MyTetra Share
Делитесь знаниями!
Как войти в домен ALD Astra Linux на рабочей станции, если вход не работает
Время создания: 19.01.2022 12:20
Автор: xintrea
Текстовые метки: astra, linux, вход, неудачен, не работает, перестал, работать, ALD, домен, пользователь
Раздел: Компьютер - Linux - Дистрибутив Astra Linux
Запись: xintrea/mytetra_syncro/master/base/1642584005n6h0otwrgj/text.html на raw.github.com

Иногда домен ALD с операционной системой Astra Linux 1.6 начинает тупить, и доменный пользователь не может залогиниться в домене со своей рабочей станции. В окне логина появляется сообщение "Вход неудачен".


Причины такого поведения, обычно, две: либо на рабочей станции не настроена синхронизация времени, и время сильно "съехало" относительно доменного сервера, либо перестал нормально работать сервис nslcd, отвечающий за работу с доменом.


Если причина в сервисе nslcd, когда после нескольких перезапусков рабочей станции пользователь так и не может зайти в домен, нужно данный сервис перезапустить (на рабочей станции, естественно). Если описанный ниже перезапуск вручную сработает, это может говорить о том, что сервис nslcd запускается раньше, чем успевает сконфигурироваться сетевой интерфейс компьютера. Для решения этой проблемы необходимо будет сделать настройки systemd-подсистемы.



Ручная перезагрузка сервиса nslcd


Если залогиниться доменным пользователем не получается, надо сделать следующее.



1. Залогиниться локальным администратором или рутом на рабочей станции. Логиниться необходимо в отдельной текстовой консоли, переключившись на нее через клавиши Ctrl+Alt+F1 из окна графического логина.


2. Перезапустить сервис командой:


systemctl restart nslcd


3. Выйти из текстовой консоли и переключиться на графический вход по клавишам Ctrl+Alt+F7.



После этих действий вход в домен ALD должен заработать.



Настройка systemd-подсистемы


Чтобы заставить сервис nslcd запускаться позднее, чем конфигурируется сетевая подсистема Astra Linux, необходимо создать файл /lib/systemd/system/nslcd.service (не путать с nscd.service - это другой сервис, его название отличается на одну букву). Если таковой файл уже есть в системе, его надо отредактировать.


Содержимое файла должно быть таким:



# systemd service file for nslcd


[Unit]

Description=Naming services LDAP client daemon.


[Service]

Type=forking

ExecStart=/usr/sbin/nslcd

ExecStartPre=/bin/sleep 5

PIDFile=/run/nslcd/nslcd.pid


[Install]

WantedBy=multi-user.target



Здесь значимым параметром является строка ExecStartPre. Команда sleep, прописанная в данной строке, заставляет задержать запуск сервиса на указанное количество секунд. Задержку надо подобрать экспериментально. На медленных системах вместо 5 секунд можно указать 10.


После внесения изменений в данный файл, компьютер надо перезагрузить, и вход в домен ALD должен начать работать.



Локальный сброс количества неудачных попыток входа в домен ALD


Если перезапуск сервера nslcd не дает результата, возможно что счетчик неудачных входов по какой-то причине превысил допустимое значение. Причем это превышение по неведомой причине может произойти даже если пользователь ранее не входил в систему, или пытался зайти один-два раза.



Одна из возможных причин такого поведения - это использование команды sudo в каких-либо скриптах, вызываемых из QtCreator (в Astra Linux часто ведется разработка на Qt), причем разрешения NOPASSWD для таких команд в /etc/sudoers не прописано. Пользователь не видит неудачных попыток запуска sudo, но при этом неудачные попытки выполнить команду от текущего пользователя под суперпользователем увеличивают счетчик неудачных попыток входа. И после этого обычный вход в систему перестает работать.



В графическом интерфейсе Astra Linux, внешне отличить недачный вход при проблемах с nslcd от входа с проблемой превышения количества неудачных попыток входа никак невозможно. Просто будет появляться сообщение "Вход неудачный" и все. Однако если переключиться на текстовый вход по кнопкам Ctrl+Alt+F1 и попытаться войти с данными пользователя, то можно будет увидеть подробности ошибки входа. Например, может появиться надпись:



Account locked due to 19 failed logins



Данное сообщение говорит о том, что превысилось количество попыток входа. Для решения этой проблемы может помочь следующий вариант действий.



1. Войти на рабочей станции в консоль под суперпользователем (root), нажав кнопки Ctrl+Alt+F1.


2. Выполнить команды:



# /sbin/pam_tally --user <пользователь> --reset

# /sbin/pam_tally2 --user <пользователь> --reset



3. Переключиться на графическое окно логина Ctrl+Alt+F7 и ввести логин-пароль доменного пользователя. Вход в домен должен сработать.


Так же в этом разделе:
 
MyTetra Share v.0.59
Яндекс индекс цитирования