Иногда домен ALD с операционной системой Astra Linux 1.6 начинает тупить, и доменный пользователь не может залогиниться в домене со своей рабочей станции. В окне логина появляется сообщение "Вход неудачен".

Причины такого поведения, обычно, две: либо на рабочей станции не настроена синхронизация времени, и время сильно "съехало" относительно доменного сервера, либо перестал нормально работать сервис nslcd, отвечающий за работу с доменом.

Если причина в сервисе nslcd, когда после нескольких перезапусков рабочей станции пользователь так и не может зайти в домен, нужно данный сервис перезапустить (на рабочей станции, естественно). Если описанный ниже перезапуск вручную сработает, это может говорить о том, что сервис nslcd запускается раньше, чем успевает сконфигурироваться сетевой интерфейс компьютера. Для решения этой проблемы необходимо будет сделать настройки systemd-подсистемы.

Ручная перезагрузка сервиса nslcd

Если залогиниться доменным пользователем не получается, надо сделать следующее.

1. Залогиниться локальным администратором или рутом на рабочей станции. Логиниться необходимо в отдельной текстовой консоли, переключившись на нее через клавиши Ctrl+Alt+F1 из окна графического логина.

2. Перезапустить сервис командой:

systemctl restart nslcd

3. Выйти из текстовой консоли и переключиться на графический вход по клавишам Ctrl+Alt+F7.

После этих действий вход в домен ALD должен заработать.

Настройка systemd-подсистемы

Чтобы заставить сервис nslcd запускаться позднее, чем конфигурируется сетевая подсистема Astra Linux, необходимо создать файл /lib/systemd/system/nslcd.service (не путать с nscd.service - это другой сервис, его название отличается на одну букву). Если таковой файл уже есть в системе, его надо отредактировать.

Содержимое файла должно быть таким:

# systemd service file for nslcd

[Unit]

Description=Naming services LDAP client daemon.

[Service]

Type=forking

ExecStart=/usr/sbin/nslcd

ExecStartPre=/bin/sleep 5

PIDFile=/run/nslcd/nslcd.pid

[Install]

WantedBy=multi-user.target

Здесь значимым параметром является строка ExecStartPre. Команда sleep, прописанная в данной строке, заставляет задержать запуск сервиса на указанное количество секунд. Задержку надо подобрать экспериментально. На медленных системах вместо 5 секунд можно указать 10.

После внесения изменений в данный файл, компьютер надо перезагрузить, и вход в домен ALD должен начать работать.

Локальный сброс количества неудачных попыток входа в домен ALD

Если перезапуск сервера nslcd не дает результата, возможно что счетчик неудачных входов по какой-то причине превысил допустимое значение. Причем это превышение по неведомой причине может произойти даже если пользователь ранее не входил в систему, или пытался зайти всего один-два раза.

Одна из возможных причин такого поведения - это использование команды sudo в каких-либо скриптах, вызываемых из QtCreator (в Astra Linux часто ведется разработка на Qt), причем разрешения NOPASSWD для таких команд в /etc/sudoers не прописано. Пользователь не видит неудачных попыток запуска sudo, но при этом неудачные попытки выполнить команду от текущего пользователя под суперпользователем увеличивают счетчик неудачных попыток входа. И после этого обычный вход в систему перестает работать.

В графическом интерфейсе Astra Linux, внешне отличить недачный вход при проблемах с nslcd от входа с проблемой превышения количества неудачных попыток входа никак невозможно. Просто будет появляться сообщение "Вход неудачный" и все. Однако если переключиться на текстовый вход по кнопкам Ctrl+Alt+F1 и попытаться войти с данными пользователя, то можно будет увидеть подробности ошибки входа. Например, может появиться надпись:

Account locked due to 19 failed logins

Данное сообщение говорит о том, что превысилось количество попыток входа. Для решения этой проблемы может помочь следующий вариант действий.

1. Войти на рабочей станции в консоль под суперпользователем (root), нажав кнопки Ctrl+Alt+F1.

2. Выполнить команды:

# /sbin/pam_tally --user <пользователь> --reset

# /sbin/pam_tally2 --user <пользователь> --reset

3. Переключиться на графическое окно логина Ctrl+Alt+F7 и ввести логин-пароль доменного пользователя. Вход в домен должен сработать.