Samba, hol megy, hol nem megy

Linux-haladó

Sziasztok,

Adva van egy halozat amelyben a felhasznalok autentifikalasa Active Directoryval tortenik. Van egy gep amin Fedora Core 3 van es be van konfiguralva rajta egy Samba. A felhasznalok ssh-val lepnek be a gepre az ADs felhasznalo nevvel es jelszoval. Minden szepen mukodott mar tobb mint egy eve. Az utobbi idoben elkezdtek sirni, hogy nem lehet belepni a gepre. Mar egy hete keresem, hogy mi lehet az oka.

A gep a kovetkezoket produkalja: neha par percig be lehet lepni, aztan egy ideig nem, aztan megint igen es igy tovabb. Sem a Sambas gepen sem a Windows szerveren nem tortent semmifele modositas a konfiguracios allomanyokban. Ezen kivul meg van 20 gep amin Linux fut es az AD-bol autentifikalnak a felhasznalok minden gond nelkul. Vegig bongesztem a Googlet es mindent kiprobaltam amit ott talaltam, de semmi hatas (persze ez nem zarja ki, hogy rosszul kerestem, vagy epp azt nem olvastam el amit kellett volna :)).

Gyanakodtam mar a halozati kartyara is. Kicsereltem, semmi hatas. Kicsereltem a switchben a portot is ahova a gep dugva van.

A kovetkezo parancsok gond nelkul lefutnak:
wbinfo -u
wbinfo -t
net ads info
Az egyetlen ami neha nem ad eredmenyt az a:
getent passwd username

A logban ez van (messages):

Mar 8 14:06:20 eowyn sshd(pam_unix)[23597]: check pass; user unknown
Mar 8 14:06:20 eowyn sshd(pam_unix)[23597]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=rgpc1.maros.emte.ro
Mar 8 14:06:20 eowyn pam_winbind[23597]: pam_parse: unknown option; likeauth
Mar 8 14:06:20 eowyn pam_winbind[23597]: pam_parse: unknown option; nullok
Mar 8 14:06:20 eowyn pam_winbind[23597]: request failed: Wrong Password, PAM error was 7, NT error was NT_STATUS_WRONG_PASSWORD
Mar 8 14:06:20 eowyn pam_winbind[23597]: user `kbela' denied access (incorrect password or invalid membership)

Eowyn a gep neve, es kbela a felhasznalo nev amivel megprobaltam belepni.

A winbindd.log-ban:

[2006/03/13 13:50:18, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(161)
user 'kbela' does not exist

Meg egyszer hangsulyoznam, hogy semmifele konfiguracios allomany nem lett modositva es megis egyszer csak elindul, megy egy ideig aztan megint nem megy.

Talalkozott-e valaki ilyesmivel? Elore is koszonok barmilyen segitseget.

kbela

  • 1323 megtekintés

( Botond | 2006. 03. 13., h – 13:48 )

1. Hát ha az smb.conf 1 évig jó volt, akkor abban valószínűleg nincs hiba. Azért a netbios nevet, meg a "domain master=" tagot megnézném, hogy biztosan ki vannak-e töltve, nem használ-e a Samba default értékeket.

2. Az ilyen "hol megy a hálózaton valami, hol nem" jellegű problémák IP-cím ütközéssel is elő tudnak jönni, ennek is utánanézhetnél.

3. SELinux be van állítva? Ha volt mostanában frissítés, akkor okozhatott az is galibát. Próbáld ki "selinux=0" opcióval bútolni a gépet, hátha megjavul. Ha igen, de neked mégis kell a SELinux, akkor van néhány flag, amikkel lehet trükközni. Nem tudom, ezek FC3 alatt vannak-e már, és hogyan hívják őket, de ha ez lenne a problémád, akkor írjál még, és kiderítjük azoknak a flag-eknek a nevét, meg az értéküket.

( kbela | 2006. 03. 14., k – 07:56 )

Van egy kis fejlemeny. Ugyanugy viselkedik, de most mar "ra tudom beszelni" arra, hogy beengedjen.

Tehat a helyzet a kovetkezo: nem tudok belepni ssh-n (lokalisan sem) az AD felhasznalo nevvel. Ha megnezem a kovetkezo parancsot:

getent passwd kbela

nem kapok semmi valaszt. Kiadom a kovetkezo parancsot:

wbinfo -u | grep kbela

Valaszkent kiirja, hogy "kbela", ami normalis, tehat letezik a felhasznalo az AD-ben. Most megint

getent passwd kbela

Erre kiirja a megfelelo bejegyzest a kbela felhasznalora.

Ettol a pillanattol be tudok lepni, de nemcsak a kbela felhasznaloval hanem massal is. Nehany perc utan megint nem tudok belepni.

Amenyire en tudom a getent es a wbinfo parancsok csak egyszeru lekerdezo parancsok, vagy nem? Akkor most mi tortenik?

Szia!

Mit mutat a winbind logja ?
/var/log/samba/log.winbind (vagy hasonló helyen)

A windows-os DC eventlogját is érdemes megnézni

Fontos ads+samba használatnál: Az idő legyen szinkronizálva a DC-khez
(nézd meg nincsen-e a messages-ben "...failed: Clock skew too great"

Mindenképpen nézd meg nincs-e samba javítás a disztribúciódhoz.

A winbindd.log-ban ez van:

[2006/03/14 12:10:29, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(161)
user 'kbela' does not exist

Az ido nincs eltolodva, tudom, hogy 5 perc utan sir.

A bosszanto az, hogy neha megy, illetve ra tudom "beszelni", hogy menjen, de nem tudom "meggyozni", hogy ugy is maradjon.

Es tobb mint egy evig mukodott gond nelkul.

Hello
DNS szerver települt azota valamelyik gépre? Estleg a hitelesítést végző gépre? Ugyan nem vagyok otthon AD-s környezetben de tudvalevö hogy tartományok esetében illik egyeznie a netbios neveknek a dns-ben szereplö nevekkel, tartományi tag nelkül persze.
Szoval névfeloldás rendben?