Службе проверки подлинности не удается загрузить сведения аутентификации astra linux

Ошибка «Службе проверки подлинности не удаётся загрузить сведения аутентификации» в Astra Linux обычно связана с проблемами в работе PAM (Pluggable Authentication Modules), SSSD (System Security Services Daemon) или Kerberos. Ниже — пошаговая диагностика и способы решения.

1. Проверьте статус ключевых служб

systemctl status sssd
systemctl status krb5-kdc # если используется Kerberos
systemctl status nscd # кэш имён

Если служба не запущена — запустите:

sudo systemctl start sssd
sudo systemctl enable sssd # для автозапуска

2. Проверьте конфигурацию SSSD

Откройте файл /etc/sssd/sssd.conf:

[domain/default]
id_provider = ldap # или ad, local
auth_provider = ldap # или krb5
ldap_uri = ldap://server.example.com
ldap_search_base = dc=example,dc=com
krb5_realm = EXAMPLE.COM

Что проверить:

• Корректность ldap_uri и ldap_search_base.
• Наличие секции [domain/...] для вашего домена.
• Правильность krb5_realm (если используется Kerberos).

После изменений перезапустите SSSD:

sudo systemctl restart sssd

3. Проверьте Kerberos (если применяется)

1. Получите билет Kerberos:kinit username@EXAMPLE.COM
   
2. Проверьте билет:klist
   
3. Если ошибка — проверьте /etc/krb5.conf на корректность:[libdefaults]
   default_realm = EXAMPLE.COM
   [realms]
   EXAMPLE.COM = {
   kdc = kdc.example.com
   admin_server = kdc.example.com
   }
   

4. Проверьте PAM‑конфигурацию

Убедитесь, что в /etc/pam.d/system-auth или /etc/pam.d/common-auth есть строки:

auth required pam_sss.so
account required pam_sss.so
password required pam_sss.so
session required pam_sss.so

Важно: Не удаляйте и не изменяйте другие строки без необходимости!

5. Проверьте сетевые настройки и DNS

• Убедитесь, что сервер аутентификации доступен:ping server.example.com
  nslookup server.example.com
  
• Проверьте /etc/resolv.conf — должны быть корректные DNS‑серверы.
• Убедитесь, что порты LDAP/Kerberos открыты (обычно 389/636 для LDAP, 88 для Kerberos).

6. Проверьте логи

Основные файлы логов:

• /var/log/sssd/* — логи SSSD.
• /var/log/auth.log — логи аутентификации.
• /var/log/krb5kdc.log — логи Kerberos (если используется).

Пример анализа:

sudo tail -f /var/log/sssd/sssd_default.log

Ищите строки с ERROR, FAILED, timeout.

7. Проверьте права доступа к файлам конфигурации

Убедитесь, что файлы имеют корректные права:

ls -l /etc/sssd/sssd.conf
ls -l /etc/krb5.conf

Рекомендуемые права:

• sssd.conf — 600 (-rw-------).
• krb5.conf — 644 (-rw-r--r--).

Исправьте при необходимости:

sudo chmod 600 /etc/sssd/sssd.conf
sudo chmod 644 /etc/krb5.conf

8. Перезапустите службы и проверьте вход

После всех исправлений:

sudo systemctl restart sssd
sudo systemctl restart nscd

Попробуйте авторизоваться снова.

9. Дополнительные проверки

• SELinux/AppArmor. Если включены, проверьте, не блокируют ли они доступ:sudo aureport -a # для SELinux
  sudo aa-status # для AppArmor
  
• Время. Синхронизируйте время с сервером аутентификации:sudo ntpdate server.example.com
  

Если проблема не решена

1. Сброс конфигурации SSSD:sudo rm -rf /var/lib/sss/db/*
   sudo systemctl restart sssd
   (это удалит кэш — пользователи могут временно не авторизоваться).
2. Проверка подключения к домену (если используется Active Directory):net ads testjoin
   net ads info
   
3. Полная переустановка SSSD (в крайнем случае):sudo apt remove --purge sssd
   sudo apt install sssd
   

Примечание: Если система входит в домен Active Directory, убедитесь, что учётная запись компьютера корректно зарегистрирована в AD.