Ucs su личный кабинет вход: United Card Services — Новости

Эквайринг | Банк «Русь»

Стало много желающих оплатить покупку банковской картой? Прекрасно! Сделайте сервис для своих Клиентов выгодным, простым и удобным.

Банк «Русь» всё расставит на свои места. Торговые терминалы в частности.

Эквайринг

Эквайринг – это организация приема банковских карт в оплату товаров (работ, услуг) в торгово-сервисных предприятиях.

В рамках партнерской программы с крупнейшей специализированной компанией ЗАО «Компания объединенных кредитных карточек» (UCS) клиенты Банка «Русь» могут воспользоваться услугой организации торгового эквайринга на выгодных условиях.

Преимущества эквайринга:

  • Легкость в работе – работать с картами намного проще и удобней, чем с наличными денежными средствами.
  • Повышение конкурентоспособности Вашего предприятия, увеличение его оборотов за счет привлечения новых Клиентов-держателей банковских карт.
  • Увеличение объемов продаж —  психологически гораздо легче произвести расчет по банковской карте, чем расстаться с наличными деньгами.
  • Привлечение новых Клиентов со стабильными и, как правило, достаточно высокими доходами.
  • Снижение рисков по операциям, связанными с наличными денежными средствами.
  • Снижение затрат на обслуживание оборота наличных денежных средств – хранение, инкассацию и перерасчет наличности.

Выгодное сопровождение и обслуживание:

  • Бесплатное подключение услуг эквайринга компанией UCS. Тарифы на дальнейшее обслуживание определяются индивидуально для каждого Клиента Банка.
  • Установка и обслуживание оборудования для приема в оплату банковских карт, в том числе установка кассовых решений.
  • Бесплатное обучение кассиров и менеджеров правилам оформления сделок с банковскими картами в учебном центре.
  • Бесперебойное и быстрое зачисление денежных средств на расчетный счет предприятия.
  • Круглосуточная (24/7) клиентская поддержка в авторизационном центре.
  • Персональный куратор-экономист для оперативного решения.
  • Мониторинг операций для минимизации финансовых потерь.
  • Предоставление информации о платежах в личном кабинете на www.ucs.su.

Виды предлагаемого эквайринга:

  • Торговый эквайринг – услуга, позволяющая предприятиям торговли и сервиса принимать в оплату товаров (работ, услуг) банковские карты через торговые терминалы.
  • Интернет-эквайринг – прием платежей от Клиентов и оформление сделок по банковским картам на сайте предприятия.
  • Виртуальный эквайринг – предоставление возможности совершать сделки по картам, используя только свой персональный компьютер с доступом в сеть Интернет без использования специального оборудования и программного обеспечения.

Как организовать проект эквайринга?

  • Заполнить анкету.
    Анкету можно получить по адресу:
    г. Оренбург:  ул. Кобозева, д. 1, Отдел продаж корпоративных продуктов, тел. (3532) 44-47-45,
    ул. 8 Марта,35, Отдел пластиковых карт, тел. (3532) 44-47-00 доб. (1321, 1322).
  • Передать заполненную анкету в указанные выше отделы можно через любой офис Банка «Русь», систему «Клиент-Банк» или по факсу (3532) 44-57-27 (доб. 1092) или отправить по электронной почте на [email protected].

Обзор кассы Эвотор 5i

Аппарат отличается эргономичной формой и компактными размерами. Его вес составляет 393 грамма, благодаря чему его можно разместить в кармане куртки или другой одежде. Cмарт терминал с эквайрингом способен функционировать без подзарядки около 12 часов. Автономность прибора позволяет брать его с собой на выезд. Представленный платежный инструмент доступен для оплаты услуг перевозчиков и служб курьерской доставки.

Эвотор 5i с эквайрингом соответствует 54-Ф3 и работает с разными операторами фискальных данных, при этом передает всю необходимую информацию в ФНС. Он принимает любые платежи через смартфон, наличными и по карте. Выбирая для оплаты последний вариант, пользователю даже нет необходимости иметь пинпад, потому как смарт-терминал оснащен модулем эквайринга. Представленная онлайн-касса станет идеальным решением для тех, кто ценит компактность и мобильность.

Универсальный платежный инструмент

Раньше для получения оплаты за товар предприниматели использовали банковскую карту, проводили операцию посредством пинпада, а чек выбивали на кассе. С появлением Эвотора 5i необходимость в пинпаде исчезла. Теперь для проведения платежей требуется только касса. Все остальные функции встроены в универсальный аппарат. Торговать с ним стало удобнее, при этом прилавок освободится от лишних устройств.

Продажи с подключенным и отключенным интернетом


Чтобы подключить функцию Ethernet, потребуется использовать специальный переходник. Аппарат может работать по WiFi и 3G. При этом он продолжит функционировать даже при перебоях интернета.

Скоростной эквайринг

Для подключения оплаты через карты вам не придется тратить время на посещение отделения банка. С вашей стороны достаточно зайти в личный кабинет, загрузить сканы ксерокопий документов и активизировать функцию эквайринга. Для этого понадобится лицензия на торговлю, доверенность, реквизиты.

Работа с маркировкой товаров и ЕГАИС

Мобильная онлайн-касса подойдет даже для продажи алкогольных и табачных изделий. Чтобы торговать легально, на терминале необходимо активировать программу «УТМ» и установить бандл модулей «Маркировка табака».

Резервный банк в качестве страховки

При сбоях в основном банке всегда можно использовать резервный. Просто подключите одновременно несколько банков-эквайеров. При возникновении проблем вы сможете переключаться между банками легким нажатием на кнопку. Онлайн-касса работает с эквайерами ВТБ, Русский Стандарт и Почта.Банк. Одна из лучших среди аналогов

Перед тем, как приступить к созданию Эвотора, разработчики проходили стажировку в компаниях европейских партнеров PCI и EMVCo. Они позаимствовали технологии производства платежных инструментов и успешно внедрили их в собственный продукт.

Вопросы и ответы

Какими эквайерами поддерживается Эвотор 5i?

Аппарат работает на фазе платформы Эвотор.

PAY при участии эквайеров UCS, Банка Русский Стандарт и МТС-банка. Комиссия определяется обслуживающей платежной системой и деятельностью торговой организации. Чтобы узнать эту информацию, посетите личный кабинет, выберите раздел «Эквайринг» и нажмите на кнопку «Подключение».

Требуется ли установка драйверов?

Нет, поскольку в Эвоторе 5i имеется встроенный драйвер.

Требуется ли настройка эквайринга?

Аппарат самостоятельно произведет необходимые настройки при подключении к интернету, после чего останется дождаться одобрения заявки на эквайринг со стороны банка.

Будет ли работать с эквайрингом Сбербанка, Альфа-банка и Модульбанка?

Да, платформа для эквайринга готова к сотрудничеству со всеми перечисленными банками.

Существуют ли ограничения при работе с банками?

Основное требование к банку — интеграция с платформой Эвотор.PAY.

Какая комиссия действует по эквайрингу?

Ставки составляют от 0,9 до 2,3% (Visa, MasterCard, МИР). Для клиентов банка China Union Pay комиссия 2,7%. Ознакомиться с действующими ставками можно в личном кабинете пользователя.

Как определяется размер ставки для торговых компаний?

Межбанковская комиссия находится в пределах 75% в ставке. Оставшиеся 25% представляют собой маржу, которая полагается банку-эквайеру, Эвотор.PAY и платежной системе. Благодаря поступающим доходам, платформа продолжает усовершенствоваться.

Что делать, если после приобретения терминала банк отказал в эквайринге?

Чтобы не оказаться в такой ситуации, сначала зарегистрируйтесь на сайте www.evotor.ru и в личном кабинете оформите заявку на эквайринг. Покупайте/устанавливайте Эвотор 5i только после получения одобрения от банка.

Приходит ли уведомление после одобрения заявки банком?

О статусе заявки можно узнать в ЛК. После получения положительного ответа в личный кабинет или на email контактного лица придет пакет документов для подписания договора.

Какие документы необходимо предоставить для подключения эквайринга?

  • Банковские реквизиты владельца терминала;
  • Скан паспорта заявителя;
  • Адрес и площадь торговой точки;
  • Скан лицензии.

Поддерживается ли бесконтактная оплата?

Да, оплата проводится через платежные системы Samsung Pay, Apple Pay, Google Pay, Android Pay.

Как происходит загрузка ключей?

Загрузка ключей осуществляется в автоматическом режиме.

Пинпад внешний или внедрен в корпус?

Банковский терминал внедрен в корпус мобильной онлайн-кассы Эвотор 5i, поэтому пинпад встроенный. Для ввода пин-кода используется виртуальная клавиатура.

Поддерживает ли смарт-терминал технологии 4G?

К сожалению, нет. Поддерживает только модули связи WiFi и 3G.

Как будет работать 3G на торговых точках с высоким телефонным трафиком?

Устройство успешно прошло тестирование в разных режимах нагрузки. Чтобы обеспечить его стабильную работу, достаточно использовать связь 3G или выполнить подключение по WiFi.

Предусмотрен ли USB разъем для внешних устройств?

Да.


Support — Cisco Support and Downloads — Documentation, Tools, Cases

Find Products and Downloads

Когда результаты автозаполнения доступны, используйте стрелки вверх и вниз для просмотра и ввода для выбора

  • Все загрузки программного обеспечения

  • Теперь вы можете сохранять документы и другое содержимое для использования в будущем. Войдите, чтобы увидеть сохраненный контент.

Возврат

  • Портал возврата

Товары по категориям

  • Переключатели
  • Безопасность
  • Маршрутизаторы
  • Беспроводная связь
  • Унифицированные коммуникации
  • Сетевое программное обеспечение (IOS и NX-OS)
  • Конечные точки и телефоны для совместной работы
См. также: Все продукты | Технологии | Приобретение

Дополнительные инструменты

  • Анализатор решений для совместной работы

    Набор инструментов, которые помогут вам в повседневной работе инфраструктуры совместной работы.

  • Анализатор интерфейса командной строки Cisco

    Cisco CLI Analyzer (ранее ASA CLI Analyzer) — это интеллектуальный клиент SSH с интегрированными внутренними инструментами TAC и знаниями. Он предназначен для устранения неполадок и проверки общего состояния поддерживаемого ПО Cisco.

  • Мои уведомления

    My Notifications позволяет пользователю подписаться и получать уведомления о рекомендациях по безопасности Cisco, объявлениях об окончании срока службы, уведомлениях о дефектах и ​​обновлениях программного обеспечения и ошибок для определенных продуктов и технологий Cisco.

Просмотреть все инструменты

Дополнительная поддержка

Лицензии

Программное обеспечение и загружаемые материалы

  • Инструмент поиска ошибок

    Поиск программных ошибок по продукту, выпуску и ключевому слову.

  • Исследования программного обеспечения

    Просмотр предложений Cisco по поддерживаемым продуктам.

  • Средство проверки программного обеспечения Cisco

    Используйте Cisco Software Checker для поиска советов по безопасности Cisco, применимых к конкретным версиям программного обеспечения Cisco IOS, IOS XE, NX-OS и NX-OS в режиме ACI.

  • Скачать программное обеспечение Cisco

    Получите последние обновления, исправления и выпуски программного обеспечения Cisco.

Не удается войти в систему администратора после установки — UCS — Univention Corporate Server

ivanp

#1

Здравствуйте!
Сегодня я установил версию UCS 5.0-1 errata176 на Proxmox VE из загруженного файла ISO
После установки и создания нового домена UCS попробуйте войти в WebUI с именем пользователя root — отлично, вход выполнен успешно.
При входе в систему с Администратор — ошибка с сообщением Аутентификация не удалась, пожалуйста, войдите снова.

Переустановить UCS не помогло(
Помогите!

Этот баг очень странный…

UPD: Так же при установке в VirtualBox все ок, вход без проблем

ivanp

#2

17 декабря 17:56:11 неназначенное имя хоста python3: pam_unix (univention-management-console: auth): проверка прохода; пользователь неизвестен
17 декабря 17:56:11 неназначенное имя хоста python3: pam_unix (univention-management-console: auth): ошибка аутентификации; logname= uid=0 euid=0 tty= ruser= rhost=
17 декабря 17:56:11 unassigned-hostname python3: pam_krb5(univention-management-console:auth): ошибка аутентификации; logname=Администратор uid=0 euid=0 tty= ruser= rhost=

В /var/log/auth. log

Лаки

#3

Вы решили свою проблему?
потому что у меня есть аналогичный
ssh Administrator@localhost больше не работает ,gssapi-с-микрофоном,клавиатура-интерактивная).
root@dcm:~# tail /var/log/auth.log
20 декабря 22:27:38 dcm sshd[4368]: ошибка: PAM: Ошибка аутентификации нелегального пользователя Administrator from ::1
20 декабря 22:27 :38 dcm sshd[4368]: Ошибка интерактивной клавиатуры/pam для недопустимого администратора пользователя из ::1 порт 47798 ssh3
20 декабря 22:27:38 dcm sshd[4368]: интерактивная клавиатура отложена для недействительного пользователя Администратор из :: 1 порт 47798 ssh3 [preauth]
20 декабря 22:27:41 dcm sshd[4384]: pam_krb5(sshd:auth): ошибка аутентификации; logname=Администратор uid=0 euid=0 tty=ssh ruser= rhost=::1
, 20 декабря, 22:27:41 dcm sshd[4384]: pam_unix(sshd:auth): проверка прохода; пользователь неизвестен
20 декабря 22:27:41 dcm sshd[4384]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1
20 декабря 22:27:41 dcm sshd[4384]: pam_ldap: ошибка при попытке привязки (требуется строгая (er) аутентификация)
20 декабря 22 :27:43 dcm sshd[4368]: ошибка: PAM: Ошибка аутентификации для недопустимого пользователя Администратор из ::1
20 декабря 22:27:43 dcm sshd[4368]: Ошибка интерактивной клавиатуры/pam для недопустимого пользователя Администратор из: :1 порт 47798 ssh3
20 декабря 22:27:43 dcm sshd [4368]: соединение закрыто недействительным пользователем Администратор :: 1 порт 47798 [preauth]

pmhahn

#4

Убедитесь, что пользователь Администратор известен, выполнив команду

 $ id Administrator
uid=2002(Администратор) gid=5000(Администраторы домена) Gruppen=5000(Администраторы домена),5001(Пользователи домена),1005(Хосты Windows),5005(Резервные хосты DC),5006(Подчиненные хосты DC),5007(Компьютеры ), 5010 (аутентифицированные пользователи), 5015 (контроллеры домена предприятия), 5045 (администраторы схемы), 5046 (администраторы предприятия), 5047 (владельцы-создатели групповой политики), 5051 (отказано в группе репликации пароля RODC), 5052 (администраторы), 5053 (Пользователи)
 

Если вы получаете идентификатор : «Администратор2»: нет такого пользователя вместо этого PAM не может общаться с LDAP.

Убедитесь, что запись пользователя существует в LDAP, выполнив команду:

 $ univention-ldapsearch -LLL uid=Администратор createTimestampmodifyTimestamp
DN: uid = администратор, cn = пользователи, dc = qa50, dc = pmh
createTimestamp: 20210615083442Z
изменитьTimestamp: 20211220123658Z
 

Если пользователь существует, попробуйте явно аутентифицироваться как этот пользователь, чтобы проверить соответствие пароля:

 $ ldapsearch -x -D "uid=Администратор,cn=users,$(ucr get ldap/base)" -w 'ВАШ_ПАРОЛЬ' uid=Администратор 1. 1
 

Также попробуйте пройти аутентификацию с помощью Kerberos:

 $ kinit Administrator
 

Последняя проверка статуса присоединения, выполнив:

 $ univention-check-join-status
Успешно присоединился
 

Если вместо этого вы получите длинный список сценариев присоединения, попробуйте запустить univention-run-join-scripts .

1 Нравится

Лаки

#5

pmhahn:

univention-check-join-status

Привет pmhan

Спасибо за ответ!
Я протестировал все приведенные выше команды, все они вернулись успешно
запись была найдена в ldap kerberos, которой назначен билет …
но членство в группе выглядит иначе, может ли это быть причиной моей проблемы?
слева=моя справа=это из твоего поста 9auth/sshd/

  • Для ssh это актуально, так как по умолчанию разрешены только члены группы Администраторы и Администраторы домена .
  • Для UMC по умолчанию таких ограничений через UCR нет; список доступных модулей UMC для каждого пользователя обрабатывается UDM settings/umc_operationset .

Не могли бы вы выполнить следующую команду при входе в систему как пользователь root :
LC_ALL=C.UTF-8 su -s /bin/sh -c 'id Administrator' Nobody
Он возвращает id: «Администратор»: нет такого пользователя проверьте статус us nscd , выполнив следующую команду:
systemctl status nscd.service
Попробуйте (повторно) запустить его, выполнив команду
systemctl reboot nscd.service
PS: nscd требуется, так как /etc/machine.secret доступен для чтения только пользователю root , но любой пользователь должен использовать getent passwd . нскд работает от имени пользователя root и, таким образом, кэширует эту информацию для любого использования. С sshd , использующим разделение привилегий в настоящее время, это может объяснить, почему он не может найти Administrator .

20 декабря 22:27:41 dcm sshd [4384]: pam_ldap: ошибка при попытке привязки (требуется строгая (er) аутентификация)

Этого не должно быть; Я бы проверил /etc/libnss-ldap.conf и /etc/ldap/ldap.conf и /etc/nsswitch.conf для любых настроек сертификата, чтобы убедиться, что slapd имеет действительный сертификат SSL/TLS. Запустите это:
univention-certificate check -name $(hostname -f)
Мне кажется, что невозможно установить зашифрованное соединение LDAP с использованием STARTTLS , и поэтому PAM не смог найти пользователя.

1 Нравится

Счастливчик

#7 9авторизация/sshd/ авторизация/sshd/группа/Администраторы: да авторизация/sshd/группа/Компьютеры: да auth/sshd/group/DC Backup Hosts: да auth/sshd/group/DC Slave Hosts: да auth/sshd/group/Администраторы домена: да авторизация/sshd/ограничение: да авторизация/sshd/пользователь/корень: да

также следующий

 root@dcsc:/mnt# LC_ALL=C. UTF-8 su -s /bin/sh -c 'id администратора' никто
uid=2002(Администратор) gid=5000(Администраторы домена) groups=5000(Администраторы домена),5001(Пользователи домена),5005(Хосты резервного копирования DC),5046(Администраторы схемы),5047(Администраторы предприятия), 5048(Групповая политика Владельцы-создатели), 5053 (администраторы)
 

служба nscd иначе заявляет об одном из моих резервных контроллеров домена

 05 января 13:55:11 dcsc nscd[673]: nss-ldap: do_open: do_start_tls failed:stat=-1
05 января 13:55:11 dcsc nscd[673]: nss-ldap: do_open: do_start_tls failed:stat=-1
05 января, 13:55:12 dcsc nscd[673]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://TM01-DC02.office.firma.com:7389: неверные учетные данные
05 января, 13:55:12 dcsc nscd[673]: nss_ldap: переподключение к серверу LDAP ldap://dcsc.office.firma.com:7389 после 1 попытки
05 янв 13:59:12 dcsc nscd[673]: 673 überwachte Datei »/etc/resolv.conf« wurde перемещено на место, füge Überwachung hinzu
05 января 13:59:42 dcsc nscd[673]: 673 überwachte Datei »/etc/resolv. conf« wurde перемещен на место, füge Überwachung hinzu
05 января 13:59:42 dcsc nscd[673]: 673 inotify Event für Datei »/etc/resolv.conf« игнорировать (дата существует)
05 января 20:52:32 dcsc nscd[673]: nss_ldap: повторное подключение к серверу LDAP...
05 января 20:52:32 dcsc nscd[673]: nss_ldap: повторное подключение к серверу LDAP ldap://dcsc.office.firma.com:7389после 1 попытки
 

мой libnss-ldap.conf является дебианским файлом по умолчанию, а не созданным шаблоном univention …
что это за pkg? я могу просто переустановить это?

 root@dcsc:/mnt# univention-certificate check -name $(hostname -f)
Сертификат "dcsc.office.firma.com" с серийным номером 01 недействителен (отозван)
Сертификат "dcsc.office.firma.com" с серийным номером 02 действителен
Сертификат "dcsc.office.firma.com" с серийным номером 14 недействителен (отозван)
 

Будет ли

ucr фиксирует /etc/libnss-ldap.conf

правильно?

пмхан

#8

Попробуйте ucr commit /etc/libnss-ldap.conf повторно создать этот файл из его шаблона /etc/univention/templates/files/etc/libnss-ldap.conf , который является частью пакета univention-пам . Вы можете переустановить его, выполнив apt-get {--re,}install univention-pam , если вы случайно удалили какой-либо файл.
Это может привести к ошибке для conf-файлов ниже /etc/ , так как dpkg не восстановит их при удалении; в этом случае сделайте что-то вроде этого:

 cd "${TMPDIR:-/tmp}"
apt-get скачать univention-pam
dpkg -x univention-pam_*_all.deb ./x/
cp ./x/etc/univention/templates/files/etc/libnss-ldap.conf /etc/univention/templates/files/etc/libnss-ldap.conf
rm -rf univention-pam_*_all.deb ./x
 

Вы должны проверить, почему этот файл не обрабатывается UCR, и есть ли другие файлы, в которых наш механизм шаблонов UCR не работает. Правильно ли установлены и настроены пакеты univention-pam и univention-base-files ?
Вы можете запустить ucr commit без каких-либо дополнительных аргументов для повторного создания всех файлов , что может привести к отключению вас от компьютера, поскольку это также вызывает перенастройку сети.

Меня немного беспокоит ваш последний сертификат 14 был отозван. Насколько я знаю, «списки отозванных сертификатов» (crl) не используются в UCS, но убедитесь, что ваш /etc/univention/ssl/$FQHN/cert.pem соответствует /etc/univention/ssl/ucsCA/ certs/02.pem , а не …/14.pem

Вы также должны проверить, почему ldap://TM01-DC02.office.firma.com:7389 не работает, например. какой сертификат он использует и действителен ли он; обе следующие команды должны работать:

 univention-ldapsearch -H ldap://TM01-DC02.office.firma.com:7389-s основание
univention-ldapsearch -H ldap://dcsc. office.firma.com:7389 -s base
 

Поскольку sshd использует разделение привилегий, что усложняет отладку, попробуйте переключить пользователя, используя su это:
su -s /bin/bash -c 'su Administrator' Nobody

Для ssh и PAM проверяют права доступа к файлам:

 # ls -ld /etc/pam_ldap.conf /etc/pam_ldap.secret /etc/machine.secret
-rw------- 1 root root 20 янв 6 01:07 /etc/machine.secret
-rw-r--r-- 1 root root 583 18 ноября 11:28 /etc/pam_ldap.conf
lrwxrwxrwx 1 корень корень 19база //p;T;q' /etc/pam_ldap.conf)" \
  -s основание
 

1 Нравится

Лаки

#9

Еще раз большое спасибо @pmhahn, особенно в связи с праздничным днем ​​

отсутствующие пакеты, где переустановлены, теперь libnss-ldap.conf выглядит намного лучше (настроено по шаблону)

все мои univention-ldapsearch не удалось с
ldap_start_tls: не удается связаться LDAP-сервер (-1)

 root@dcsc:~# su -s /bin/bash -c 'администратор su' никто
Пароль:
bash: Kann die Prozessgruppe des Terminals nicht setzen (21370). : Unpassender IOCTL (I/O-Control) für das Gerät
bash: Keine Job Steuerung в dieser Shell.
Администратор@dcsc:/root$
 

работает…
права доступа к файлам установлены правильно

и сертификаты действительны

 openssl x509 -in /etc/univention/ssl/dcsc/cert.pem --issuer_hash --subject_hash -noout
d9cfc7df
779e7d56
 OpenSSL x509база //p;T;q' /etc/pam_ldap.conf)" \
> -s база
DN: dc=офис, dc=фирма, dc=com
округ Колумбия: офис
univentionObjectType: контейнер/постоянный ток
krb5RealmName: OFFICE.FIRMA.COM
nisДомен: office.firma.com
связанный домен: office.firma.com
univentionPolicyReference: cn=настройки по умолчанию,cn=pwhistory,cn=users,cn=polici
 es, dc = офис, dc = фирма, dc = ком
univentionPolicyReference: cn = пользователи по умолчанию, cn = настройки администратора, cn = пользователи, cn = poli
 cies, dc = офис, dc = фирма, dc = ком
univentionPolicyReference: cn=UCS 4.0,cn=desktop,cn=policies,dc=office,dc=firma,dc=com
класс объекта: верхний
класс объекта: krb5Realm
класс объекта: унивентионполициреференс
класс объекта: nisDomainObject
объектный класс: доменный связанный объект
объектный класс: домен
объектный класс: univentionBase
класс объекта: univentionObject
объектный класс: msGPO
msGPOLink: [LDAP://cn={E3FCC602-B559-43F7-A805-485A72E6A7FD},cn=политики,cn=sy
 ствол,DC=офис,DC=фирма,DC=com;0][LDAP://cn={EE351F7D-7A02-4592-B48F-FA69545
 5CC8C},cn=policies,cn=system,DC=office,DC=firma,DC=com;0][LDAP://CN={31B2F34
 0-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=Система,DC=офис,DC=фирма,DC=c
 om;0][LDAP://CN={256D85C6-D75E-4A40-85C0-2AC14D87D74A},CN=Policies,CN=System,
 DC=офис,DC=фирма,DC=com;0]
root@dcsc:~#
 

1 Нравится

Лаки

#10

теперь он полностью облажался…
если я делаю

univention-ldapsearch я получаю результаты
если я делаю univention-ldapsearch -base я получаю

 root@dcsc:~# univention-ldapsearch -base
# расширенный LDIF
#
# LDAPv3
# base  с поддеревом области видимости
# фильтр: (objectclass=*)
# запрос: ВСЕ
#
# результат поиска
поиск: 3
результат: 34 Неверный синтаксис DN
текст: неверный DN
# числоОтветов: 1
 

1 Нравится

пейхерт

#11

«ase» не является допустимым base-dn для параметра «-b»
Возможно, вы имели в виду univention-ldapsearch -s base

Luckyh

#12

pmhahn:

univention-ldapsearch-H ldap://TM01-DC02. office.firma.com:7389-s база

вы абсолютно правы —- mea culpa—
Пробовал

univention-ldapsearch-база

, что, конечно, неверно
при использовании команды правильно показывает

 univention-ldapsearch -H ldap://TM01-DC02.office.firma.com:7389 -s base
ldap_bind: неверные учетные данные (49)
 

и на PDC ist работает

 root@dcsc:/etc/univention/ssl# univention-ldapsearch -H ldap://dcsc.office.firma.com:7389-s основание
# расширенный LDIF
#
# LDAPv3
# база  (по умолчанию) с областью действия baseObject
# фильтр: (objectclass=*)
# запрос: ВСЕ
#
# office.firma.com
DN: dc=офис, dc=фирма, dc=com
округ Колумбия: офис
univentionObjectType: контейнер/постоянный ток
krb5RealmName: OFFICE.FIRMA.COM
nisДомен: office.firma.com
связанный домен: office.firma.com
univentionPolicyReference: cn=настройки по умолчанию,cn=pwhistory,cn=users,cn=policies,dc=office,dc=firma,dc=com
univentionPolicyReference: cn=пользователи по умолчанию,cn=admin-settings,cn=users,cn=policies,dc=office,dc=firma,dc=com
univentionPolicyReference: cn=UCS 4. 0,cn=desktop,cn=policies,dc=office,dc=firma,dc=com
класс объекта: верхний
класс объекта: krb5Realm
класс объекта: унивентионполициреференс
класс объекта: nisDomainObject
объектный класс: доменный связанный объект
объектный класс: домен
объектный класс: univentionBase
класс объекта: univentionObject
объектный класс: msGPO
msGPOLink: [LDAP://cn={E3FCC602-B559-43F7-A805-485A72E6A7FD},cn=policies,cn=system,DC=office,DC=firma,DC=com;0][LDAP://cn={EE351F7D-7A02-4592-B48F-FA695455CC8C},cn =policies,cn=system,DC=office,DC=firma,DC=com;0][LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= office,DC=firma,DC=com;0][LDAP://CN={256D85C6-D75E-4A40-85C0-2AC14D87D74A},CN=Policies,CN=System,DC=office,DC=firma,DC=com ;0]
# результат поиска
поиск: 3
результат: 0 успех
# числоОтветов: 2
# количество записей: 1
 

1 Нравится

pmhahn

№13

Хорошо, что теперь работает на dcsc . Но все же странно, что некоторые пакеты не правильно установились или даже удалились. Возможно, вы захотите просмотреть /var/log/apt/history.log и /var/log/apt/term.log , чтобы узнать, что пошло не так.

Так что следующий взгляд на tm01-dc02 :

Luckyh:

при использовании команды правильно показывает

 univention-ldapsearch -H ldap://TM01-DC02.office.firma.com:7389 -s base
ldap_bind: неверные учетные данные (49)
 

Думаю, они принадлежат к одному и тому же домену

  • . Является ли один из них Primary ( domaincontroller_master )?
  • какую системную роль играет другая система? Запустите ucr и получите сервер/роль .

Вы также должны запустить univention-check-join-status на tm01-dc02 . Я предполагаю, что эта система не является вашей основной, и что-то не так с механизмом репликации.

1 Нравится

моузлы

№14

Привет, pmhahn,

Я получаю
id: «Администратор»: нет такого пользователя

, поэтому, насколько я понимаю, PAM не может общаться с LDAP.
Как я могу это исправить или узнать подробности, относящиеся к этой проблеме?

Моя основная проблема: никто больше не может войти в WebGUI. Только SSH по-прежнему позволяет изменить конфигурацию сервера.

Я также пробовал некоторые из других упомянутых вами тестов:

 ldapsearch -x -D "uid=Администратор,cn=users,$(ucr get ldap/base)" -w 'MY_ADMIN_PW' uid=Администратор 1.1
# расширенный LDIF
#
# LDAPv3
# base  (по умолчанию) с поддеревом области видимости
# filter: uid=Администратор
# запрос: 1.1
#
# Администратор, пользователи, hitcons.intranet
DN: uid = администратор, cn = пользователи, dc = hitcons, dc = интранет
# результат поиска
поиск: 2
результат: 0 успех
# числоОтветов: 2
# количество записей: 1
 
 $ статус sudo systemctl nscd. service
nscd.service — демон кэширования службы имен
   Загружено: загружено (/lib/systemd/system/nscd.service; включено; предустановка поставщика: включена)
   Активно: активно (работает) с 02.11.2022 14:49:29 CET; 1 день 4 часа назад
  Процесс: 812 ExecStart=/usr/sbin/nscd (code=exited, status=0/SUCCESS)
 Основной PID: 816 (nscd)
    Заданий: 21 (лимит: 4915)
   Память: 21,7 Мб
   Группа CG: /system.slice/nscd.service
           └─816 /usr/sbin/nscd
03 ноября, 19:00:02 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: Неверные учетные данные
03 ноября 19:00:02 ucs-1755 nscd[816]: nss_ldap: переподключение к серверу LDAP (ожидание 1 секунда)...
03 ноября, 19:00:03 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные
03 ноября, 19:00:03 ucs-1755 nscd[816]: nss_ldap: не удалось найти сервер LDAP — сервер недоступен
03 ноября, 19:09:05 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755. hitcons.intranet:7389: неверные учетные данные
03 ноя 19:09:05 ucs-1755 nscd[816]: nss_ldap: переподключение к серверу LDAP...
03 ноября, 19:09:05 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные
03 ноября 19:09:05 ucs-1755 nscd[816]: nss_ldap: повторное подключение к серверу LDAP (ожидание 1 секунда)...
03 ноября, 19:09:06 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные
03 ноября, 19:09:06 ucs-1755 nscd[816]: nss_ldap: не удалось найти сервер LDAP — сервер недоступен
 9сервер/роль  

moozles:

 nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные
nss_ldap: переподключение к серверу LDAP (ожидание 1 секунда)...
 

nscd не удалось подключиться к вашему серверу LDAP.

  1. Является ли ucs-1755. hitcons.intranet:7389 основным UCS (мастером DC)?

  2. Можно ли разрешить это имя через хостов getent ucs-1755.hitcons.intranet ?

  3. Можете ли вы пропинговать хост? ping -c 5 ucs-1755.hitcons.intranet ?

  4. Проверить /etc/libnss-ldap.conf :

    1. Этот файл существует и не пуст? Файл должен принадлежать messagebug:root и иметь разрешения 0440 , например. только для чтения для пользователя и группы.
    2. Соответствует ли uri ldap://... имени вашего первичного/главного?
    3. Сделать оба rootbindn cn=.. и binddn cn=… совпадают с выводом ucr get ldap/hostdn ?
    4. Связывает ли bindpw … содержимое /etc/machine.secret ?
    5. Если нет: запустите ucr commit /etc/libnss-ldap.conf , чтобы заново создать этот файл. После этого выполните перезапуск systemctl nscd. service .
    6. В противном случае: Можно ли вместе использовать эти учетные данные для подключения к LDAP, например. ldapsearch -xLLLo ldif-wrap=no -H ldap://ucs-1755.hitcons.intranet:7389-D "$(ucr получить ldap/hostdn)" -y /etc/machine.secret -b "$(ucr получить ldap/hostdn)" -s base
    7. Если это не сработает, содержимое локального файла /etc/machine.secret может больше не соответствовать тому, что хранится в LDAP на первичном/главном. Если вы знаете его, вы можете записать его с помощью echo -n 'SECRET' >/etc/machine.secret в этот файл; в противном случае
      1. Запишите содержимое /etc/machine.secret ; упоминается как $PASS далее
      2. Запишите DN затронутой системы, например. ucr получить ldap/hostdn $DN
      3. Получите роль сервера из вашей уязвимой системы, например. ucr получить сервер/роль $ROLE
      4. Войдите в систему как Primary/Master как пользователь root и запустите udm "computes/$ROLE"modify --dn "$DN" --set password="$PASS" , чтобы установить пароль в LDAP на то же значение в настоящее время в /etc/machine.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *