Проблема

После создания и назначения групповых политик они не применяются на клиентских компьютерах.

Диагностика

  • Проверить вывод команды на клиентской машине:
    sudo salt-call grains.get aldpro_dc_list -c /srv/salt/standalone/config
    Ожидаемый вывод должен содержать список контроллеров домена (salt-master). Пример:
    local:
    - dc2.ald.pro
    - dc1.ald.pro
    Если в выводе нет ни одной записи, групповая политика не будет применена. Требуется проверить конфигурационные файлы на корректность их заполнения. В частности, выполнить проверку файлов /etc/hosts, /etc/hostname, /etc/resolv.conf. Например, отсутствие указания полного доменного имени машины в файле /etc/hosts приводит к такому результату.

Возможная причина: ALD Pro. Некорректное содержание конфигурационных файлов. Перейти к решению.

  • Проверить, что в выводе команды отсутствуют упоминания применяемой политики:
    sudo salt-call -c /srv/salt/standalone/config pillar.get aldpro-hosts

Возможная причина: ALD Pro. Не указаны атрибуты параметра групповой политики. Перейти к решению.

  • Проверить наличие в лог-файле /var/log/aldpro-salt/minion сообщений:
    [CRITICAL] Pillar render error: Failed to load ext_pillar stack: Stack pillar template render error in /etc/aldpro-salt/stack/aldpro_update.yml:
"org.freedesktop.DBus.Error.Disconnected: SSSD is offline"
  • Проверить наличие в лог-файле /var/log/sssd/sssd.log сообщений:
    [sssd] [svc_child_info] (0x0020): Child [...] ('<имя_домена>':'%BE_<имя_домена>') was terminated by own WATCHDOG

Возможная причина: Дочерние процессы sssd_be уничтожаются процессом WATCHDOG. Перейти к решению.

  • Проверить, что в выводе команде форсирования применения групповой политики содержится ошибка вида:
    ldap.INVALID_CREDENTIALS: {'desc': 'Invalid credentials'}
  • Убедиться, что в конфигурационном файле /etc/hosts содержатся некорректные записи о контроллерах домена.

Возможная причина: Некорректная информация в файле /etc/hosts. Перейти к решению.

  • Проверить вывод команды на клиентской машине:
    sudo salt-call grains.get aldpro_dc_list -c /srv/salt/standalone/config
    Ожидаемый вывод должен содержать список контроллеров домена (salt-master). Пример:
    local:
    - dc2.ald.pro
    - dc1.ald.pro
    Если в выводе нет ни одной записи, групповая политика не будет применена. Требуется проверить конфигурационные файлы на корректность их заполнения. В частности, выполнить проверку файлов /etc/hosts, /etc/hostname, /etc/resolv.conf. Например, отсутствие указания полного доменного имени машины в файле /etc/hosts приводит к такому результату.

Возможная причина: Некорректное содержание конфигурационных файлов. Перейти к решению.

  • Ошибка применения групповой политики не совпадает ни с одной из описанных в инциденте.

Возможная причина: Некорректное состояние кэша SaltStack. Перейти к решению.

  • Убедиться, что при форсированном применении групповых политик:
    sudo aldpro-gpupdate --gp
    появляется сообщение вида:
    ldap.LOCAL_ERROR: {'result': -2, 'desc': 'Local error', 'ctrls': [], 'info': 'SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information'}
  • Выполнить команды:
    • на клиентском компьютере:
      klist -k -e /etc/krb5.keytab      # Проверка принципала хоста в keytab
klist /var/tmp/aldpro-salt.ccache # Проверка билета salt-minion
    • на контроллере домена:
      kvno host/<fqdn_вашего_хоста>@<ВАШ>.<ДОМЕН> # Проверка актуальности KVNO
      и проверить, что билет /var/tmp/aldpro-salt.ccache отсутствует или просрочен, принципалы или KVNO не совпадают.

Возможная причина: Некорректный keytab salt-minion. Перейти к решению.

  • Проверить, что в выводе команды отсутствуют упоминания применяемой политики:
    sudo salt-call -c /srv/salt/standalone/config pillar.get aldpro-hosts

Возможная причина: Не указаны атрибуты параметра групповой политики. Перейти к решению.

  • В выводе команды форсирования применения групповых политик содержатся сообщения вида:
    [INFO ] Executing state cmd.run for [python3 /home/admin/.fly/theme/current.themerc.apply.py]
[INFO ] Executing command 'python3' in directory '/root'[ERROR ] Command 'python3' failed with return code: 2
[ERROR ] stderr: python3: can't open file '/home/admin/.fly/theme/current.themerc.apply.py': [Errno 2] No such file or directory
[ERROR ] retcode: 2
[ERROR ]

{'pid': 26174, 'retcode': 2, 'stdout': '', 'stderr': "python3: can't open file '/home/admin/.fly/theme/current.themerc.apply.py': [Errno 2] No such file or directory"}

Возможная причина: Отсутствует каталог fly в профиле пользователя. Перейти к решению.

  • При обновлении с версии ALD Pro 2.3.0 до ALD Pro 2.4.0 и ОС Astra Linux Special Edition 1.7 Update 5uu1 (№ 2024-0212SE17) до Astra Linux Special Edition 1.7 Update 6uu2 (№2024-1127SE17MD) из файла /etc/pam.d/common-session пропадает модуль /usr/sbin/salt-masterless-login.

Возможная причина: Отсутствует модуль salt-masterless-login в файле common-session. Перейти к решению.

  • Проверить, что при выполнении команд по форсированию групповых политик, например:
    sudo salt-call state.apply gpupdate.build -c /srv/salt/standalone/config
sudo salt-call -c /srv/salt/standalone/config gp_sum.build_and_run_gp force=True
    возникает ошибка вида:
    Module function aldpro_audit.write_audit_pillar threw an exception. Exception: 'NoneType' object is not subscriptable
  • Проверить, что удалить правила аудита на портале управления ALD Pro невозможно и появляется ошибка вида:

Возможная причина: Ошибка в правиле подсистемы аудита. Перейти к решению.

  • Выполнить команду форсирования сбора и применения групповых политик:
    sudo salt-call -c /srv/salt/standalone/config gp_sum.build_and_run_gp force=true verbose=true
    Проверить, что в листинге выполнения команды присутствует ошибка вида:
    State '<имя_стейта>' in SLS 'policies.host-policies' is not formed as a list

Возможная причина: Различный стиль оформления сценариев групповых политик. Перейти к решению.

  • Проверить, что в выводе команде форсирования применения групповой политики содержится ошибка вида:
    ldap.INVALID_CREDENTIALS: {'desc': 'Invalid credentials'}
  • Проверить, что в выводе выполнения команды:
    sudo klist -kte
    • содержатся ключи не только принципала машины;
    • что ключи принципала машины выводятся не первыми.

Возможная причина: Файл /etc/krb5.keytab содержит ключи не только принципала машины. Перейти к решению.

Возможные причины