Проблема

При входе на портал управления ALD Pro появляется ошибка "Потеряно соединение с сервером".

Диагностика

  • При входе на портал управления ALD Pro с использованием Kerberos появляется сообщение "Аутентификация с Kerberos не удалась":
  • При входе на портал управления ALD Pro с использованием логина и пароля появляется сообщение "Ошибка загрузки данных":
  • Выполнить на контроллере домена аутентификацию службы HTTP:
    kinit HTTP/`hostname` -kt /var/lib/ipa/gssproxy/http.keytab
    Ожидаемый вывод:
    kinit: Keytab contains no suitable keys for HTTP/<FQDN_контроллера_домена>@<ДОМЕН> while getting initial credentials

Возможная причина: Некорректный http.keytab. Перейти к решению.

  • Проверить, что на КД ALD Pro в файле /var/log/apache2/error.log присутствуют ошибки вида:
    [<date> <time> <year>] [core:error] [pid <PID>] (13)Permission denied: [client <IP>:<port>] ___: access to /api/ds/login denied (filesystem path '/var/www/html/api') because search permissions are missing on a component of the path ...

Возможная причина: Ошибки в работе служб samba и winbind. Перейти к решению.

  • Проблема возникает на репликах контроллера домена.
  • Получить информацию о сроке действия сертификатов:
    sudo kinit admin
sudo ipa-replica-manage list | awk -F':' '{print $1}' | xargs -I[] bash -c 'echo [] ; echo | openssl s_client -connect []:443 2>/dev/null | openssl x509 -noout -dates'
    В выводе указано, что срок действия сертификатов служб на репликах составляет один месяц:
    dc01.ald241.local
notBefore=Apr 28 10:42:07 2025 GMT
notAfter=Apr 26 10:42:07 2035 GMT
dc02.ald241.local
notBefore=Apr 28 13:20:35 2025 GMT
notAfter=May 28 13:20:35 2025 GMT

Возможная причина: Проблема в реализации модуля для PKIProxy. Перейти к решению.

  • Проверить:
    • текущее состояние учетной записи (УЗ) пользователя, с учетными данными которой осуществляется подключение к Порталу управления ALD Pro:
      kinit admin 
ipa user-status <имя_пользователя>
    • строку Неудачные попытки входа — указано количество, равное максимальному числу ошибок, заданному в политике паролей для группы пользователей, в которую входит пользователь.

    • настройки политик паролей:

      ipa pwpolicy-find
ipa pwpolicy-show <наименование_группы_пользователей>

Возможная причина: Учетная запись пользователя заблокирована. Перейти к решению.

Возможные причины