Здравствуйте! Чаще всего syslog-ng настраивают на чтение файла логов локального приложения, если приложение пишет свои логи в обход стандартных сокетов. Возможны и другие пути, но их описание не уместится в одном абзаце. Сейчас идет работа над второй статьей, в ней как раз над этим кейсом тоже подумаем.
Здравствуйте! Сожалеем, что вы столкнулись с трудностями при использовании нашей ОС. При покупке лицензии у каждого клиента появляется доступ к технической поддержке, которая готова помочь в случае затруднений. Отметим, что функция Win+L работает в штатном режиме на всех актуальных версиях системы.
Да, рассматривали. Наша задача была не только в том, чтобы сделать интерактивную визуализацию в веб, но и интегрировать графики во Flask-приложение. Вот здесь, например, расписано, как вложить Dash во Flask — мы посчитали, что вложить HoloViews во Flask будет проще.
Техподдержка и база знаний доступны для обладателей любого вида лицензии. Также у нас есть открытый и бесплатный справочный центр, большая часть информации по нашим продуктам там представлена: https://wiki.astralinux.ru/
Здравствуйте. По нажатию этой кнопки будет доступен список сертифицированных партнеров, у которых можно приобрести лицензию. Бесплатная версия Astra Linux тоже есть, но сейчас она лишена лицензирования и обновлений.
В первую очередь проверьте, что в домене у пользователей появился PAC-сертификат.
Изучить содержимое PAC сертификата можно с помощью утилиты /usr/bin/net из пакета samba-common-bin. Данная утилита позволяет выполнить Kerberos-аутентификацию, получить TGS-билет на указанный сервис и выполнить расшифровку его PAC-сертификата с помощью пароля из keytab файла этого сервиса. Запускать утилиту нужно с привилегиями супер-пользователя.
Например, следующая команда выполняет Kerberos аутентификацию пользователем test2, получает для него сервисный билет для аутентификации на компьютере host/dc-1.un.test и выполняет расшифровку PAC-сертификата, используя пароль, который находится в keytab файле /etc/krb5.keytab
Параметр «-s /dev/null» позволяет запустить утилиту «net», не используя настройки из smb.conf, что необходимо, если в домене установлены доверительные отношения с MS Active Directory. Но в этом случае нужно обязательно задать параметр realm.
Параметр «dedicated keytab file» позволяет указать путь к keytab-файлу. Если в «local_service» использовать учетную запись хоста, то в параметре «kerberos method» можно указать просто «system keytab», и параметр «dedicated keytab file» будет не нужен, путь к файлу будет определяться автоматически.
Вообще, это достаточно сложный open source, поэтому нюансов действительно много. Не все их можно объять в одной статье, чтобы не превратить ее в библию Linux-администратора :) Именно поэтому у нас есть инженеры технической поддержки, которые позволяют диагностировать проблемы. И продуктовые команды, которые подключаются, если для решения проблемы требуются изменения в программном коде. Если будут возникать какие-то проблемы, советуем вам обратиться в нашу официальную поддержку.
Здравствуйте! Да, adtrust должен быть установлен, именно этот модуль обеспечивает создание идентификаторов в стиле Windows, которые необходимы для формирования PAC сертификата. Что касается элиаса, то в статье говорится о необходимости добавления алиаса и даже приводится пример команды:
Операционная система Windows тоже поддерживает указанный протокол. Только есть одно маленькое недоразумение, из-за которого ничего не работает: компьютер использует имя принципала в другом формате, поэтому без добавления псевдонима «desktop-7vkreuo$» к учетной записи компьютера хост сможет выполнять только проверку аутентичности пользователей. У него не получится самому пройти аутентификацию в домене, и в журналах будут появляться сообщения об ошибке «CLIENT_NOT_FOUN
На контроллерах домена FreeIPA есть компонент Samba для совместимости с MS AD, поэтому общую папку SYSVOL создать довольно просто. Но вот объекты групповых политик MS AD включают не только шаблоны групповых политик (GPT), но и контейнеры групповых политик (GPC), которые хранятся в LDAP-каталоге. А есть еще назначения объектов на структурные подразделения (GP Links) и ряд других особенностей. Поэтому проще будет собрать агента групповых политик ALD Pro под Windows и написать универсальный параметр групповых политик Salt для установки необходимых ключей реестра.
Здравствуйте! Хотели бы объяснить, почему получился такой объемный гайд. На проведение исследований для подготовки статьи ушло 8 недель, на разработку и отладку утилиты 4 недели, на написание самого текста 2 дня. Если мы говорим про "быстро и легко" — это применимо к выполнению настроек на стороне Windows-компьютеров. Тут в среднем потребуется 2-3 минуты на хост. Мы специально написали утилиту aldpro-join, чтобы "23" не приходилось писать слитно )
Мы рады, что результаты наших исследований оказались вам полезны. В части двухфакторной аутентификации уже реализована интеграция с продуктом Aladdin eCA, которая позволит вам использовать Kerberos аутентификацию с использованием JaCarta токенов.
Добрый день! Искренне благодарим за материал и за то, что подсветили сложности с доступом к нашей техподдержке. Если озвученные вопросы для вас все еще актуальны, просьба связаться с нами через телеграмм-чат, ссылку на который можно также найти в правом нижнем углу главной страницы нашего официального сайта.
Оператор зарегистрирует ваш запрос, а эксперты «Группы Астра» свяжутся с вами напрямую и смогут помочь. Мы за то, чтобы любые инциденты, особенно в медицинских учреждениях, решались быстро и эффективно. От всей души желаем вам успехов!
Перейдите в корень личного кабинета по ссылке https://lk-new.astralinux.ru. После авторизации вы должны попасть в личный кабинет, где доступны описанные скрипты. Дополнительно отправили вам в личные сообщения архив со скриптами, о которых идет речь.
Благодарим вас за интерес к нашей статье. Скрипты, о которых рассказано в данной статье, уже доступны в личном кабинете https://lk-new.astralinux.ru/iso-images-list, и вы можете найти их в разделе "ISO образы > aldpro > x86_64 > 2.0 > 2.2.1 > Скрипты_дополнительных_параметров_групповых_политик".
На момент выхода публикации архив находился на модерации, чтобы пройти полноценную проверку для применения конечным пользователем.
Вы правы, для обновления сотен тысяч рабочих мест может потребоваться несколько месяцев, поэтому мы в этом году сделаем возможным эксплуатацию старых версий клиентов с новыми версиями серверного программного обеспечения на максимально возможном уровне функциональности. Эта потребность учтена дорожной картой развития продукта.
В предстоящем году продуктовая команда будет фокусироваться на повышении надежности работы разработанных ранее функций, упрощении эксплуатации системы в продуктивных средах и облегчении миграции, включая развитие гибридных сценариев.
В ближайшее время мы опубликуем статью, объясняющую, как правильно присоединить Windows машину к домену FreeIPA, чтобы получить максимальную функциональность от такой интеграции.
Здравствуйте! Обо всех обнаруженных неточностях и ошибках можно сообщить в проекте для обратной связи https://gitflic.ru/project/gitflic/gitflic/issue?status=OPEN, либо по почте support@gitflic.ru
Будем рады вашей помощи!
Здравствуйте! Чаще всего syslog-ng настраивают на чтение файла логов локального приложения, если приложение пишет свои логи в обход стандартных сокетов. Возможны и другие пути, но их описание не уместится в одном абзаце.
Сейчас идет работа над второй статьей, в ней как раз над этим кейсом тоже подумаем.
Здравствуйте! Сожалеем, что вы столкнулись с трудностями при использовании нашей ОС. При покупке лицензии у каждого клиента появляется доступ к технической поддержке, которая готова помочь в случае затруднений. Отметим, что функция Win+L работает в штатном режиме на всех актуальных версиях системы.
В предыдущем сообщении прикрепили неверную ссылку, вот нужная: https://hackersandslackers.com/plotly-dash-with-flask/
Да, рассматривали. Наша задача была не только в том, чтобы сделать интерактивную визуализацию в веб, но и интегрировать графики во Flask-приложение. Вот здесь, например, расписано, как вложить Dash во Flask — мы посчитали, что вложить HoloViews во Flask будет проще.
Техподдержка и база знаний доступны для обладателей любого вида лицензии. Также у нас есть открытый и бесплатный справочный центр, большая часть информации по нашим продуктам там представлена: https://wiki.astralinux.ru/
Здравствуйте. По нажатию этой кнопки будет доступен список сертифицированных партнеров, у которых можно приобрести лицензию. Бесплатная версия Astra Linux тоже есть, но сейчас она лишена лицензирования и обновлений.
Спасибо за ещё один предложенный вариант!
Спасибо, что заметили)
Исправили
В первую очередь проверьте, что в домене у пользователей появился PAC-сертификат.
Изучить содержимое PAC сертификата можно с помощью утилиты /usr/bin/net из пакета samba-common-bin. Данная утилита позволяет выполнить Kerberos-аутентификацию, получить TGS-билет на указанный сервис и выполнить расшифровку его PAC-сертификата с помощью пароля из keytab файла этого сервиса. Запускать утилиту нужно с привилегиями супер-пользователя.
Например, следующая команда выполняет Kerberos аутентификацию пользователем test2, получает для него сервисный билет для аутентификации на компьютере host/dc-1.un.test и выполняет расшифровку PAC-сертификата, используя пароль, который находится в keytab файле /etc/krb5.keytab
sudo net ads kerberos pac dump -U test2 local_service=host/dc-1.un.test@UN.TEST --option='kerberos method = dedicated keytab' --option='dedicated keytab file = FILE:/etc/krb5.keytab' -s /dev/null --option='realm = UN.TEST'Параметр «-s /dev/null» позволяет запустить утилиту «net», не используя настройки из smb.conf, что необходимо, если в домене установлены доверительные отношения с MS Active Directory. Но в этом случае нужно обязательно задать параметр realm.
Параметр «dedicated keytab file» позволяет указать путь к keytab-файлу. Если в «local_service» использовать учетную запись хоста, то в параметре «kerberos method» можно указать просто «system keytab», и параметр «dedicated keytab file» будет не нужен, путь к файлу будет определяться автоматически.
Вообще, это достаточно сложный open source, поэтому нюансов действительно много. Не все их можно объять в одной статье, чтобы не превратить ее в библию Linux-администратора :)
Именно поэтому у нас есть инженеры технической поддержки, которые позволяют диагностировать проблемы. И продуктовые команды, которые подключаются, если для решения проблемы требуются изменения в программном коде. Если будут возникать какие-то проблемы, советуем вам обратиться в нашу официальную поддержку.
Здравствуйте!
Да, adtrust должен быть установлен, именно этот модуль обеспечивает создание идентификаторов в стиле Windows, которые необходимы для формирования PAC сертификата.
Что касается элиаса, то в статье говорится о необходимости добавления алиаса и даже приводится пример команды:
На контроллерах домена FreeIPA есть компонент Samba для совместимости с MS AD, поэтому общую папку SYSVOL создать довольно просто. Но вот объекты групповых политик MS AD включают не только шаблоны групповых политик (GPT), но и контейнеры групповых политик (GPC), которые хранятся в LDAP-каталоге. А есть еще назначения объектов на структурные подразделения (GP Links) и ряд других особенностей. Поэтому проще будет собрать агента групповых политик ALD Pro под Windows и написать универсальный параметр групповых политик Salt для установки необходимых ключей реестра.
Здравствуйте! Хотели бы объяснить, почему получился такой объемный гайд. На проведение исследований для подготовки статьи ушло 8 недель, на разработку и отладку утилиты 4 недели, на написание самого текста 2 дня. Если мы говорим про "быстро и легко" — это применимо к выполнению настроек на стороне Windows-компьютеров. Тут в среднем потребуется 2-3 минуты на хост. Мы специально написали утилиту aldpro-join, чтобы "23" не приходилось писать слитно )
Мы рады, что результаты наших исследований оказались вам полезны. В части двухфакторной аутентификации уже реализована интеграция с продуктом Aladdin eCA, которая позволит вам использовать Kerberos аутентификацию с использованием JaCarta токенов.
Здравствуйте! Чтобы скачать архив, необходимо выполнить регистрацию. Функция выгрузки архива работает для авторизованных пользователей GitFlic.
Добрый день! Искренне благодарим за материал и за то, что подсветили сложности с доступом к нашей техподдержке. Если озвученные вопросы для вас все еще актуальны, просьба связаться с нами через телеграмм-чат, ссылку на который можно также найти в правом нижнем углу главной страницы нашего официального сайта.
Ссылка на сайт: https://astragroup.ru/
Ссылка: на чат: https://t.me/+79160396333
Оператор зарегистрирует ваш запрос, а эксперты «Группы Астра» свяжутся с вами напрямую и смогут помочь. Мы за то, чтобы любые инциденты, особенно в медицинских учреждениях, решались быстро и эффективно. От всей души желаем вам успехов!
Перейдите в корень личного кабинета по ссылке https://lk-new.astralinux.ru. После авторизации вы должны попасть в личный кабинет, где доступны описанные скрипты. Дополнительно отправили вам в личные сообщения архив со скриптами, о которых идет речь.
Здравствуйте!
Благодарим вас за интерес к нашей статье. Скрипты, о которых рассказано в данной статье, уже доступны в личном кабинете https://lk-new.astralinux.ru/iso-images-list, и вы можете найти их в разделе "ISO образы > aldpro > x86_64 > 2.0 > 2.2.1 > Скрипты_дополнительных_параметров_групповых_политик".
На момент выхода публикации архив находился на модерации, чтобы пройти полноценную проверку для применения конечным пользователем.
Здравствуйте!
Вы правы, для обновления сотен тысяч рабочих мест может потребоваться несколько месяцев, поэтому мы в этом году сделаем возможным эксплуатацию старых версий клиентов с новыми версиями серверного программного обеспечения на максимально возможном уровне функциональности. Эта потребность учтена дорожной картой развития продукта.
В предстоящем году продуктовая команда будет фокусироваться на повышении надежности работы разработанных ранее функций, упрощении эксплуатации системы в продуктивных средах и облегчении миграции, включая развитие гибридных сценариев.
В ближайшее время мы опубликуем статью, объясняющую, как правильно присоединить Windows машину к домену FreeIPA, чтобы получить максимальную функциональность от такой интеграции.
Можно отправить людей на обучение в любой образовательный центр Астры - их много по стране. Со временем всему научатся!