Pro и в веб-интерфейса FreeIPA.

Возможная причина: Временные файлы служб smbd и winbind. Перейти к решению.

  • Проверить при вводе компьютера в домен наличие сообщения вида: 
    The Salt Master has rejected this minion's public key!

Возможная причина: Компьютер с таким именем вводился в домен ранее. Перейти к решению.

  • Проверить при вводе компьютера в домен наличие сообщения вида: 
    The Salt Master has rejected this minion's public key!

Возможная причина: Компьютер с таким именем ранее вводился в домен. Перейти к решению.

  • Выполнение команды установки клиентской части ALD Pro:
    DEBIAN_FRONTEND=noninteractive apt-get install -y -q aldpro-client
    завершается ошибкой:
    Чтение списков пакетов…
Построение дерева зависимостей…
Чтение информации о состоянии…
Некоторые пакеты не могут быть установлены. Возможно, то, что вы просите,
неосуществимо, или же вы используете нестабильную версию дистрибутива, где
запрошенные вами пакеты еще не созданы или были удалены из Incoming.
Следующая информация, возможно, вам поможет:

Следующие пакеты имеют неудовлетворенные зависимости:
aldpro-client : Зависит: astra-freeipa-client но он не будет установлен
E: Невозможно исправить ошибки: у вас зафиксированы сломанные пакеты.
  • Проверить, что пакет astra-ad-sssd-client установлен:
    dpkg -l | grep astra-ad-sssd-client
    Ожидаемый вывод:
    ii  astra-ad-sssd-client

Возможная причина: Конфликт установленных пакетов. Перейти к решению.

  • Проверить, что рабочая станция не вводится в домен, при этом в файле журнала /var/log/ipaclient-install.log присутствуют сообщения вида:
    2025-01-10T04:01:28Z DEBUG stderr=TLS: warning: no certificate loaded from CA certificate file `/etc/ipa/ca.crt'.
TLS: can't connect: (unknown error code).
SASL Bind failed		Can't contact LDAP server: (unknown error code)2025-01-10T04:01:28Z ERROR Joining realm failed: TLS: warning: no certificate loaded from CA certificate file `/etc/ipa/ca.crt'.
TLS: can't connect: (unknown error code).
SASL Bind failed		Can't contact LDAP server: (unknown error code)2025-01-10T04:01:28Z ERROR Installation failed. Rolling back changes.
  • Проверить, что при попытке получения сертификата с контроллера домена на не введенной рабочей станции командой:
    curl -vvv http://dc1.aldpro.dom/ipa/config/ca.crt
    возникает ошибка.

Возможная причина: На КД отсутствует корневой сертификат. Перейти к решению.

  • Ввод компьютера в домен завершается ошибкой:
    ValueError: Invalid object path '/org/freedesktop/sssd/infopipe/Domains/': ends with '/' and is not just '/'
Traceback (most recent call last):
File "main.py", line 49, in <module>
File "console_app/install.py", line 20, in add_to_domain
console_app.install.BashException: Команда aldpro-salt-call patch_gp.run_update завершилась с ошибкой.

Возможная причина: Некорректно заполнен файл /etc/hosts. Перейти к решению.

  • Проверить журнал /var/log/ipaclient-install.log на наличие ошибки:
    DEBUG DNS record not found: Timeout
DEBUG Start searching for LDAP SRV record in "ald.pro" (search domain from /etc/resolv.conf) and its sub-domains
DEBUG No LDAP server found

Возможная причина: Не указан DNS-сервер в файле /etc/resolv.conf. Перейти к решению.

  • В журнале /var/log/ipaclient-install.log присутствуют ошибка вида:
    2025-09-23T15:33:43Z DEBUG stderr=Failed to restart chronyd.service: Unit chronyd.service not found.
  • Проверить, что отсутствует символьная ссылка /etc/systemd/system/chronyd.service на /lib/systemd/system/chrony.service:
    ls -l /etc/systemd/system/chronyd.service
    Ожидаемый вывод:
    ls: невозможно получить доступ к '/etc/systemd/system/chronyd.service': Нет такого файла или каталога

Возможная причина: Отсутствует символьная ссылка. Перейти к решению.

  • Выполнить команду вида:
     sudo /opt/rbta/aldpro/client/bin/aldpro-client-installer --domain <domain.name> --account admin --host pc-1 --gui --force
    и проверить наличие сообщения об ошибке, содержащего строку:
    Joining realm failed: Host is already joined.

Возможная причина: Уже существует учетная запись компьютера . Перейти к решению.

  • При вводе хост-машины в домен возникает ошибка:

    "ldap.LOCAL_ERROR: {'desc': 'Local error', 'info': 'SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Ticket expired)'}"
  • Хост-машина появляется в домене, но команда:
    aldpro-gpupdate --gp
    не выполняется и завершается с указанной выше ошибкой.

Возможная причина: Устаревшие данные в кеше Salt. Перейти к решению.

Возможные причины