Проблема | Возможная причина | Способы решения |
|---|---|---|
Ошибка при запуске скрипта установки install.sh «error obtaining MAC configuration for user «aeca»» | У пользователя postgres нет прав на чтение БД атрибутов конфиденциальности | Для предоставление дополнительных прав пользователю postgres выполните команды: sudo usermod -a -G shadow postgressudo setfacl -d -m u:postgres:r /etc/parsec/macdbsudo setfacl -R -m u:postgres:r /etc/parsec/macdbsudo setfacl -m u:postgres:rx /etc/parsec/macdb |
Заблокированы кнопки выпуска сертификатов | Истёк срок действия лицензии или исчерпан лимит доступных для выпуска сертификатов | Проверьте в окне «О программе» срок действия лицензии и количество доступных для выпуска сертификатов (см. п. 3.1) |
Прекращение установки ПО или обновление АеСА | 1. Нехватка аппаратных ресурсов | Произведите оценку ресурса вашего ПК в соответствии с требованием к аппаратным ресурсам, указанным в первой части Руководства администратора |
2. Не корректная установка или отсутствие программного компонента, указанного в требовании Проверьте наличие установленного ПО согласно разделу 3 Руководство администратора RU.АЛДЕ.03-01.020-01 32. Также проверьте и при необходимости переключите текущую версию java-компонентов, выполнив команды: sudo update-alternatives --config javasudo update-alternatives --config javaсsudo update-alternatives --config javap | ||
Нет подключения к ресурсной системе | 1. Включен протокол TLS | Измените настройку конфигурационного файла контроллера домена /etc/samba/smb.conf, добавив в раздел [global]: ldap server require strong auth = no |
2. Проверить подключение к контроллеру домена Samba | Проверьте подключение к контроллеру домена, используя инструмент ldapsearch: - получение списка пользователей ldapsearch -D "Administrator@pki-test.local" -w "Qwerty1234" -b "DC=pki-test,DC=local" -H "ldap://192.168.111.148" "(objectCategory=user)"- получение списка компьютеров ldapsearch -D "Administrator@pki-test.local" -w "Qwerty1234" -b "DC=pki-test,DC=local" -H "ldap://192.168.111.148" "(objectCategory=computer)"- получение списка групп безопасности ldapsearch -D "Administrator@pki-test.local" -w "Qwerty1234" -b "DC=pki-test,DC= pki-test " -H "ldap://192.168.111.148" "(objectCategory=group)"где: Administrator@pki-test.local – имя администратора домена; Qwerty1234 – пароль администратора домена; pki-test, pki-test – доменное имя; 192.168.111.148 – ip-адрес контроллера домена. В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с ldap-сервером и он отвечает на запросы. | |
3. Проверить подключение к контроллеру домена ALD PRO | Проверьте подключение к контроллеру домена, используя инструмент ldapsearch: - получение списка пользователей ldapsearch -D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" -w "Qwerty1234" -b "dc=domain,dc=local" -H "ldap://192.168.0.10" "(objectclass=x-ald-user)"- получение списка компьютеров ldapsearch -D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" -w "Qwerty1234" -b "dc=domain,dc=local" -H "ldap://192.168.0.10" "(objectclass=nshost)"- получение списка групп безопасности ldapsearch -D "uid=admin,cn=users,cn=accounts,dc=domain,dc=local" -w "Qwerty1234" -b "dc=domain,dc=local" -H "ldap://192.168.0.10" "(objectclass=ipausergroup)"где: admin – имя администратора домена; users, accounts Qwerty1234 – пароль администратора домена; domain, local – доменное имя; 192.168.111.148 – ip-адрес контроллера домена. В ответ на запрос вы должны получить список объектов, чтобы убедиться, что установлено соединение с ldap-сервером и он отвечает на запросы. | |
Вход в интерфейс eCA-VA с выпущенным сертификатом невозможен в браузере Chromium | Браузер Chromium не поддерживает сертификаты с алгоритмом шифрования ECDSA512 | Использовать другой браузер |
Вход в интерфейс eCA-VA невозможен в браузере Firefox. Ошибка SEC_ERROR_BAD_SIGNATURE | Проблема возникает при наличии в хранилище сертификатов ОС сертификата ЦС с аналогичным SDN издателю сертификата веб-сервера. Она связана с алгоритмом проверки сертификата веб-сервера браузером Firefox для решения уязвимости, связанной с подлогом серверного сертификата: 1. Firefox получает сертификат веб-сервера от сервера 2. После этого выполняет поиск в хранилище сертификатов ОС сертификата ЦС по SDN издателя сертификата 3. И далее выполняет проверку цепочки по открытым ключам | 1. Проверьте состав сертификатов доверенных ЦС в хранилище ОС 2. В случае несоответствия установите сертификат издателя сертификата веб-сервера |
Невозможно подключиться к токену для выпуска сертификата после установки JC-WebClient. Сообщение «ПО JCWebClient не установлено» | Требуется разрешить ПО JC-WebClient доступ к ресурсу | 1. В адресную строку браузера введите: https://localhost:24738/admin/token_manager.html 2. Во всплывающем окне предупреждения браузера подтвердите действия. |
Пустой файл шаблонов по завершению работы скрипта mscs2aeca.ps1экспорта шаблонов MSCS | Требуется настройка tls | - Откройте Powershell от имени администратора и задайте версию протокола безопасности, выполнив команду: [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 |
Периодическая остановка или падение службы aecava.service | Недостаток оперативной памяти | 1. Проверьте потребление оперативной памяти на хосте с помощью команды top: - в MiB Mem значение total – это общий объем оперативной памяти; - в MiB Mem значение free – это свободная оперативная память; - в строке таблицы USER=aeca значение в колонке RES – это потребляемая ЦВ оперативная память. Для корректной работы ЦВ сумма free и RES должна быть не менее 8 Гб (см. 2.2). 2. Если полученное значение меньше 8 Гб, то при исчерпании свободной оперативной памяти oom-killer останавливает ЦВ. В данном случае рекомендуется проанализировать состав стороннего ПО на хосте и его потребление памяти, например, с помощью команд top или htop. 3. После этого следует либо добавить необходимое количество оперативной памяти, либо удалить с хоста стороннее ПО, освободив этим оперативную память. В итоге для ЦВ должно быть доступно не менее 8 Гб оперативной памяти (см. 2.2). |
Периодически на ЦВ статус сервиса OCSP – «Ошибка CRL» | Остановка воркера, который запускает проверку CRL | Выполнить перезапуск службы aecava.service. Для настройки автоматического перезапуска службы aecava.service с помощью создания cron-задачи следует выполнить следующие шаги: 1. Создать скрипт restart_service.sh, содержащий исходный код из п. 5.1, Приложение 5. Скрипты настройки перезапуска eCA-VA по расписанию; 2. При необходимости изменить расписание перезапуска службы aecava.service, изменив в скрипте значение параметра CRON_SCHEDULE (по умолчанию установлена ежедневная перезагрузка в 00:00); 3. Запустить созданный скрипт: sudo bash restart_service.shДля удаления созданной cron-задачи следует выполнить следующие шаги: 1. Создать скрипт uninstal-cron-restart.sh, содержащий исходный код из п. 5.2, Приложение 5. Скрипты настройки перезапуска eCA-VA по расписанию; 2. Запустить созданный скрипт: sudo bash uninstal-cron-restart.sh |