Авторские статьи

ALD Pro. Проверка паролей по словарю часто используемых паролей 2024-12-17 10:24:25
Статья от разработчиков почему-то названа так словно в ALD Pro реализовано хранение последних N хешей паролей каждого пользователя, чтобы не дать повторно использовать один и тот же пароль в цикле его смены в вашей компании. Речь идёт всего лишь о стоп-словах, которые нельзя давать пользователю употреблять в пароле.   >>>

ALD Pro. Пользователь не может войти в графическую сессию 2024-12-12 12:20:10
Немного нужно, чтобы сломать надёжную Astra Linux. Пару ударов током сбоев электропитания и не поможет даже журналируемая файловая система ext4, а копии важнейших конфигурационных файлов при их изменении, как вы уже поняли, не делаются. Поэтому каждому пользователю Астры по ИБП!   >>>

ALD Pro. Изменение идентификатора группы lpadmin 2024-12-11 10:49:44
Этот вопрос с GID у группы lpadmin, дающей доступ к печати, является фундаментальной ошибкой в проектировании ALD Pro. Ситуация когда на клиентском ПК GID у lpadmin может отличаться, а вы на стороне серверов ALD Pro ожидаете увидеть единое число GID lpadmin абсолютно у всех ПК - это серьёзнейшая ошибка или не желание разработчиков грамотно решать данный вопрос. И даже в статье предложенный вариант от разработчиков как выкрутиться из этой ситуации порождает другой вопрос - а почему при вводе клиентской Астры в домен ALD Pro этого не делается автоматически?   >>>

Отключение создания файлов блокировки LibreOffice 2024-12-04 16:00:33
Мы используем Astra Linux и иногда встречается очень редкий и опасный баг, когда LibreOffice при открытии файла документа с сетевой шары с доступом на запись просто обнуляет документ. Хоть это и ошибка прежде всего офисного пакета LibreOffice, но это лишь объясняет, но не извиняет астровцев. Astra Linux - это символ безопасности и надёжности, а проблема в Астре никак не решена. Есть всего лишь документация, как и что отключить.   >>>

ALD Pro. Ошибка службы salt-master в журнале мониторинга. 2024-12-03 09:52:06
Начиная с версии ALD Pro 2.4.0, для управления хостами используется только автономная служба Salt Minion, которой не требуется Salt Master на сервере, поэтому на контроллерах домена дополнительные ресурсы для работы системы конфигурирования выделять не требуется.   >>>

Переустановка GlobalCatalog ALD Pro. 2024-10-22 10:40:56
С версии ALD Pro 2.1.0 разработчики реализовали глобальный каталог (GC) и модуль синхронизации данных между доменами Microsoft Active Directory (MS AD) и ALD Pro. Если на беду у вас проблемы с глобальным каталогом, вы, возможно, решитесь его переустановить после тщательного тестирования.   >>>

Установка оперативных обновлений Astra Linux в домене ALD Pro. 2024-10-22 16:21:29
В официальной вики нашёл рекомендацию, как через SaltStack, используя механизм групповых политик или задания автоматизации, обновлять клиентские Astra Linux в домене ALD Pro. Но мой опыт подсказывает что не всё предусмотрено, поэтому укажу и свою наработку по данному вопросу.   >>>

Автоматизация добавления своих сертификатов в Linux системах. 2024-10-08 13:29:50
Приходится добавлять свои сертификаты в браузеры для проверки трафика такими системами как Data Leak Prevention (DLP), Unified threat management (UTM), Next-Generation Firewall (NGFW) и т.д. Учитывая количество учётных записей на вашем предприятии и срок действия сертификатов, лучше данный процесс автоматизировать через вашу систему оркестровки/развёртывания.   >>>

Не удаётся настроить доверительные отношения с Microsoft Active Directory 2024-10-02 10:15:11
Если вам не удаётся настроить доверительные отношения с MS AD, то попробуйте предложенные варианты.   >>>

Наличие диапазона идентификаторов для домена с тем же именем 2024-10-02 10:13:56
В домене важную роль играют Relative IDentifier (RID), представляющие собой уникальные 32-разрядные числа для идентификации таких объектов как пользователи и группы. RID - это последняя часть Security IDentifier (SID), например, для SID S-1-5-21-123-456-789-1010, последний сегмент это RID.   >>>

Включена валидация записей DNS 2024-10-02 10:16:00
В документации к ALD Pro в разделе "Отключение DNSSEC и настройка глобального перенаправления" есть важные строки: "Служба bind9 по умолчанию использует механизм DNSSEC для проверки ответов, но его лучше отключить, т. к. технология всё ещё не получила широкого распространения, и ошибки в настройках зон DNS могут приводить к невозможности разрешения имён."   >>>

Некорректное разрешение SRV-записей для доменов ALD Pro или MS AD 2024-10-02 10:16:27
Записи типа SRV в DNS определяют имя хоста и номер порта для определённых служб. Без правильного преобразования (resolve) будут проблемы, особенно если речь идёт о совместной работе доменов Microsoft Active Directory и ALD Pro.   >>>

Произвольное NetBIOS имя домена ALD Pro при создании доверительных отношений с MS AD 2024-10-02 10:17:29
В документации FreeIPA и в разделе, посвящённого созданию доверительных отношений с Microsoft Active Directory, есть отдельное упоминание про имена NetBIOS. Пространство имён NetBIOS является плоским (flat), а значит не должно быть конфликтов между всеми именами. Это автоматически означает что NetBIOS имена IPA и MS AD доменов должны быть различны! И это также означает, что NetBIOS имена контроллеров IPA и AD должны быть различны. Если при проектировании у вас произошло совпадение в пространстве имён NetBIOS, то, мне вас искренне жаль возможно, поможет статья.   >>>

Обновление PostgreSQL 12 до 14 при переходе с Ubuntu 20.04 на 22.04 LTS 2024-08-31 10:57:46
Обновляя сервера с Ubuntu LTS с релиза на релиз, нужно так же провести процедуру обновления кластера баз данных PostgreSQL. На просторах Интернета есть множество статей, вот собрал для себя чек-лист, который периодически актуализирую и проверяю. Конкретная последовательность действий, которая помогает мне обновлять PostgreSQL с релиза на релиз без потери информации.   >>>

Не запускается служба ipa.service после обновления ОС на контроллере домена ALD Pro 2024-08-22 14:54:35
Часто при обновлении с релиза на релиз, что-то отваливается в ALD Pro, как у взлетающего звездолёта из Района №9. Если у вас используется глобальный каталог (GC) в ALD Pro, внедрённый с релиза 2.1.0, для совместной работы с Microsoft Active Directory, то вам, возможно, понадобится данный совет при проблемах.   >>>

Astra Linux 1.8. 2024-10-19 12:08:01
Новый релиз Астры основан на Debian GNU/Linux 12 с возможностью установить ядро 6.6. Репозиторий Astra Linux 1.8 занимает 34 Гб с 24321 пакетами.   >>>

Страничка злого юмора про ALD Pro. Часть 1. 2024-07-29 14:30:33
Невозможно иногда не смеяться, когда копаешься во внутренностях до сих пор сырой ALD Pro. Мне, как админу, психологически бывает тяжело от осознания, что я должен поддерживать и обеспечивать бесперебойную работу этой альфа версии патченной и перекрашенной русскими разработчиками американской системы FreeIPA от Red Hat. Только юмор и смех помогают философски относиться к ситуации, когда не успеваешь создавать тикеты на каждую нажатую кнопку, приводящую к проблеме.   >>>

ALD Pro. Зависает или не запускается служба smbd 2024-07-19 16:53:53
При проблеме со службой smbd может помочь отключение NetBIOS.   >>>

Вопросы пользователей про ALD Pro. Часть 1. 2024-07-12 10:18:25
Вы спрашиваете на просторах сети Интернет, я проверяю и отвечаю!   >>>

Скрипт создания зон обратного просмотра in-addr.arpa в ALD Pro. 2024-07-05 15:31:03
Администратор, работающий с DNS, знает про зоны прямого (FQDN→IP) и обратного (IP→FQDN) просмотров. При первоначальном развёртывании ALD Pro, отталкиваясь от IP адреса вашего первого контроллера домена (допустим 192.168.10.22) вам подготовят зону прямого просмотра (допустим company.com) и зону обратного просмотра 10.168.192.in-addr.arpa, так как это зона самого контроллера домена. На этом всё! Но в крупных конторах обычно множество подсетей и настоятельно желательно создать для них тоже зоны обратного просмотра.   >>>