PDF
Download PDF
Download page ALD Pro. Ошибка авторизации доменного пользователя.
ALD Pro. Ошибка авторизации доменного пользователя
Проблема
При авторизации доменного пользователя возникает ошибка входа.
Диагностика
- Проверить журнал
/var/log/auth.logна наличие сообщения:pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена>: 7 (Сбой при проверке подлинности)CODE
Возможная причина: Большое количество групп. Перейти к решению.
- После создания нового пользователя в домене MS AD, с которым установлены доверительные отношения, вход пользователя домена MS AD на компьютеры домена ALD Pro невозможен. Вход становится возможен через некоторое произвольное время (до нескольких часов).
- Журнал /var/log/auth.log содержит ошибки:
pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена_MS_AD>: 4 (Системная ошибка) pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена_MS_AD>: 6 (Доступ запрещен) pam_sss(fly-dm:auth): received for user <имя_пользователя>@<имя_домена_MS_AD>: 10 (Пользователь не известен базовому модулю проверки подлинности)CODE
Возможная причина: Запрос к неактуальному контроллеру домена MS AD. Перейти к решению.
- Авторизация происходит с использованием учетной записи пользователя из доверенного домена Microsoft Active Directory (MS AD).
- На клиентской машине выполнить команду:Ожидаемый вывод:
sudo sssctl domain-status <домен.MS.AD>CODEOnline status: Online Active servers: IPA: <FQDN_контроллера_домена_ALD_Pro> Discovered IPA servers: - <FQDN_контроллера_домена_ALD_Pro> - <FQDN_контроллера_домена_ALD_Pro>CODE - Установить степень детализации журналов службы
sssd:Проверить, что в журналеsudo sssctl debug-level 6CODE/var/log/sssd/sssd_<домен_ALD_Pro>начали появляться сообщения вида:(2025-10-10 9:43:54): [be[ald.sever.local]] [ipa_subdomain_account_done] (0x0040): [RID#139] ipa_get_*_acct request failed: [1432158230]: Network I/O Error. ********************** PREVIOUS MESSAGE WAS TRIGGERED BY THE FOLLOWING BACKTRACE: * (2025-10-10 9:43:54): [be[ald.sever.local]] [sdap_id_op_done] (0x4000): [RID#139] releasing operation connection * (2025-10-10 9:43:54): [be[ald.sever.local]] [ipa_subdomain_account_done] (0x0040): [RID#139] ipa_get_*_acct request failed: [1432158230]: Network I/O Error.CODE
Возможная причина: Недостаточный таймаут ожидания ответа. Перейти к решению.
Проверить состояние службы
NetworkManager:Ожидаемый вывод:sudo systemctl status NetworkManagerCODE<...> Active: active (running) since Mon 2025-06-30 09:32:33 MSK; 1h 13min ago <...>CODEПроверить корректность настроек сети в файле
/etc/network/interfaces.- Проверить корректность настроек сети в службе
NetworkManager.
Возможная причина: Некорректные настройки сети. Перейти к решению.
- Проверить версию операционной системы:на совместимость в соответствии с документацией к выпуску ALD Pro 3.0.0 02_Руководство_администратора_Часть_1_3.0.0_v2.pdf
cat /etc/astra/build_versionCODE
пункт 4.1 Матрица совместимости ПК ALD Pro:- Контроллеры домена и подсистемы продукта необходимо устанавливать на ОС версий Astra Linux Special Edition 1.7 Update 6uu2 (№2024-1127SE17MD) или Astra Linux Special Edition 1.7 Update 7uu2 (№2025-0507SE17MD).
- Рабочие станции могут работать под управлением ОС в диапазонах версий Astra Linux Special Edition 1.7 Update 6 (№ 2024-0830SE17) — Astra Linux Special Edition 1.7 Update 7uu2 (№2025-0507SE17MD), Astra Linux Special Edition 1.8 Update 1uu1 (№2024-0905SE18MD) — Astra Linux Special Edition 1.8 Update 3 (№2025-0811SE18).
Возможная причина: Неподдерживаемая версия операционной системы. Перейти к решению.
Проверить в файле
/var/log/auth.logналичие сообщений вида:pam_unix(fly-dm:auth): authentication failure pam_sss(fly-dm:auth): authentication failureCODE
Возможная причина: Не синхронизировано время с контроллером домена. Перейти к решению.