Проблема

При авторизации доменного пользователя возникает ошибка входа.

Диагностика

  • Проверить журнал /var/log/auth.log на наличие сообщения:
    pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена>: 7 (Сбой при проверке подлинности)

Возможная причина: Большое количество групп. Перейти к решению.

  • После создания нового пользователя в домене MS AD, с которым установлены доверительные отношения, вход пользователя домена MS AD на компьютеры домена ALD Pro невозможен. Вход становится возможен через некоторое произвольное время (до нескольких часов).
  • Журнал /var/log/auth.log содержит ошибки:
    pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена_MS_AD>: 4 (Системная ошибка)
pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена_MS_AD>: 6 (Доступ запрещен)
pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена_MS_AD>: 10 (Пользователь не известен базовому модулю проверки подлинности)

Возможная причина: Запрос к неактуальному контроллеру домена MS AD. Перейти к решению.

  • Авторизация происходит с использованием учетной записи пользователя из доверенного домена Microsoft Active Directory (MS AD).
  • На клиентской машине выполнить команду:
    sudo sssctl domain-status <домен.MS.AD>
    Ожидаемый вывод:
    Online status: Online

Active servers:
IPA: <FQDN_контроллера_домена_ALD_Pro>

Discovered IPA servers:
- <FQDN_контроллера_домена_ALD_Pro>
- <FQDN_контроллера_домена_ALD_Pro>
  • Установить степень детализации журналов службы sssd:
    sudo sssctl debug-level 6
    Проверить, что в журнале /var/log/sssd/sssd_<домен_ALD_Pro> начали появляться сообщения вида:
    (2025-10-10  9:43:54): [be[ald.sever.local]] [ipa_subdomain_account_done] (0x0040): [RID#139] ipa_get_*_acct request failed: [1432158230]: Network I/O Error.
********************** PREVIOUS MESSAGE WAS TRIGGERED BY THE FOLLOWING BACKTRACE:
 *  (2025-10-10  9:43:54): [be[ald.sever.local]] [sdap_id_op_done] (0x4000): [RID#139] releasing operation connection
 *  (2025-10-10  9:43:54): [be[ald.sever.local]] [ipa_subdomain_account_done] (0x0040): [RID#139] ipa_get_*_acct request failed: [1432158230]: Network I/O Error.

Возможная причина: Недостаточный таймаут ожидания ответа. Перейти к решению.

  • Проверить состояние службы NetworkManager:

    sudo systemctl status NetworkManager
    Ожидаемый вывод:
    <...>
     Active: active (running) since Mon 2025-06-30 09:32:33 MSK; 1h 13min ago
<...>

  • Проверить корректность настроек сети в файле /etc/network/interfaces.

  • Проверить корректность настроек сети в службе NetworkManager.

Возможная причина: Некорректные настройки сети. Перейти к решению.

  • Проверить в файле /var/log/auth.log наличие сообщений вида:

    pam_unix(fly-dm:auth): authentication failure
pam_sss(fly-dm:auth): authentication failure

Возможная причина: Не синхронизировано время с контроллером домена. Перейти к решению.

Возможные причины