Astra linux не входит в систему как пользователь домена
Обновлено: 21.11.2024
Операционная система класса Linux обеспечивает защиту данных, содержащих сведения, составляющие государственную тайну, с грифом секретности до «совершенно секретно» включительно.
Специальные программные компоненты разрабатываются и включаются в состав операционной системы с целью увеличения функциональности системы, повышения уровня ее безопасности и работоспособности.
Обязательный контроль доступа
Операционная система имеет обязательное приложение контроля доступа. В таком случае принятие решения о запрете доступа или разрешении от субъекта к объекту основывается на типе операции (чтение/запись/выполнение), обязательном контексте безопасности, связанном с каждым субъектом, и обязательной галочке, связанной с объектом.
Изоляция модулей
Ядро операционной системы предоставляет индивидуальное изолированное адресное пространство для каждого системного процесса.
Очистка ОЗУ и внешней памяти, гарантированное удаление файлов
Операционная система выполняет очистку непригодных для использования блоков файловой системы непосредственно при их удалении.
Данная подсистема снижает скорость выполнения операций по удалению и отсечению размера файла, но в то же время можно настроить данную подсистему так, чтобы файловые системы работали с различными показателями производительности.
Маркировка документа
Сервер печати (CUPS) вставляет необходимые учетные данные в распечатываемые документы, используя разработанную процедуру маркировки. Обязательные атрибуты автоматически связываются с назначением распечатки на основе обязательного контекста полученного сетевого соединения.
Журнал событий
Разработана оригинальная подсистема логирования. Он интегрирован во все компоненты операционной системы и обеспечивает надежную запись событий с использованием специального сервиса.
Процедуры защиты информации в графической подсистеме
Графическая подсистема включает X-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных инструментов, предназначенных как для пользователей, так и для системных администраторов. Были предприняты определенные усилия по разработке и внедрению в графическую подсистему необходимых средств защиты информации, обеспечивающих обязательный контроль доступа в графических приложениях.
Разработанный рабочий стол пользователя Fly тесно интегрирован с процедурами защиты информации. В нем реализованы следующие возможности:
графическое отображение обязательной отметки для каждого окна;
возможность запускать приложения с разными обязательными отметками.
Ограничение действий пользователей в режиме "КИОСК".
Уровень этих ограничений определяется маской киоска, которая влияет на права доступа к файлу при каждой попытке пользователя получить доступ.
Присутствует система шаблонов для назначения прав доступа – файлы с заданными правами доступа используются для запуска любых программ. Существуют специальные дизайнерские инструменты для разработки шаблонов под любые задачи пользователя.
Защита адресного пространства процессов
Операционная система использует специальный формат для исполняемых файлов. Позволяет установить режим доступа к сегментам в адресном пространстве процесса.
Централизованная система компиляции программного обеспечения обеспечивает установку облегченного режима, необходимого для работы программного обеспечения. Также имеется возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.
Контроль закрытия программной среды
Есть некоторые меры по проверке загрузки исполняемых файлов на неизменность и идентичность в формате ELF cialis online. Проверка выполняется на основе векторов подлинности, рассчитанных в соответствии со стандартом ГОСТ34.10-2001 и встроенных в исполняемые файлы в процессе компиляции.
Возможно предоставить сторонним разработчикам программного обеспечения инструменты реализации векторов подлинности.
Контроль непрерывности
Служба хеширования применяется в соответствии со стандартом ГОСТ 34.11-94 для контроля целостности. Базовой утилитой для контроля целостности является программа с открытым исходным кодом «Другая проверка целостности файлов».
Инструменты настройки домена
сквозная сетевая аутентификация
централизованное хранение данных пользовательской среды;
централизованное хранение на сервере данных о настройках подсистемы защиты информации;
централизованное управление серверами DNS и DHCP;
интеграция в домен защищенных серверов, таких как серверы СУБД, серверы печати, почтовые и веб-серверы и т. д.;
централизованная проверка событий безопасности в рамках домена.
Защищенная реляционная СУБД
В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционные и обязательные процедуры контроля доступа к защищенным ресурсам БД.
Основой обязательного контроля доступа является разделение доступа к защищенным ресурсам БД с точки зрения иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с разделением доступа пользователей к защищаемым ресурсам БД и контролем информационных потоков.
Защищенный программный комплекс обработки гипертекстовых данных
В состав защищенного программного комплекса обработки гипертекстовых данных входят браузер Mozilla Firefox и веб-сервер Apache, интегрированные со встроенными средствами защиты информации для обязательного контроля доступа пользователей при настройке удаленного доступа к информационным ресурсам.
Защищенный программный пакет электронной почты
В состав защищенного программного комплекса входит сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также почтовый клиент Mozilla Thunderbird, обеспечивающий следующие функциональные возможности:
- Интеграция с ядром операционной системы и базовыми библиотеками для обеспечения обязательного контроля доступа к сообщениям электронной почты, хранящимся в формате Maildir;
- автоматическая маркировка пользовательских сообщений с использованием текущего обязательного контекста.
Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:
Я несколько часов пытался войти в виртуальную машину Red Hat 7 с учетной записью пользователя Windows 2012r2 Active Directory.
Действия были выполнены точно так, как описано в этом руководстве. Я вижу, что моя машина успешно присоединилась к домену. Он указан в разделе «Пользователи и компьютеры Active Directory». Но что бы я ни делал, я не могу войти в систему с учетной записью пользователя, которую я создал в Active Directory. Я убедился, что часы синхронизированы. Я убедился, что DNS настроен правильно.
Если я введу "dnsdomainname", он правильно вернет мой домен.
Всякий раз, когда я пытаюсь войти в систему, он просто возвращает "Вход неверный".
Я даже не знаю, какую дополнительную информацию предоставить для этого поста.
Мне удалось это сделать с виртуальной машиной Redhat 6 и контроллером домена Windows той же версии.
Любая помощь, которую может оказать кто угодно, будет огромной. Спасибо!
Ответы
Здесь есть множество возможностей. Несколько вопросов:
- Это работало в системе, которая недавно перестала работать?
- Если это работало раньше, есть ли какие-либо сведения о том, что изменилось с тех пор, как это сработало?
- Есть ли вероятность того, что срок действия пароля в Active Directory для учетной записи истек?
- Есть ли вероятность того, что учетная запись заблокирована в Active Directory?
- Вы случайно не используете сервер IDM, и если да, используйте статус ipactl, чтобы проверить, не работает ли Kerberos?
- Можете ли вы (да/нет) войти на рассматриваемый сервер, который не поддерживает сотрудничество, но при этом можете войти в другую систему (системную или нет?)
- Кто-нибудь еще (или локальная учетная запись) может войти на рассматриваемый сервер и просмотреть журналы?
- Иногда действительно помогает запустить в системе (от имени root) следующее: /sbin/pam_tally2 --reset, а затем faillock --reset, и вы можете ограничить это конкретным пользователем, если не хотите сбрасывать все сбои. .
- Я настоятельно рекомендую проверить наличие хвоста -f /var/log/ при попытке войти в систему, чтобы посмотреть, что происходит в журналах.
- Есть ли шанс, что сама система не присоединена к домену? - Некоторые администраторы, которых я знаю, обнаружили, что отказ от присоединения, а затем повторное присоединение к проблемной системе помогает, это раздражает, но это правда. Да, это не должно происходить так, но, по нашему опыту, иногда это происходит (может быть, сначала отправьте запрос, если хотите).
- Если вы находитесь в среде, где синхронизируются пароли (возможно, два разных домена), правильные ли пароли вы ожидаете?
- Могут ли другие пользователи входить в эту систему?
- Могут ли другие пользователи вообще входить в другие системы (системно или нет)?
- Какую версию RHEL 6 вы используете?
- Какая версия Windows Server (для контроллеров домена Active Directory) работает?
- Вы сделали отчет о проблеме и отправили запрос в Red Hat?
- Очистили ли вы кэш SSSD в системе RHEL 6 Linux?
С уважением,
RJ
(не сотрудник Red Hat)
Я внес некоторые изменения для ясности. Пожалуйста, обновите эту страницу, чтобы увидеть обновления к последнему сообщению, спасибо.
- Это работало в системе, которая недавно перестала работать?
- Нет, это новая установка виртуальной машины RHEL и контроллера домена. Я намерен использовать эту виртуальную машину в качестве сервера TACACS+, который будет аутентифицироваться с помощью Active Directory. Это тестовая среда.
- См. выше. Новая установка.
- Я обязательно сменил пароль и убедился, что учетная запись не заблокирована. Я также вошел в DC с учетной записью пользователя, которую я тестирую.
- См. выше. Убедился, что он не заблокирован.
- Определенно не использовать сервер IDM. ipactl не установлен на машине.
- Я могу войти на свой компьютер RHEL с локальными учетными записями пользователей. Я также могу войти в DC с учетной записью AD, которую я использую для тестирования. Не удается войти на компьютер RHEL с учетной записью AD.
- См. выше. Я могу войти на любую машину с локальными учетными записями. Какие журналы вы хотите, чтобы я посмотрел?
- Просто выполнил эти команды от имени пользователя root, затем вышел из системы и попытался снова войти в систему с моей учетной записью AD, но все равно не удалось.
- слежение за файлом /var/log/messages ничего не выявило. Но хвост /var/log/secure показывает следующие сообщения:
- логин: pam_sss(логин:аутентификация): успешная аутентификация; logname=ВХОД uid=0 euid=0 tty=tty2 ruser= rhost= user=jbrown
- логин: pam_ldap(логин:аккаунт): ошибка при открытии соединения с nslcd: нет такого файла или каталога
- логин: служба аутентификации не может получить информацию для аутентификации
- crond[18427]: pam_ldap(crond:session): ошибка при открытии соединения с nslcd: нет такого файла или каталога
- "realm join -v MYDOMAIN.COM" возвращает сообщение: "область: уже присоединена к этому домену"
- "adcli testjoin" возвращает "Успешно подтверждено присоединение к домену mydomain.com"
- В этой среде используется только один контроллер домена.
- Нет, это новая установка виртуальной машины RHEL и контроллера домена. Я создал только одну учетную запись пользователя AD для тестирования.
- См. выше. Тестовая среда. Создана только одна учетная запись пользователя AD.
- Это на виртуальной машине RHEL 7.7. Раньше я выполнял это с виртуальной машиной RHEL 6.8, но с другим экземпляром тестового контроллера домена.
- Я использую контроллер домена Windows 2012r2.
- Нет. Решил сначала попробовать сообщество.
- Только что попробовал. Без изменений.
Я думаю, что сообщения в файле журнала /var/log/secure имеют большое значение. Далее я буду искать сообщение об ошибке, связанное с nslcd.
Я ценю вашу помощь.
Я думаю, вы правы в отношении важности ошибок, которые вы нашли в /var/log/secure.
Извините за то, что я пропустил. Думаю, вы правы относительно того, что нашли в /var/log/secure.
- Проверьте также журналы в /var/log/sssd. SSSD создает файл журнала для каждого домена, а также файлы sssd_pam.log и sssd_nss.log.
- Просто для справки: изучите информацию об устранении неполадок sssd в документации
- Еще одно руководство по устранению неполадок находится здесь, и изучите раздел "Устранение неполадок с информацией о пользователе" по этому адресу.
- Это решение немного WAG, но мне любопытно, может ли оно помочь или не помочь вместе с этим решением.
- В качестве теста войдите в систему с локальной учетной записью и станьте пользователем root и посмотрите, сможете ли вы (из root) стать пользователем с помощью su - jbrown или посмотрите, какие ошибки появляются на экране или в журналах.< /li>
- Вы также можете включить отладку в файле /etc/sssd/sssd.conf (будьте осторожны, обязательно отключите отладку, потому что это, скорее всего, заполнит /var/log или любую другую точку монтирования /var).
- Чтобы включить постоянную отладку при перезапуске службы SSSD, введите директиву debug_level=N, где N обычно означает число от 1 до 10, в конкретный раздел. Обычно мы использовали debug_level=9.
- Вы можете подробнее изучить вывод неудачного ssh, используя команду strace ssh jbrown@yourservername . Возможно, сначала запустите script -a /tmp/sshoutput.txt, а затем выполните команду выхода или Ctrl-D, чтобы завершить запись вывода.
Я думаю, что открытие дела с помощью sosreport, вероятно, будет более эффективным. Отчет sos даст Red Hat много полезного.
Желаю вам успехов.
У меня была забавная проблема. У меня нет никакого контроля над политикой моего домена. Я подключил свою тестовую виртуальную машину RHEL 8.4 к удаленному контроллеру домена (пытаясь создать демонстрацию того, почему это плохая идея), используя свою учетную запись «пользователь». Я смог присоединиться к домену, но не смог войти в систему. Я проверил, и добавление хоста WINDOWS к удаленному домену сработало нормально, и я смог войти в систему как тот же пользователь, который выполнял оба присоединения к домену. У меня были настроены две вещи, которые могли это сделать:
Был включен режим FIPS, который мог заблокировать аутентификацию по паролю. Я получал всевозможные странные сообщения об "системной ошибке".
Провайдер доступа был "рекламным", и я получил отказ от предварительной аутентификации PAM при попытке войти по ssh от имени пользователя домена.
Отключение режима FIPS и изменение моей строки "access_provider=" на "access_provider = simple" позволило мне войти без проблем через ssh и консоль. Слава богу, мне не пришлось копаться в настройках VPN/брандмауэра, потому что в моей организации это огромная дыра.
Хорошо, что вы решили свои проблемы, хотя у нас нет полной информации, почему вам пришлось отключить FIPS.
В жестких условиях, где я работаю, FIPS полностью включен в системах RHEL 8.4 и 8.5. Аутентификация AD работает без проблем через AD провайдера в SSSD. Мы также используем PAM ACL для управления группами AD и пользователями, подключающимися с удаленных серверов.
Я предполагаю, что файлы PAM, особенно /etc/pam.d/system-auth и /etc/pam.d/password-auth может быть корнем ваших проблем.
Дусан Бальевич (любительское радио VK2COT)
Я не совсем уверен, что мне это нужно. Это было лишь одним из отличий между этим тестовым хостом и хостом RHEL 8.4, который я подключил к своей локальной виртуальной машине AD DC. (Да, это все с VirtualBox, что делает вещи более увлекательными.) Повторное включение режима FIPS ничего не сломало.
Это означает, что мне помогло использование "access_provider = simple". Я не знаю, какие политики установлены в домене, который я не могу контролировать, и домен «из коробки» не проявлял этой проблемы, даже с «объявлением» в качестве поставщика доступа.
Мои pam-файлы по умолчанию являются прямыми OOTB, если только добавление проверки подлинности рекламы не изменит их каким-либо образом. Но даже тогда они совпадают с подключением к моему домену "песочницы".
Итак, я думаю, мне нужно выяснить, каково поведение поставщика доступа AD ПО УМОЛЧАНИЮ. Когда у меня будет на это время. Я просто рад, что могу войти в систему и приступить к настоящему тестированию.
Выполняли ли вы какую-либо из этих проверок:
Возможно, сравните результаты с сервером, на котором работает аутентификация AD, а также убедитесь, что уровень отладки SSSD повышен для регистрации большего количества событий.
Эта документация поможет вам устранить проблемы, с которыми пользователи могут столкнуться при запуске Samba в качестве члена леса Active Directory (AD) или домена NT4.
Настройка уровня журнала Samba
Команде net не удается подключиться к IP-адресу 127.0.0.1
Используя настройки по умолчанию, команда net подключается к IP-адресу 127.0.0.1. Если Samba не прослушивает петлевой интерфейс, соединение не устанавливается. Например:
Чтобы решить эту проблему, настройте Samba для дополнительного прослушивания интерфейса обратной связи. Дополнительные сведения см. в разделе Настройка Samba для привязки к определенным интерфейсам.
В качестве альтернативы, чтобы временно обойти проблему, передайте параметр -I IP_address или -S host_name команде net.
getent не находит пользователей и группы домена
Вы используете getent passwd или getent group? Использование этих команд без winbind enum users = yes и windbind enum groups = yes в smb.conf не отобразит никаких пользователей и групп домена. Добавление строк имеет недостаток: оно замедляет работу, и чем больше у вас пользователей и групп, тем медленнее может работать работа, поэтому вам следует добавлять эти строки только в целях тестирования.
Если getent passwd demo01 ничего не возвращает, попробуйтеесли это работает, а первое нет, вам может потребоваться добавить следующую строку в файл smb.conf
Устранение неполадок в процедуре присоединения к домену
Домен DNS не настроен. Не удается выполнить обновление DNS.
При присоединении хоста к Active Directory (AD) команде net не удается обновить DNS:
Обратите внимание, что присоединение прошло успешно, и произошла ошибка только при обновлении DNS.
После присоединения клиента к домену команда net ищет полное доменное имя (FQDN) с помощью библиотек переключателя службы имен (NSS). Если полное доменное имя не может быть разрешено, например, с помощью DNS или файла /etc/hosts, обновление DNS завершается ошибкой.
Чтобы решить проблему:
- Добавьте IP-адрес и полное доменное имя в файл /etc/hosts. Например:
- Повторно запустите команду присоединения к сетевой рекламе.
Если динамические обновления DNS по-прежнему не работают, проверьте на DNS-сервере AD, что динамические обновления работают.
Не удалось обновить DNS: ERROR_DNS_UPDATE_FAILED
При присоединении хоста к Active Directory (AD) сети не удается обновить DNS:
Обратите внимание, что присоединение прошло успешно, и произошла ошибка только при обновлении DNS.
Чтобы решить проблему:
- Проверьте на контроллере домена Samba (DC), работают ли динамические обновления DNS. Дополнительные сведения см. в разделе Тестирование динамических обновлений DNS.
- Повторно запустите команду присоединения к сетевой рекламе.
Не удалось обновить DNS: ERROR_DNS_GSS_ERROR
При использовании серверной части BIND9_DLZ динамические обновления DNS могут завершиться ошибкой из-за неправильной настройки Kerberos на контроллере домена AD (DC), на котором запущен DNS-сервер:
При присоединении хоста к AD команда net завершается со следующей ошибкой:
Kerberos требует синхронизированного времени для предотвращения повторных атак. Местное время не должно отличаться от ДЦ более чем на 5 минут.
Чтобы устранить проблему, установите правильное время и снова запустите команду присоединения к сетевой рекламе.
Не удалось присоединиться к домену: не удалось найти контроллер домена для домена SAMDOM — неопределенная ошибка
При присоединении хоста к Active Directory (AD) команде net не удается найти контроллер домена (DC):
Samba использует DNS-запросы и широковещательные рассылки для обнаружения контроллеров домена при присоединении к домену. Если оба метода не работают, отображается ошибка Не удалось найти контроллер домена для домена SAMDOM - Неопределенная ошибка.
В качестве краткосрочного решения вы можете передать команде параметр "-S" и имя контроллера домена. Например:
Однако в AD важна правильная конфигурация DNS.Чтобы избежать будущих проблем, связанных с неправильной конфигурацией DNS, правильно настройте конфигурацию преобразователя DNS. Дополнительные сведения см. в разделе Конфигурация DNS для Linux и Unix.
Winbind и проблемы с аутентификацией
Утилита getent не может вывести список всех пользователей или групп домена
Если утилита getent может вывести список отдельных пользователей или групп домена, но команда getent passwd или getent group не может вывести список всех пользователей или групп домена:
- Убедитесь, что коммутатор службы имен (NSS) может использовать библиотеку libnss_winbind. Дополнительные сведения см. в разделе Ссылки на libnss_winbind.
- Включите следующие параметры в файле smb.conf:
- Перезагрузить Samba:
Сбой подключения к члену домена Samba после добавления оператора включенного в файл /etc/krb5.conf
При подключении к члену домена Samba Active Directory (AD) происходит сбой подключения и регистрируется следующая ошибка, если для параметра уровня журнала в разделе [global] файла smb.conf установлено значение 3 или выше:
Сбой подключения, так как Samba не может обработать включенные операторы в файле /etc/krb5.conf.
Обратите внимание, что обновление пакетов Kerberos в вашей операционной системе может автоматически добавить этот оператор, чтобы разрешить включение фрагментов конфигурации. Например, при обновлении члена домена Samba AD с помощью немодифицированного файла /etc/krb5.conf с Red Hat Enterprise Linux 7.2 на 7.3 автоматически добавляется оператор includeir, и клиенты не могут подключиться к члену домена Samba.
Чтобы обойти эту проблему, удалите оператор includeir из файла /etc/krb5.conf.
Только что выпущен выпуск дистрибутива Linux «Astra Linux Common Edition 2.12.29», который построен на основе пакета Debian 9 «Stretch» и поставляется с вашим собственным рабочим столом Fly с использованием библиотеки Qt. .Как многие из вас знают, у Astra Linux есть разные версии, некоторые из которых используются в российских государственных органах, но для общего использования предлагается версия «Astra Linux Common Edition», которая включает в себя собственные решения от разработчиков РусБИТех и бесплатные программные компоненты, позволяющие расширить возможности вашего приложения в качестве серверной платформы или на рабочих станциях пользователей.
Дистрибутив распространяется по лицензионному соглашению, которое накладывает ряд ограничений на пользователей, в частности, запрещено коммерческое использование, декомпиляция и дизассемблирование продукта.
Оглавление
Что нового в Astra Linux Common Edition 2.12.29
Анонс новой версии Astra Linux Common Edition 2.12.29 освещает несколько важных изменений, среди которых поддержка приложения fly-admin-ltsp для создания инфраструктуры для работы с тонкими клиентами на базе LTSP-сервера (создание сервера и создавать клиентские образы).
Кроме того, было добавлено несколько приложений:
- fly-admin-repo для создания пользовательских репозиториев с пакетами deb
- fly-admin-sssd-client для входа в домен Active Directory с помощью системной службы sssd, которая позволяет получить доступ к механизмам удаленной авторизации
- fly-admin-touchpad для настройки тачпада на ноутбуках
- Внедрена новая служба двухфакторной аутентификации на основе libpam-csp и csp-monitor
- Экспериментальная поддержка новой темы для диспетчера входа (fly-qdm).
- В fly-xkbmap добавлена возможность настройки более двух раскладок клавиатуры.
Еще одним изменением в этой новой версии является новый набор утилит Astra OEM Installer для простой OEM-установки операционной системы посредством настройки системы с первого запуска (настройка имени и пароля администратора, часового пояса и переустановка необходимых компоненты).
Инструменты развертывания и компоновки обновлены для группировки приложений на панели задач, добавлена возможность закрыть группу окон.
В файловом менеджере добавлена возможность отображения размеров файлов в байтах, оптимизирована работа с большим количеством файлов в каталоге, добавлена возможность работы с шаблонами документов из контекстного меню, быстро реализован переход на внешние ресурсы (ftp, smb) через адресную строку. Внесены улучшения в работу с ресурсами малого и среднего бизнеса, включая настройку размера свободного места для ресурсов малого и среднего бизнеса.
В утилите смены ориентации экрана переработано приложение для включения устройства, добавлена поддержка нескольких дисплеев, добавлена калибровка сенсора, реализован выбор ориентации по умолчанию.
В интерфейс обновления системы (fly-update-notifier) добавлена возможность отложить напоминание об обновлении.
Чтобы узнать больше об этом, вы можете проверить изменения по следующей ссылке.
Скачать и получить
Для тех, кто заинтересован в возможности узнать и протестировать этот дистрибутив, я должен упомянуть, что на данный момент ISO-образы этой новой версии еще не доступны для скачивания, но репозиторий с двоичными файлами и пакетами является исходным кодом. предлагаются.
Или для тех, кто хочет подождать или загрузить доступную версию, они могут сделать это по следующей ссылке
Напоследок могу отметить, что установщик дистрибутива очень похож на установщик Debian, т.к. некоторые вещи меняются, так как он просит вас настроить некоторые дополнительные параметры безопасности и облегчить установку, сразу после переустановки системы на ваш компьютер вы можете изменить язык установщика. Спустившись вниз с помощью клавиш навигации или, если опция не представлена, просто нажмите клавишу «F1», и с этого момента вы сможете выполнить установку и протестировать дистрибутив более удобным способом. .
Содержание статьи соответствует нашим принципам редакционной этики. Чтобы сообщить об ошибке, нажмите здесь!.
Читайте также: