Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 и исп. 2
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.5)
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition Орел 2.12
Основные способы ввода ПК в домен AD
Графический инструмент fly-admin-ad-client (ввод в домен с использованием winbind): Быстрый ввод Astra Linux SE 1.6 в AD Windows
Инструмент командной строки astra-ad-sssd-client (ввод в домен с использованием SSSD): Подключение Astra Linux к домену Microsoft Windows с помощью astra-ad-sssd-client
Основные ошибки при вводе клиента в домен AD
Ошибка «Failed to join domain: failed to lookup DC info for domain 'win.ad' over rpc: The attempted logon is invalid. This is either due to a bad username or authentication information.»
Данная ошибка указывает на неправильное имя администратора домена или пароль. Причины возникновения:
- Указаный пользователь не имеет необходимых прав;
- В файле /etc/resolv.conf указаны неверные данные, либо данные отсутствуют;
- Неправильно указаны данные (например, после смостоятельного внесения изменений) в файле /etc/nsswitch.conf.
Решение:
- Использовать правильный логин или пароль, а также проверить вход от имени администратора домена;
- При настройке сети указать правильные данные сервера (серверов) DNS и правильный поисковый домен;
- Вернуть файл /etc/nsswitch.conf к исходному состоянию.
Ошибка: «Failed to join domain: Invalid configuration ("workgroup" set to 'ASTRA', should be 'WIN') and configuration modification was not requested»
Ошибка возникает из-за неправильно указанной рабочей группы (NetBIOS).
Решение:указать правильную рабочую группу (NetBIOS).
Ошибка: «Failed to join domain: Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)»
Ошибка возникает, если данное имя компьютера уже было добавлено в домен AD (например на другом ПК).
Решение:
- Изменить имя ПК в файле /etc/hosts и в файле /etc/hostname;
- Перезагрузить ПК;
- повторить ввод в домен AD.
Проблема с авторизацией после ввода в домен
В первую очередь необходимо проверить синхронизацию времени с контроллером домена AD, для этого выполнить команду:
Конфликтующие модули в pam-стеке (winbind и sssd)
Конфликт модулей в pam-стеке возникает из-за одновременного использования пакетов winbind и sssd.
Решение: использовать только пакеты "winbind" или только "sssd". Для удаления ненужного пакета выполнить команду:
Исправление параметров в файле /etc/krb5.conf при использовании winbind
Добавить в файл /etc/krb5.conf в секцию [realms] следующие параметры:
auth_to_local = RULE:[1:$1@$0](^.*@WINDOMAIN.AD$)s/@WINDOMAIN.AD/@windomain.ad/ auth_to_local = DEFAULT
Вместо "@WINDOMAIN.AD" и "@windomain.ad" указать свой домен.
Если после изменения файла /etc/krb5.conf возникает ошибка входа, необходимо проверить правильность написания параметров.
Ошибка "Проблема установки" при использовании sssd
При попытке ввести компьютер в домен AD с использованием sssd может возникнуть ошибка «проблема установки». Данная ошибка может возникать, если раннее ПК был введен в домен AD с использованием winbind. Для устранения этой ошибки необходимо следующие команды:
sudo astra-ad-sssd-client -U -y
Ошибка: «Your account has been locked. Please contact your System administrator»
Если при авторизации за доменного пользователя происходит ошибка: «Your account has been locked. Please contact your System administrator», то необходимо разблокировать доменного пользователя на контроллере домена AD.
Ошибка «Не могу войти в домашний каталог. Временный каталог будет использован»
Если ПК вводились в домен разными способами (winbind или sssd), то необходимо проверить настройку PAM-стека.
Временно перенести папку .fly у проблемного пользователя.
На Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) необходимо установить обновление БЮЛЛЕТЕНЬ № 20210611SE16 (оперативное обновление 7), где исправлена данная ошибка.
ПК вводится в домен, но не создаются и не обновляются DNS записи при использовании sssd
Причина: для динамического обновления записей DNS необходима утилита nsupdate, которая содержится в пакете dnsutils, не устанавливаемом по умолчанию.
Решение: установить пакет dnsutils:
Перезапустить sssd: