Эквайринг | Банк «Русь»
Стало много желающих оплатить покупку банковской картой? Прекрасно! Сделайте сервис для своих Клиентов выгодным, простым и удобным.
Банк «Русь» всё расставит на свои места. Торговые терминалы в частности.
Эквайринг
Эквайринг – это организация приема банковских карт в оплату товаров (работ, услуг) в торгово-сервисных предприятиях.
В рамках партнерской программы с крупнейшей специализированной компанией ЗАО «Компания объединенных кредитных карточек» (UCS) клиенты Банка «Русь» могут воспользоваться услугой организации торгового эквайринга на выгодных условиях.
Преимущества эквайринга:
- Легкость в работе – работать с картами намного проще и удобней, чем с наличными денежными средствами.
- Повышение конкурентоспособности Вашего предприятия, увеличение его оборотов за счет привлечения новых Клиентов-держателей банковских карт.
- Увеличение объемов продаж — психологически гораздо легче произвести расчет по банковской карте, чем расстаться с наличными деньгами.
- Привлечение новых Клиентов со стабильными и, как правило, достаточно высокими доходами.
- Снижение рисков по операциям, связанными с наличными денежными средствами.
- Снижение затрат на обслуживание оборота наличных денежных средств – хранение, инкассацию и перерасчет наличности.
Выгодное сопровождение и обслуживание:
- Бесплатное подключение услуг эквайринга компанией UCS. Тарифы на дальнейшее обслуживание определяются индивидуально для каждого Клиента Банка.
- Установка и обслуживание оборудования для приема в оплату банковских карт, в том числе установка кассовых решений.
- Бесплатное обучение кассиров и менеджеров правилам оформления сделок с банковскими картами в учебном центре.
- Бесперебойное и быстрое зачисление денежных средств на расчетный счет предприятия.
- Круглосуточная (24/7) клиентская поддержка в авторизационном центре.
- Персональный куратор-экономист для оперативного решения.
- Мониторинг операций для минимизации финансовых потерь.
- Предоставление информации о платежах в личном кабинете на www.ucs.su.
Виды предлагаемого эквайринга:
- Торговый эквайринг – услуга, позволяющая предприятиям торговли и сервиса принимать в оплату товаров (работ, услуг) банковские карты через торговые терминалы.
- Интернет-эквайринг – прием платежей от Клиентов и оформление сделок по банковским картам на сайте предприятия.
- Виртуальный эквайринг – предоставление возможности совершать сделки по картам, используя только свой персональный компьютер с доступом в сеть Интернет без использования специального оборудования и программного обеспечения.
Как организовать проект эквайринга?
- Заполнить анкету.
Анкету можно получить по адресу:
г. Оренбург: ул. Кобозева, д. 1, Отдел продаж корпоративных продуктов, тел. (3532) 44-47-45,
ул. 8 Марта,35, Отдел пластиковых карт, тел. (3532) 44-47-00 доб. (1321, 1322). - Передать заполненную анкету в указанные выше отделы можно через любой офис Банка «Русь», систему «Клиент-Банк» или по факсу (3532) 44-57-27 (доб. 1092) или отправить по электронной почте на [email protected].
Обзор кассы Эвотор 5i
Аппарат отличается эргономичной формой и компактными размерами. Его вес составляет 393 грамма, благодаря чему его можно разместить в кармане куртки или другой одежде. Cмарт терминал с эквайрингом способен функционировать без подзарядки около 12 часов. Автономность прибора позволяет брать его с собой на выезд. Представленный платежный инструмент доступен для оплаты услуг перевозчиков и служб курьерской доставки.
Эвотор 5i с эквайрингом соответствует 54-Ф3 и работает с разными операторами фискальных данных, при этом передает всю необходимую информацию в ФНС. Он принимает любые платежи через смартфон, наличными и по карте. Выбирая для оплаты последний вариант, пользователю даже нет необходимости иметь пинпад, потому как смарт-терминал оснащен модулем эквайринга. Представленная онлайн-касса станет идеальным решением для тех, кто ценит компактность и мобильность.
Универсальный платежный инструмент
Раньше для получения оплаты за товар предприниматели использовали банковскую карту, проводили операцию посредством пинпада, а чек выбивали на кассе. С появлением Эвотора 5i необходимость в пинпаде исчезла. Теперь для проведения платежей требуется только касса. Все остальные функции встроены в универсальный аппарат. Торговать с ним стало удобнее, при этом прилавок освободится от лишних устройств.
Продажи с подключенным и отключенным интернетом
Чтобы подключить функцию Ethernet, потребуется использовать специальный переходник. Аппарат может работать по WiFi и 3G. При этом он продолжит функционировать даже при перебоях интернета.
Скоростной эквайринг
Для подключения оплаты через карты вам не придется тратить время на посещение отделения банка. С вашей стороны достаточно зайти в личный кабинет, загрузить сканы ксерокопий документов и активизировать функцию эквайринга. Для этого понадобится лицензия на торговлю, доверенность, реквизиты.
Работа с маркировкой товаров и ЕГАИС
Мобильная онлайн-касса подойдет даже для продажи алкогольных и табачных изделий. Чтобы торговать легально, на терминале необходимо активировать программу «УТМ» и установить бандл модулей «Маркировка табака».
Резервный банк в качестве страховки
При сбоях в основном банке всегда можно использовать резервный. Просто подключите одновременно несколько банков-эквайеров. При возникновении проблем вы сможете переключаться между банками легким нажатием на кнопку. Онлайн-касса работает с эквайерами ВТБ, Русский Стандарт и Почта.Банк. Одна из лучших среди аналогов
Перед тем, как приступить к созданию Эвотора, разработчики проходили стажировку в компаниях европейских партнеров PCI и EMVCo. Они позаимствовали технологии производства платежных инструментов и успешно внедрили их в собственный продукт.
Вопросы и ответы
Какими эквайерами поддерживается Эвотор 5i?
Аппарат работает на фазе платформы Эвотор.
Требуется ли установка драйверов?
Нет, поскольку в Эвоторе 5i имеется встроенный драйвер.
Требуется ли настройка эквайринга?
Аппарат самостоятельно произведет необходимые настройки при подключении к интернету, после чего останется дождаться одобрения заявки на эквайринг со стороны банка.
Будет ли работать с эквайрингом Сбербанка, Альфа-банка и Модульбанка?
Да, платформа для эквайринга готова к сотрудничеству со всеми перечисленными банками.
Существуют ли ограничения при работе с банками?
Основное требование к банку — интеграция с платформой Эвотор.PAY.
Какая комиссия действует по эквайрингу?
Ставки составляют от 0,9 до 2,3% (Visa, MasterCard, МИР). Для клиентов банка China Union Pay комиссия 2,7%. Ознакомиться с действующими ставками можно в личном кабинете пользователя.
Как определяется размер ставки для торговых компаний?
Межбанковская комиссия находится в пределах 75% в ставке. Оставшиеся 25% представляют собой маржу, которая полагается банку-эквайеру, Эвотор.PAY и платежной системе. Благодаря поступающим доходам, платформа продолжает усовершенствоваться.
Что делать, если после приобретения терминала банк отказал в эквайринге?
Чтобы не оказаться в такой ситуации, сначала зарегистрируйтесь на сайте www.evotor.ru и в личном кабинете оформите заявку на эквайринг. Покупайте/устанавливайте Эвотор 5i только после получения одобрения от банка.
Приходит ли уведомление после одобрения заявки банком?
О статусе заявки можно узнать в ЛК. После получения положительного ответа в личный кабинет или на email контактного лица придет пакет документов для подписания договора.
Какие документы необходимо предоставить для подключения эквайринга?
- Банковские реквизиты владельца терминала;
- Скан паспорта заявителя;
- Адрес и площадь торговой точки;
- Скан лицензии.
Поддерживается ли бесконтактная оплата?
Да, оплата проводится через платежные системы Samsung Pay, Apple Pay, Google Pay, Android Pay.
Как происходит загрузка ключей?
Загрузка ключей осуществляется в автоматическом режиме.
Пинпад внешний или внедрен в корпус?
Банковский терминал внедрен в корпус мобильной онлайн-кассы Эвотор 5i, поэтому пинпад встроенный. Для ввода пин-кода используется виртуальная клавиатура.
Поддерживает ли смарт-терминал технологии 4G?
К сожалению, нет. Поддерживает только модули связи WiFi и 3G.
Как будет работать 3G на торговых точках с высоким телефонным трафиком?
Устройство успешно прошло тестирование в разных режимах нагрузки. Чтобы обеспечить его стабильную работу, достаточно использовать связь 3G или выполнить подключение по WiFi.
Предусмотрен ли USB разъем для внешних устройств?
Да.
Support — Cisco Support and Downloads — Documentation, Tools, Cases
Find Products and Downloads
Когда результаты автозаполнения доступны, используйте стрелки вверх и вниз для просмотра и ввода для выбора
- Все загрузки программного обеспечения
Теперь вы можете сохранять документы и другое содержимое для использования в будущем. Войдите, чтобы увидеть сохраненный контент.
Возврат
- Портал возврата
Товары по категориям
- Переключатели
- Безопасность
- Маршрутизаторы
- Беспроводная связь
- Унифицированные коммуникации
- Сетевое программное обеспечение (IOS и NX-OS)
- Конечные точки и телефоны для совместной работы

Дополнительные инструменты
- Анализатор решений для совместной работы
Набор инструментов, которые помогут вам в повседневной работе инфраструктуры совместной работы.
- Анализатор интерфейса командной строки Cisco
Cisco CLI Analyzer (ранее ASA CLI Analyzer) — это интеллектуальный клиент SSH с интегрированными внутренними инструментами TAC и знаниями. Он предназначен для устранения неполадок и проверки общего состояния поддерживаемого ПО Cisco.
- Мои уведомления
My Notifications позволяет пользователю подписаться и получать уведомления о рекомендациях по безопасности Cisco, объявлениях об окончании срока службы, уведомлениях о дефектах и обновлениях программного обеспечения и ошибок для определенных продуктов и технологий Cisco.
Дополнительная поддержка
Лицензии
Программное обеспечение и загружаемые материалы
- Инструмент поиска ошибок
Поиск программных ошибок по продукту, выпуску и ключевому слову.
- Исследования программного обеспечения
Просмотр предложений Cisco по поддерживаемым продуктам.
- Средство проверки программного обеспечения Cisco
Используйте Cisco Software Checker для поиска советов по безопасности Cisco, применимых к конкретным версиям программного обеспечения Cisco IOS, IOS XE, NX-OS и NX-OS в режиме ACI.
- Скачать программное обеспечение Cisco Получите последние обновления, исправления и выпуски программного обеспечения Cisco.
Не удается войти в систему администратора после установки — UCS — Univention Corporate Server
ivanp #1 Здравствуйте!
Сегодня я установил версию UCS 5.0-1 errata176 на Proxmox VE из загруженного файла ISO
После установки и создания нового домена UCS попробуйте войти в WebUI с именем пользователя root — отлично, вход выполнен успешно.
При входе в систему с Администратор — ошибка с сообщением Аутентификация не удалась, пожалуйста, войдите снова.
Переустановить UCS не помогло(
Помогите!
Этот баг очень странный…
UPD: Так же при установке в VirtualBox все ок, вход без проблем
17 декабря 17:56:11 неназначенное имя хоста python3: pam_unix (univention-management-console: auth): проверка прохода; пользователь неизвестен
17 декабря 17:56:11 неназначенное имя хоста python3: pam_unix (univention-management-console: auth): ошибка аутентификации; logname= uid=0 euid=0 tty= ruser= rhost=
17 декабря 17:56:11 unassigned-hostname python3: pam_krb5(univention-management-console:auth): ошибка аутентификации; logname=Администратор uid=0 euid=0 tty= ruser= rhost=
В /var/log/auth. log
Вы решили свою проблему?
потому что у меня есть аналогичный
ssh Administrator@localhost больше не работает ,gssapi-с-микрофоном,клавиатура-интерактивная).
root@dcm:~# tail /var/log/auth.log
20 декабря 22:27:38 dcm sshd[4368]: ошибка: PAM: Ошибка аутентификации нелегального пользователя Administrator from ::1
20 декабря 22:27 :38 dcm sshd[4368]: Ошибка интерактивной клавиатуры/pam для недопустимого администратора пользователя из ::1 порт 47798 ssh3
20 декабря 22:27:38 dcm sshd[4368]: интерактивная клавиатура отложена для недействительного пользователя Администратор из :: 1 порт 47798 ssh3 [preauth]
20 декабря 22:27:41 dcm sshd[4384]: pam_krb5(sshd:auth): ошибка аутентификации; logname=Администратор uid=0 euid=0 tty=ssh ruser= rhost=::1
, 20 декабря, 22:27:41 dcm sshd[4384]: pam_unix(sshd:auth): проверка прохода; пользователь неизвестен
20 декабря 22:27:41 dcm sshd[4384]: pam_unix(sshd:auth): ошибка аутентификации; logname= uid=0 euid=0 tty=ssh ruser= rhost=::1
20 декабря 22:27:41 dcm sshd[4384]: pam_ldap: ошибка при попытке привязки (требуется строгая (er) аутентификация)
20 декабря 22 :27:43 dcm sshd[4368]: ошибка: PAM: Ошибка аутентификации для недопустимого пользователя Администратор из ::1
20 декабря 22:27:43 dcm sshd[4368]: Ошибка интерактивной клавиатуры/pam для недопустимого пользователя Администратор из: :1 порт 47798 ssh3
20 декабря 22:27:43 dcm sshd [4368]: соединение закрыто недействительным пользователем Администратор :: 1 порт 47798 [preauth]
Убедитесь, что пользователь Администратор
известен, выполнив команду
$ id Administrator uid=2002(Администратор) gid=5000(Администраторы домена) Gruppen=5000(Администраторы домена),5001(Пользователи домена),1005(Хосты Windows),5005(Резервные хосты DC),5006(Подчиненные хосты DC),5007(Компьютеры ), 5010 (аутентифицированные пользователи), 5015 (контроллеры домена предприятия), 5045 (администраторы схемы), 5046 (администраторы предприятия), 5047 (владельцы-создатели групповой политики), 5051 (отказано в группе репликации пароля RODC), 5052 (администраторы), 5053 (Пользователи)
Если вы получаете идентификатор : «Администратор2»: нет такого пользователя
вместо этого PAM не может общаться с LDAP.
Убедитесь, что запись пользователя существует в LDAP, выполнив команду:
$ univention-ldapsearch -LLL uid=Администратор createTimestampmodifyTimestamp DN: uid = администратор, cn = пользователи, dc = qa50, dc = pmh createTimestamp: 20210615083442Z изменитьTimestamp: 20211220123658Z
Если пользователь существует, попробуйте явно аутентифицироваться как этот пользователь, чтобы проверить соответствие пароля:
$ ldapsearch -x -D "uid=Администратор,cn=users,$(ucr get ldap/base)" -w 'ВАШ_ПАРОЛЬ' uid=Администратор 1.1
Также попробуйте пройти аутентификацию с помощью Kerberos:
$ kinit Administrator
Последняя проверка статуса присоединения, выполнив:
$ univention-check-join-status Успешно присоединился
Если вместо этого вы получите длинный список сценариев присоединения, попробуйте запустить univention-run-join-scripts
.
1 Нравится
Лаки #5 pmhahn:
univention-check-join-status
Привет pmhan
Спасибо за ответ!
Я протестировал все приведенные выше команды, все они вернулись успешно
запись была найдена в ldap kerberos, которой назначен билет …
но членство в группе выглядит иначе, может ли это быть причиной моей проблемы?
слева=моя справа=это из твоего поста 9auth/sshd/
- Для
ssh
это актуально, так как по умолчанию разрешены только члены группыАдминистраторы
иАдминистраторы домена
. - Для UMC по умолчанию таких ограничений через UCR нет; список доступных модулей UMC для каждого пользователя обрабатывается UDM
settings/umc_operationset
.
Не могли бы вы выполнить следующую команду при входе в систему как пользователь root
:
LC_ALL=C.UTF-8 su -s /bin/sh -c 'id Administrator' Nobody
Он возвращает id: «Администратор»: нет такого пользователя
проверьте статус us nscd
, выполнив следующую команду:
systemctl status nscd.service
Попробуйте (повторно) запустить его, выполнив команду
systemctl reboot nscd.service
PS: nscd
требуется, так как /etc/machine.secret
доступен для чтения только пользователю root
, но любой пользователь должен использовать getent passwd
. нскд
работает от имени пользователя root
и, таким образом, кэширует эту информацию для любого использования. С
sshd
, использующим разделение привилегий в настоящее время, это может объяснить, почему он не может найти Administrator
.
20 декабря 22:27:41 dcm sshd [4384]: pam_ldap: ошибка при попытке привязки (требуется строгая (er) аутентификация)
Этого не должно быть; Я бы проверил /etc/libnss-ldap.conf
и /etc/ldap/ldap.conf
и /etc/nsswitch.conf
для любых настроек сертификата, чтобы убедиться, что slapd
имеет действительный сертификат SSL/TLS. Запустите это:
univention-certificate check -name $(hostname -f)
Мне кажется, что невозможно установить зашифрованное соединение LDAP с использованием STARTTLS
, и поэтому PAM не смог найти пользователя.
1 Нравится
Счастливчик #7 9авторизация/sshd/ авторизация/sshd/группа/Администраторы: да авторизация/sshd/группа/Компьютеры: да auth/sshd/group/DC Backup Hosts: да auth/sshd/group/DC Slave Hosts: да auth/sshd/group/Администраторы домена: да авторизация/sshd/ограничение: да авторизация/sshd/пользователь/корень: датакже следующий
root@dcsc:/mnt# LC_ALL=C.UTF-8 su -s /bin/sh -c 'id администратора' никто uid=2002(Администратор) gid=5000(Администраторы домена) groups=5000(Администраторы домена),5001(Пользователи домена),5005(Хосты резервного копирования DC),5046(Администраторы схемы),5047(Администраторы предприятия), 5048(Групповая политика Владельцы-создатели), 5053 (администраторы)
служба nscd иначе заявляет об одном из моих резервных контроллеров домена
05 января 13:55:11 dcsc nscd[673]: nss-ldap: do_open: do_start_tls failed:stat=-1 05 января 13:55:11 dcsc nscd[673]: nss-ldap: do_open: do_start_tls failed:stat=-1 05 января, 13:55:12 dcsc nscd[673]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://TM01-DC02.office.firma.com:7389: неверные учетные данные 05 января, 13:55:12 dcsc nscd[673]: nss_ldap: переподключение к серверу LDAP ldap://dcsc.office.firma.com:7389 после 1 попытки 05 янв 13:59:12 dcsc nscd[673]: 673 überwachte Datei »/etc/resolv.conf« wurde перемещено на место, füge Überwachung hinzu 05 января 13:59:42 dcsc nscd[673]: 673 überwachte Datei »/etc/resolv.conf« wurde перемещен на место, füge Überwachung hinzu 05 января 13:59:42 dcsc nscd[673]: 673 inotify Event für Datei »/etc/resolv.conf« игнорировать (дата существует) 05 января 20:52:32 dcsc nscd[673]: nss_ldap: повторное подключение к серверу LDAP... 05 января 20:52:32 dcsc nscd[673]: nss_ldap: повторное подключение к серверу LDAP ldap://dcsc.office.firma.com:7389после 1 попытки
мой libnss-ldap.conf является дебианским файлом по умолчанию, а не созданным шаблоном univention …
что это за pkg? я могу просто переустановить это?
root@dcsc:/mnt# univention-certificate check -name $(hostname -f) Сертификат "dcsc.office.firma.com" с серийным номером 01 недействителен (отозван) Сертификат "dcsc.office.firma.com" с серийным номером 02 действителен Сертификат "dcsc.office.firma.com" с серийным номером 14 недействителен (отозван)
Будет ли
ucr фиксирует /etc/libnss-ldap.conf
правильно?
пмхан #8 Попробуйте ucr commit /etc/libnss-ldap.conf
повторно создать этот файл из его шаблона /etc/univention/templates/files/etc/libnss-ldap.conf
, который является частью пакета univention-пам
. Вы можете переустановить его, выполнив apt-get {--re,}install univention-pam
, если вы случайно удалили какой-либо файл.
Это может привести к ошибке для conf-файлов ниже /etc/
, так как dpkg
не восстановит их при удалении; в этом случае сделайте что-то вроде этого:
cd "${TMPDIR:-/tmp}" apt-get скачать univention-pam dpkg -x univention-pam_*_all.deb ./x/ cp ./x/etc/univention/templates/files/etc/libnss-ldap.conf /etc/univention/templates/files/etc/libnss-ldap.conf rm -rf univention-pam_*_all.deb ./x
Вы должны проверить, почему этот файл не обрабатывается UCR, и есть ли другие файлы, в которых наш механизм шаблонов UCR не работает. Правильно ли установлены и настроены пакеты
univention-pam
и univention-base-files
?
Вы можете запустить ucr commit
без каких-либо дополнительных аргументов для повторного создания всех файлов , что может привести к отключению вас от компьютера, поскольку это также вызывает перенастройку сети.
Меня немного беспокоит ваш последний сертификат 14
был отозван. Насколько я знаю, «списки отозванных сертификатов» (crl) не используются в UCS, но убедитесь, что ваш /etc/univention/ssl/$FQHN/cert.pem
соответствует /etc/univention/ssl/ucsCA/ certs/02.pem
, а не …/14.pem
Вы также должны проверить, почему ldap://TM01-DC02.office.firma.com:7389
не работает, например. какой сертификат он использует и действителен ли он; обе следующие команды должны работать:
univention-ldapsearch -H ldap://TM01-DC02.office.firma.com:7389-s основание univention-ldapsearch -H ldap://dcsc.office.firma.com:7389 -s base
Поскольку sshd
использует разделение привилегий, что усложняет отладку, попробуйте переключить пользователя, используя su
это:
su -s /bin/bash -c 'su Administrator' Nobody
Для ssh
и PAM проверяют права доступа к файлам:
# ls -ld /etc/pam_ldap.conf /etc/pam_ldap.secret /etc/machine.secret -rw------- 1 root root 20 янв 6 01:07 /etc/machine.secret -rw-r--r-- 1 root root 583 18 ноября 11:28 /etc/pam_ldap.conf lrwxrwxrwx 1 корень корень 19база //p;T;q' /etc/pam_ldap.conf)" \ -s основание
1 Нравится
Лаки #9Еще раз большое спасибо @pmhahn, особенно в связи с праздничным днем
отсутствующие пакеты, где переустановлены, теперь libnss-ldap.conf выглядит намного лучше (настроено по шаблону)
все мои univention-ldapsearch не удалось с
ldap_start_tls: не удается связаться LDAP-сервер (-1)
root@dcsc:~# su -s /bin/bash -c 'администратор su' никто Пароль: bash: Kann die Prozessgruppe des Terminals nicht setzen (21370).: Unpassender IOCTL (I/O-Control) für das Gerät bash: Keine Job Steuerung в dieser Shell. Администратор@dcsc:/root$
работает…
права доступа к файлам установлены правильно
и сертификаты действительны
openssl x509 -in /etc/univention/ssl/dcsc/cert.pem --issuer_hash --subject_hash -noout d9cfc7df 779e7d56 OpenSSL x509база //p;T;q' /etc/pam_ldap.conf)" \ > -s база DN: dc=офис, dc=фирма, dc=com округ Колумбия: офис univentionObjectType: контейнер/постоянный ток krb5RealmName: OFFICE.FIRMA.COM nisДомен: office.firma.com связанный домен: office.firma.com univentionPolicyReference: cn=настройки по умолчанию,cn=pwhistory,cn=users,cn=polici es, dc = офис, dc = фирма, dc = ком univentionPolicyReference: cn = пользователи по умолчанию, cn = настройки администратора, cn = пользователи, cn = poli cies, dc = офис, dc = фирма, dc = ком univentionPolicyReference: cn=UCS 4.0,cn=desktop,cn=policies,dc=office,dc=firma,dc=com класс объекта: верхний класс объекта: krb5Realm класс объекта: унивентионполициреференс класс объекта: nisDomainObject объектный класс: доменный связанный объект объектный класс: домен объектный класс: univentionBase класс объекта: univentionObject объектный класс: msGPO msGPOLink: [LDAP://cn={E3FCC602-B559-43F7-A805-485A72E6A7FD},cn=политики,cn=sy ствол,DC=офис,DC=фирма,DC=com;0][LDAP://cn={EE351F7D-7A02-4592-B48F-FA69545 5CC8C},cn=policies,cn=system,DC=office,DC=firma,DC=com;0][LDAP://CN={31B2F34 0-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=Система,DC=офис,DC=фирма,DC=c om;0][LDAP://CN={256D85C6-D75E-4A40-85C0-2AC14D87D74A},CN=Policies,CN=System, DC=офис,DC=фирма,DC=com;0] root@dcsc:~#
1 Нравится
Лаки #10 теперь он полностью облажался…
если я делаю
univention-ldapsearch я получаю результаты
если я делаю univention-ldapsearch -base я получаю
root@dcsc:~# univention-ldapsearch -base # расширенный LDIF # # LDAPv3 # baseс поддеревом области видимости # фильтр: (objectclass=*) # запрос: ВСЕ # # результат поиска поиск: 3 результат: 34 Неверный синтаксис DN текст: неверный DN # числоОтветов: 1
1 Нравится
пейхерт #11 «ase» не является допустимым base-dn для параметра «-b»
Возможно, вы имели в виду univention-ldapsearch -s base
univention-ldapsearch-H ldap://TM01-DC02.
office.firma.com:7389-s база
вы абсолютно правы —- mea culpa—
Пробовал
univention-ldapsearch-база
, что, конечно, неверно
при использовании команды правильно показывает
univention-ldapsearch -H ldap://TM01-DC02.office.firma.com:7389 -s base ldap_bind: неверные учетные данные (49)
и на PDC ist работает
root@dcsc:/etc/univention/ssl# univention-ldapsearch -H ldap://dcsc.office.firma.com:7389-s основание # расширенный LDIF # # LDAPv3 # база(по умолчанию) с областью действия baseObject # фильтр: (objectclass=*) # запрос: ВСЕ # # office.firma.com DN: dc=офис, dc=фирма, dc=com округ Колумбия: офис univentionObjectType: контейнер/постоянный ток krb5RealmName: OFFICE.FIRMA.COM nisДомен: office.firma.com связанный домен: office.firma.com univentionPolicyReference: cn=настройки по умолчанию,cn=pwhistory,cn=users,cn=policies,dc=office,dc=firma,dc=com univentionPolicyReference: cn=пользователи по умолчанию,cn=admin-settings,cn=users,cn=policies,dc=office,dc=firma,dc=com univentionPolicyReference: cn=UCS 4. 0,cn=desktop,cn=policies,dc=office,dc=firma,dc=com класс объекта: верхний класс объекта: krb5Realm класс объекта: унивентионполициреференс класс объекта: nisDomainObject объектный класс: доменный связанный объект объектный класс: домен объектный класс: univentionBase класс объекта: univentionObject объектный класс: msGPO msGPOLink: [LDAP://cn={E3FCC602-B559-43F7-A805-485A72E6A7FD},cn=policies,cn=system,DC=office,DC=firma,DC=com;0][LDAP://cn={EE351F7D-7A02-4592-B48F-FA695455CC8C},cn =policies,cn=system,DC=office,DC=firma,DC=com;0][LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC= office,DC=firma,DC=com;0][LDAP://CN={256D85C6-D75E-4A40-85C0-2AC14D87D74A},CN=Policies,CN=System,DC=office,DC=firma,DC=com ;0] # результат поиска поиск: 3 результат: 0 успех # числоОтветов: 2 # количество записей: 1
1 Нравится
pmhahn №13 Хорошо, что теперь работает на dcsc
. Но все же странно, что некоторые пакеты не правильно установились или даже удалились. Возможно, вы захотите просмотреть
/var/log/apt/history.log
и /var/log/apt/term.log
, чтобы узнать, что пошло не так.
Так что следующий взгляд на tm01-dc02
:
при использовании команды правильно показывает
univention-ldapsearch -H ldap://TM01-DC02.office.firma.com:7389 -s base ldap_bind: неверные учетные данные (49)
Думаю, они принадлежат к одному и тому же домену
- . Является ли один из них Primary (
domaincontroller_master
)? - какую системную роль играет другая система? Запустите
ucr и получите сервер/роль
.
Вы также должны запустить univention-check-join-status
на tm01-dc02
. Я предполагаю, что эта система не является вашей основной, и что-то не так с механизмом репликации.
1 Нравится
моузлы №14Привет, pmhahn,
Я получаю
id: «Администратор»: нет такого пользователя
, поэтому, насколько я понимаю, PAM не может общаться с LDAP.
Как я могу это исправить или узнать подробности, относящиеся к этой проблеме?
Моя основная проблема: никто больше не может войти в WebGUI. Только SSH по-прежнему позволяет изменить конфигурацию сервера.
Я также пробовал некоторые из других упомянутых вами тестов:
ldapsearch -x -D "uid=Администратор,cn=users,$(ucr get ldap/base)" -w 'MY_ADMIN_PW' uid=Администратор 1.1 # расширенный LDIF # # LDAPv3 # base(по умолчанию) с поддеревом области видимости # filter: uid=Администратор # запрос: 1.1 # # Администратор, пользователи, hitcons.intranet DN: uid = администратор, cn = пользователи, dc = hitcons, dc = интранет # результат поиска поиск: 2 результат: 0 успех # числоОтветов: 2 # количество записей: 1
$ статус sudo systemctl nscd.service nscd.service — демон кэширования службы имен Загружено: загружено (/lib/systemd/system/nscd.service; включено; предустановка поставщика: включена) Активно: активно (работает) с 02.11.2022 14:49:29 CET; 1 день 4 часа назад Процесс: 812 ExecStart=/usr/sbin/nscd (code=exited, status=0/SUCCESS) Основной PID: 816 (nscd) Заданий: 21 (лимит: 4915) Память: 21,7 Мб Группа CG: /system.slice/nscd.service └─816 /usr/sbin/nscd 03 ноября, 19:00:02 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: Неверные учетные данные 03 ноября 19:00:02 ucs-1755 nscd[816]: nss_ldap: переподключение к серверу LDAP (ожидание 1 секунда)... 03 ноября, 19:00:03 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные 03 ноября, 19:00:03 ucs-1755 nscd[816]: nss_ldap: не удалось найти сервер LDAP — сервер недоступен 03 ноября, 19:09:05 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.
hitcons.intranet:7389: неверные учетные данные 03 ноя 19:09:05 ucs-1755 nscd[816]: nss_ldap: переподключение к серверу LDAP... 03 ноября, 19:09:05 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные 03 ноября 19:09:05 ucs-1755 nscd[816]: nss_ldap: повторное подключение к серверу LDAP (ожидание 1 секунда)... 03 ноября, 19:09:06 ucs-1755 nscd[816]: nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные 03 ноября, 19:09:06 ucs-1755 nscd[816]: nss_ldap: не удалось найти сервер LDAP — сервер недоступен 9сервер/роль moozles:
nss_ldap: не удалось выполнить привязку к серверу LDAP ldap://ucs-1755.hitcons.intranet:7389: неверные учетные данные nss_ldap: переподключение к серверу LDAP (ожидание 1 секунда)...
nscd
не удалось подключиться к вашему серверу LDAP.
Является ли
ucs-1755.
основным UCS (мастером DC)?hitcons.intranet:7389
Можно ли разрешить это имя через
хостов getent ucs-1755.hitcons.intranet
?Можете ли вы пропинговать хост?
ping -c 5 ucs-1755.hitcons.intranet
?Проверить
/etc/libnss-ldap.conf
:
- Этот файл существует и не пуст? Файл должен принадлежать
messagebug:root
и иметь разрешения0440
, например. только для чтения для пользователя и группы.- Соответствует ли
uri ldap://...
имени вашего первичного/главного?- Сделать оба
rootbindn cn=..
иbinddn cn=…
совпадают с выводомucr get ldap/hostdn
?- Связывает ли
bindpw …
содержимое/etc/machine.secret
?- Если нет: запустите
ucr commit /etc/libnss-ldap.conf
, чтобы заново создать этот файл. После этого выполнитеперезапуск systemctl nscd.
.service
- В противном случае: Можно ли вместе использовать эти учетные данные для подключения к LDAP, например.
ldapsearch -xLLLo ldif-wrap=no -H ldap://ucs-1755.hitcons.intranet:7389-D "$(ucr получить ldap/hostdn)" -y /etc/machine.secret -b "$(ucr получить ldap/hostdn)" -s base
- Если это не сработает, содержимое локального файла
/etc/machine.secret
может больше не соответствовать тому, что хранится в LDAP на первичном/главном. Если вы знаете его, вы можете записать его с помощьюecho -n 'SECRET' >/etc/machine.secret
в этот файл; в противном случае
- Запишите содержимое
/etc/machine.secret
; упоминается как$PASS
далее- Запишите DN затронутой системы, например.
ucr получить ldap/hostdn
→$DN
- Получите роль сервера из вашей уязвимой системы, например.
ucr получить сервер/роль
→$ROLE
- Войдите в систему как Primary/Master как пользователь
root
и запуститеudm "computes/$ROLE"modify --dn "$DN" --set password="$PASS"
, чтобы установить пароль в LDAP на то же значение в настоящее время в/etc/machine.