Samba периодически теряет членство в домене

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
fogary
рядовой
Сообщения: 16
Зарегистрирован: 2011-07-22 0:18:08

Samba периодически теряет членство в домене

Непрочитанное сообщение fogary » 2017-02-27 13:00:24

Система: FreeBSD 10.3-RELEASE-p11
Установлена samba43-4.3.13_1
Самба настроена как член домена (контроллер домена на Windows Server 2012).

Проблема такая: после получения билетика керберос и введением в домен, все хорошо - шары на Самбе доступны.
Но через семь дней, Самба теряет членство в домене и шары отваливаются. Приходится повторять все заново - получать билет и присоединять к домену.

Как можно решить эту проблему?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

LBV
ефрейтор
Сообщения: 60
Зарегистрирован: 2014-09-03 10:18:00

Samba периодически теряет членство в домене

Непрочитанное сообщение LBV » 2017-02-28 18:51:48

Код: Выделить всё

net ads info
и что показывают когда теряется членство?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Samba периодически теряет членство в домене

Непрочитанное сообщение snorlov » 2017-02-28 20:54:09

не знаю не знаю, у меня та же самба, правда домен 2003-тий и проблем нет...

fogary
рядовой
Сообщения: 16
Зарегистрирован: 2011-07-22 0:18:08

Samba периодически теряет членство в домене

Непрочитанное сообщение fogary » 2017-03-01 12:42:56

LBV писал(а):

Код: Выделить всё

net ads info
и что показывают когда теряется членство?
Посмотрю когда опять отвалится. Так-то тикет действителен в течении 10 часов после получения, так что он обычно уже бывает просрочен.

Если выполнить

Код: Выделить всё

net ads testjoin
то выдает ошибку вида:

Код: Выделить всё

kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Samba периодически теряет членство в домене

Непрочитанное сообщение snorlov » 2017-03-01 15:25:14

klist у меня тоже показывает, что просрочен, а вот

Код: Выделить всё

net ads testjoin
говорит что Ok... Вы вообще-то как первоначально конфигурировали самбу, я через

Код: Выделить всё

samba-tool
с соответствующими ключами

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Samba периодически теряет членство в домене

Непрочитанное сообщение kharkov_max » 2017-03-03 11:40:45

Была такая же проблема, что не делал не помогало. Хотя по настройкам был феншуй. А вот после обновлениям до freebsd11, с теми же конфигами все заработало...

fogary
рядовой
Сообщения: 16
Зарегистрирован: 2011-07-22 0:18:08

Samba периодически теряет членство в домене

Непрочитанное сообщение fogary » 2017-03-09 9:18:15

В очередной раз это случилось. Показывает так:

Код: Выделить всё

# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@DOMAIN.RU

  Issued                Expires        Principal
Mar  1 01:15:16 2017  >>>Expired<<<  krbtgt/DOMAIN.RU@DOMAIN.RU

# net ads info
LDAP server: 192.168.0.2
LDAP server name: X11.DOMAIN.RU
Realm: DOMAIN.RU
Bind Path: dc=DOMAIN,dc=RU
LDAP port: 389
Server time: Thu, 09 Mar 2017 08:56:20 MSK
KDC server: 192.168.0.2
Server time offset: 0

# net ads testjoin
kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed
kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed
Join to domain is not valid: Logon failure
За совет про freebsd11- спасибо, попробую.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Samba периодически теряет членство в домене

Непрочитанное сообщение kharkov_max » 2017-03-09 10:14:38

Обновление до 11 не факт что поможет ...
Но в любом варианте, если есть возможность обновляйтесь, хуже не будет ...

Скорее всего борода где то в системном конфиге, который у меня с обновлением обновился.
Я так и не понял в итоге что это было ...

По Вашему klist у меня была такая же х..ня

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Samba периодически теряет членство в домене

Непрочитанное сообщение snorlov » 2017-03-09 10:27:26

У человека 2012-тый, там в политиках может быть запрещены какие-нибудь протоколы, типа 56-битное шифрование или же что-то похожее, вполне возможно надо в керберосе добавить какое-нибудь шифрование или наооборот убрать...

fogary
рядовой
Сообщения: 16
Зарегистрирован: 2011-07-22 0:18:08

Samba периодически теряет членство в домене

Непрочитанное сообщение fogary » 2017-03-20 14:28:10

Сделал как советуют в статье "Samba Member Server Troubleshooting" на SambaWiKi.

Создал файл krb5.keytab:

Код: Выделить всё

net ads keytab create -U Administrator
Добавил в smb.conf строки:

Код: Выделить всё

dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind refresh tickets = Yes
Прошло больше недели, пока не отваливается.