Службе проверки подлинности не удается загрузить сведения аутентификации astra linux

Проблемы после переноса

Собственно, вот. Перенес корень с одного ЖД на другой так: скопировал на флешку с ехт2, скинул куда нужно, поправил fstab и grub. Система загрузилась и работает, но не полностью.

1. Отвалился вайфай, в ifconfig он по прежнему есть, но nm-applet не видит никаких точек доступа (в iwlist все есть).

2. Не работает su от пользователя:

В /var/log/messages при этом вот такое:

Похоже, что-то с PAM. Как можно поправить? Пока пробовал только пересобирать polkit, но не помогло.

Не помню, честно говоря. Но вроде бы про «-p» забыл.

Разрешения сломаны — emerge -e world в помощь

Когда то давно на ту же фигню напоролся, еще когда на убунте сидел. Только я копировал вообще посредством наутилуса 🙂 После таких манипуляций отваливается su, sudo и polkit. nm как я понимаю нужен polkit для просмотра списка доступных сетей. Точно уже и не вспомню, на каких файлах права сбились, но копай в эту сторону.

Я бы так сразу сделал, но, боюсь, мой древний ноут просто подохнет от перенапряжения.

толсто. достаточно перемержить то, что не работает, зачем весь мир то?

man chown chmod

достаточно перемержить то, что не работает, зачем весь мир то?

надо перемержить все пакеты с неправильными правами в /,/usr,/var ну и т.д.

Оу, это же все пакеты! 🙂

Вручную на тыщу пакетов? Да ты приколист

Не, если есть желание, можно из vdb портажа достать permissions и потом скриптом их поставить на все нужные файлы.

Набрали детей в модераторы, скатили сайт.

Зачем все то пакеты? «Работает — не трожь.» (с)

Потому что копировать надо было с -a. Корень сломан. Ссылки на хандбук и зеркала сам вспомнишь?

Пересобрал consolekit, все пакеты pam’а, dbus и еще что-то и все заработало нормально. Решено. Спасибо за советы, энивей.

Угу, поставить нужные права(разные) методом -R — жги еще, а я пока поржу.

Ну что ты, конечно не трожь. Лучше огребай проблемы постепенно, ага

То, что ты не знаешь, как работает система, или почему небо не падает, не является аргументом.

Единственная проблема, которую можно огрести — ограниченная несекурность.

У меня не сервер, а обычный домашний лэптоп, где самая ценная информация — смешные фотографии котиков. Так что данный критерий не очень актуален. Главное, что проблема решилась.

Проблема в том, что я ЗНАЮ как работает система. И я ЗНАЮ что твой метод — не подойдет.

Как минимум потому, что могли еще потеряться расширенные атрибуты(xattr), что критично, допустим, на hardened-системах.

Поэтому давай мы не будем делать предположения о том, кто что знает, а кто чего не знает, ок? Я свои аргументы привел, да и ТС проблему решил, а с его стороны — именно это имеет значение, а наш с тобой разговор — просто колоритный фон к уже решенной проблеме, не более.

Проблема в том, что я ЗНАЮ как работает система

Это тебе так кажется. Ты даже не подумал, что пересборка мира не восстановит права на значительную часть конфигов, кэшей и прочих системных файлов.

Как я уже сказал — давай мы не будем делать предположения об уровне знаний друг друга. Хотя бы потому, что предмет нашего обсуждения частично входит в перечень вопросов, который может быть задан претенденту на звание разработчика Gentoo и он достался мне.

Ты даже не подумал, что пересборка мира не восстановит права на значительную часть конфигов, кэшей

Представь себе я знал об этом. Конфиги не будут затронуты из-за CONFIG_PROTECT, кэши — из-за keepdir, ну и они созданы после установки.

Главное тут — восстановить насколько возможно права и xattr-ы на /, /usr, /var(тут удастся в меньшей степени) и прочие системные директории.

И пересборка мира — это самый простой ОФИЦИАЛЬНО рекомендуемый для конечного пользователя способ. Но, конечно, не единственный.

Источник

Домен/Решение проблем

Если что-то не работает, алгоритм следующий:

Содержание

Проверка сервера [ править ]

1.Проверяем правильность работы домена на сервере [ править ]

Проверяем на сервере домен и то, что он использует Kerberos:

Все параметры (кроме domain и master) должны быть OK , domain содержит правильное имя домена, master — значение #t .

Если проблемы с KDC, то следует выполнить следующий алгоритм действий:

1. В модуле «DHCP-сервер» настроить сервер для подсети.
2. Создать новый домен с другим именем (и с выставленным флажком «Обслуживать домен Kerberos»). При попытке использовать старое имя домена не создадутся нужные ветки в базе LDAP.

Проверка создания пользователя [ править ]

Для успешного создания пользователя домена необходимо запустить службу slapd . А если домен с Kerberos, то и krb5kdc . Полный пошаговый вывод программы создания пользователя:

Проверка клиента [ править ]

1. Проверяем доступные домены с сервера [ править ]

Служба avahi-daemon должна быть запущена на сервере и клиенте и там и там выдавать примерно следующее:

2. Проверяем схему аутентификации на клиенте [ править ]

Схема — krb5, выбран правильный домен. Примечание: на сервере используется схема ldap.

Если в модуле «Аутентификация» не показывается домен, то на клиенте нужно запустить службу avahi-daemon:

или добавить аутентификацию в домене вручную:

3. Смотрим доступность сервера по имени [ править ]

а) Если пишет ‘unknown host’, проверьте, прописан ли сервер как сервер DNS для этой машины. Рекомендуется сервер домена использовать как сервер DHCP и DNS для обслуживаемой подсети.

б) Если ping не идёт, проверьте сетевые подключения клиента и сервера и маршрутизацию сети.

4. Проверьте время на клиенте и сервере командой [ править ]

Оно не должно сильно отличаться. Kerberos очень чувствителен к разнице во времени.

5. Проверьте, виден ли клиент в LDAP [ править ]

6. Проверьте, видим ли пользователь через NSS на клиентской машине [ править ]

Если ничего не выдано, проверяйте имя домена и работу службы LDAP (slapd) на сервере.

7. Проверяем получение тикета Kerberos [ править ]

В первой команде нужно указать имя пользователя и его пароль. Команда klist должна показать полученный тикет.

Если по каким-то причинам запись в LDAP есть, а в Kerberos отсутствует (например, создавали домен без поддержки Kerberos), нужно явно завести в Kerberos:

Для работы служб должны быть получены и тикеты вида . Более подробно про диагностику и работу Kerberos можно почитать в разделе Домен/Kerberos. Обратите внимание на пункт «Нюансы работы».

8. Пробуем зайти под доменным пользователем [ править ]

В DM или консоли пробуем зайти доменным пользователем. В случае успеха аутентификация в домене работает. Если что-то не работает, то смотрите 12-ую консоль ( Ctrl+Alt+F12 ).

Разное [ править ]

Требования к именам пользователей [ править ]

При создании пользователя, содержащего в имени буквы в верхнем регистре, POP3 и IMAP-доступ к его почтовому ящику не будет работать. Рекомендуется создавать имена пользователей, состоящие из латинских букв в нижнем регистре, цифр, символов «_» и «-». Исправлено в ldap-user-tools с версии 0.8.2-alt2

Сообщения об ошибках входа: вероятные причины [ править ]

«Сбой при проверке подлинности» [ править ]

Чаще всего, недоступность контроллера домена по сети. Отсутствие физического соединения (отошёл кабель, нет питания, . ) или ошибка при получении параметров сети. Слишком позднее получение параметров сети (проблема DHCP). Характерный признак — отсутствие ответа на ping контроллера домена. В качестве временной меры в ряде случаев помогает перезагрузка рабочей станции. Общее устранение проблемы связано с обеспечением устойчивой работы сети.

«Службе проверки подлинности не удаётся загрузить сведения аутентификации» [ править ]

Предположительно, остановка или недоступность службы KDC. Проверить состояние службы krb5kdc на контроллере домена.

В случае состояния stopped причина обнаружена. Попробовать перезапустить KDC

Если krb5kdc не запускается, пытаться устранить причину или (если возможно) восстановить работоспособное состояние сервера домена из резервной копии.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

• реализации и совершенствования функциональных возможностей;
• поддержки современного оборудования;
• обеспечения соответствия актуальным требованиям безопасности информации;
• повышения удобства использования, управления компонентами и другие.

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

1. инструкций и методических указаний по настройке и особенностям эксплуатации ОС, содержащих сведения о компенсирующих мерах или ограничениях по примене- нию ОС при эксплуатации;
2. отдельных программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, инструкций по их установке и настройке, а также информации, содержащей сведения о контрольных суммах всех файлов оперативного обновления;
3. обновлений безопасности, представляющих собой файл с совокупностью программных компонентов из состава ОС, в которые внесены изменения с целью устранения уязвимостей, а также информации, содержащей сведения о контрольных суммах всех файлов обновлений безопасности, указания по установке, настройке и особенностям эксплуатации ОС с установленными обновлениями безопасности.

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

Службе проверки подлинности не удается загрузить сведения аутентификации astra linux

При выходе из домена желательно очистить директорию, содержащую сертификаты старого домена. Для этого достаточно выполнить команду:

Это необходимо для того, чтобы при входе в новый домен, корневой сертификат старого домена не помешал установке нового.

Для Astra Linux Смоленск и РЕД ОС

Использование домена и клиента с разными ОС

Доменная и клиентская машины не обязательно должны иметь одинаковую операционную систему для корректной аутентификации по смарт-картам. Но тем не менее, если версии SSSD – разные, как у Astra Linux (SSSD 16.1.3) и РЕД ОС (SSSD 2.0.0), то на доменной машине должна быть установлена ОС с более новой версией SSSD.

В обратную же сторону настройка домена возможна.

Настройка сервера. Создание домена FreeIPA и пользователя

Для демонстрации настройки было использовано два стенда. Первый был использован в качестве сервера FreeIPA. Он был настроен с помощью следующей последовательности команд:

После настройки программы установки сервера FreeIPA отобразится ссылка на веб-интерфейс для управления доменом. Вам потребуется создать нового пользователя, для которого и будет настраиваться доступ по Рутокену.

Для этого перейдите на вкладку «Идентификация» → «Пользователи» → «Активные пользователи» и добавьте нового пользователя. В нашем случае был создан пользователь «user».

Настройка клиента. Подключение к домену

Для пользователей Astra Linux

Если в качестве клиента выступает Astra Linux Smolensk, то на нем должно быть установлено пятое обновление безопасности.

После добавления нового пользователя, переходим к настройке клиента. Настройка была осуществлена с помощью следующих команд:

После подключения настройщик должен написать, что обнаружен настроенный клиент в домене astradomain.ad.

Попробуем подключиться к созданному пользователю user:

Если после ввода пароля вам удалось аутентифицироваться как пользователь user, значит настройка прошла успешно.

Настройка аутентификации по Рутокену для клиента

Создание заявки на сертификат

Для упрощения настройки можно воспользоваться графической утилитой по работе с Рутокенами в линукс. Скачаем ее:

После того, как настройщик был загружен, его можно запустить двойным щелчком по названию файла token-assistent.run. Если программа открылась вместе с терминалом, то для запуска необходимо создать ярлык, с помощью установщика token-assistent.installer. После запуска установщика появится ярлык token-assistent.desktop, который нужно использовать для запуска программы.

При первом запуске программа может запросить пароль администратора для получения обновлений. Загрузка обновлений может занять несколько минут.

После загрузки обновлений, программа предложит выбрать токен, который мы хотим использовать для локальной аутентификации. Если нужный Рутокен не появился в списке, то можно нажать на кнопку для обновления списка устройств:

Далее вводим PIN-код Рутокена:

На Рутокене отсутствует ключевая пара и сертификат выданный УЦ для аутентификации:

Генерация ключевой пары

Откроем список объектов на Рутокене:

В первую очередь, сгенерируем ключ. Для этого в окне просмотра объектов выберем опцию для генерации ключевой пары:

В окне выбора алгоритма ключа необходимо указать «RSA-2048»

Метку ключа можно оставить пустой:

Создание заявки на сертификат

После генерации ключевой пары, необходимо создать для неё заявку на сертификат. В списке объектов выберем закрытый ключ из ключевой пары, для которой хотим создать заявку на сертификат:

В открывшемся окне выберем опцию для создания заявки на сертификат:

Введём данные сертификата. В графе Общее имя необходимо указать имя пользователя, для которого мы создаем сертификат для аутентфиикации:

Далее нас попросят выбрать, создать ли самоподписанный сертификат или создать заявку на сертификат Выбираем «Нет»:

Укажем путь, куда сохраним заявку на сертификат:

Данную заявку в дальнейшем следует отправить в ваш УЦ, для выдачи сертификата.

Созданную заявку копируем и отправляем на сервер. Распечатать ее можно с помощью команды:

Создание сертификата

Переходим к серверу, который получил нашу заявку.

Чтобы создать сертификат по данной заявке для данного пользователя, перейдем на вкладку «Идентификация» → «Пользователи» → «Активные пользователи» и выберем нашего пользователя.

На новой вкладке выбираем «Действия»→»Новый сертификат». В открывшееся окно вставляем нашу заявку.

В поле Идентификатор пользователя необходимо указать caIPAserviceCert

Выданный сертификат можно получить на этой же вкладке, переместившись чуть ниже до пункта с сертификатами.

Нажмем «Загрузить» и отправим сертификат пользователю.

Также пользователю потребуется корневой сертификат УЦ, его можно получить на вкладке «Аутентификация»→»Сертификаты».

Выбираем самый первый сертификат и переходим на вкладку «Действия»→ «Загрузить».

После этого полученный сертификат пользователя и УЦ отправляем клиенту.

Импорт сертификата на Рутокен

Повторно запускаем программу по работе с Рутокенами. Выбираем необходимый токен, вводим PIN-код. Открываем просмотр объектов. В окне просмотра объектов выберем закрытый ключ, для которого выдан сертификат:

В открывшемся окне выберем опцию импорта сертификата ключа

Укажем путь до сертификата:

При желании можно задать метку сертификата:

Финальная настройка на стороне клиента

Теперь, когда на Рутокене присутствует ключевая пара и сертификат клиента? можно приступить к финальной настройке. Для этого откроем в меню команд Рутокена выберем пункт Настройки аутентификации в домене FreeIPA.

Нам необходимо получить права суперпользователя, для проведения настройки. Поэтому вводит пароль суперпользователя:

В открывшемся окне укажем путь до корневого сертификата УЦ:

Настройка завершена. Проверим, что все установлено правильно. Для этого попробуем зайти под пользователем user.

Лампочка на Рутокене замигает и отобразится окно для ввода PIN-кода.

Если все прошло успешно, то можно попробовать осуществить аналогичную аутентификацию через greeter.

Источник