Обновление билетов Kerberos

[dreamer538]

Подскажите, пожалуйста, как автоматически обновлять билеты Kerberos? Настроил samba с авторизацией в АД по статье на этом сайте, все работает нормально, только когда билет просрочивается - у всех озеров пропадает доступ к самбе (авторизация не проходит). Причем это происходит не сразу. В момент глюка в списке пользователей (смотрю в мц - в расширенных аттрибутах) отсутствуют пользователи из АД. После kinit - получаю новый билет, все опять начинает работать... на сутки-2 максимум. Каждый раз длительность работы до 1го глюка разная.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

у меня сами как-то обновляются...

[dreamer538]

точно обновляются, или продолжают работать со статусом expired?
klist -v:

Код: Выделить всё

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: dreamer@<OFFICE.DOMAIN>
    Cache version: 4

Server: krbtgt/OFFICE.<DOMAIN>@OFFICE.<DOMAIN>
Ticket etype: arcfour-hmac-md5, kvno 2
Auth time:  Sep 20 01:48:55 2009
End time:   Sep 20 08:28:45 2009 (expired)
Renew till: Sep 27 01:48:55 2009
Ticket flags: forwardable, proxiable, renewable, initial, pre-authenticated
Addresses: IPv4:192.168.11.11

[Alex Keda]

Код: Выделить всё

filez1# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: akeda@MOSKB.LOCAL

  Issued           Expires        Principal
Feb 29 12:47:11  >>>Expired<<<  krbtgt/MOSKB.LOCAL@MOSKB.LOCAL
filez1#   

истекают. но - работает ))

[Alex Keda]

Код: Выделить всё

nsksrv# klist
klist: No ticket file: /tmp/krb5cc_0
nsksrv#  

даже так. и всё равно работает ))

[dreamer538]

А после смены пароля в винде на истекшем билете работает?

[dreamer538]

может, просто в крон добавить kinit -R

[Alex Keda]

а незнаю... я три года пасс виндовый не менял

[dreamer538]

а у меня стоит принудиловка в политиках - 40 дней пароля и нах ) и 24 неповторяющихся )

[Alex Keda]

у нас тоже.
тока мне надоело и я себе это отменил

[princeps]

Это всё потому, что у вас винда не работает с никсовым керберосом

[princeps]

А, сорри, не посмотрел сначала, что это вы наоборот, фрёй из АД билеты тащите.

[snorlov]

Дык вроде в smb.conf есть опция

Код: Выделить всё

 winbind resresh tickets = yes

[reLax]

Код: Выделить всё

*/59    *       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1

[dreamer538]

УПД проблемы: оказывается она кроется не в обновлении билетов, а в падении winbindd. Сначала недосмотрел

Код: Выделить всё

[2009/09/21 00:01:15,  1] winbindd/winbindd_group.c:getgrgid_recv(1015)
  could not convert gid 1000 to sid
Assertion failed: (r != NULL), function ldap_parse_result, file error.c, line 272.
[2009/09/21 16:30:00,  0] lib/fault.c:fault_report(40)
  ===============================================================
[2009/09/21 16:30:00,  0] lib/fault.c:fault_report(41)
  INTERNAL ERROR: Signal 6 in pid 9621 (3.3.3)
  Please read the Trouble-Shooting section of the Samba3-HOWTO
[2009/09/21 16:30:00,  0] lib/fault.c:fault_report(43)

  From: http://www.samba.org/samba/docs/Samba3-HOWTO.pdf
[2009/09/21 16:30:00,  0] lib/fault.c:fault_report(44)
  ===============================================================
[2009/09/21 16:30:00,  0] lib/util.c:smb_panic(1673)
  PANIC (pid 9621): internal error
[2009/09/21 16:30:00,  0] lib/util.c:log_stack_trace(1777)
  BACKTRACE: 20 stack frames:
   #0 0x12f575 <smb_panic+133> at /usr/local/sbin/winbindd
   #1 0x11842a <dump_core_setup+1594> at /usr/local/sbin/winbindd
   #2 0xbf7fffb4
   #3 0x2090198a <abort+106> at /lib/libc.so.7
   #4 0x208e8e16 <__assert+86> at /lib/libc.so.7
   #5 0x207ecdaf <ldap_parse_result+863> at /usr/local/lib/libldap-2.4.so.6
   #6 0x3e3ea0 <ads_clear_service_principal_names+2336> at /usr/local/sbin/winbindd
   #7 0x3e4259 <ads_do_search_all_args+105> at /usr/local/sbin/winbindd
   #8 0x3f089c <ads_atype_map+524> at /usr/local/sbin/winbindd
   #9 0x3f14ba <ads_do_search_retry+58> at /usr/local/sbin/winbindd
   #10 0x3f158d <ads_search_retry+77> at /usr/local/sbin/winbindd
   #11 0x8e627 <winbindd_wins_byip+29959> at /usr/local/sbin/winbindd
   #12 0x73557 <nss_get_info_cached+11495> at /usr/local/sbin/winbindd
   #13 0x65a02 <get_sam_group_entries+418> at /usr/local/sbin/winbindd
   #14 0x66188 <winbindd_getgrent+808> at /usr/local/sbin/winbindd
   #15 0x5e2d8 <request_error+2312> at /usr/local/sbin/winbindd
   #16 0x5e3e8 <request_error+2584> at /usr/local/sbin/winbindd
   #17 0x5ecdb <winbind_check_sigterm+651> at /usr/local/sbin/winbindd
   #18 0x5fc63 <main+3667> at /usr/local/sbin/winbindd
   #19 0x5d539 <_start+137> at /usr/local/sbin/winbindd
[2009/09/21 16:30:00,  0] lib/fault.c:dump_core(231)
  dumping core in /var/log/samba/cores/winbindd

Пока написал небольшой скрипт в крон для запуска:

Код: Выделить всё

#!/usr/bin/perl

if (open F1,"/var/run/winbindd.pid")
{
    $line=<F1>;
    chop $line;
    close F1;
    $exists = kill 0, $line;
    if ($exists) {print "WINBIND EXISTS\n";exit;}
}
print "WINBIND DOES NOT EXISTS. Running\n";

$cmd="/usr/local/sbin/winbindd -s /usr/local/etc/smb.conf";
`$cmd`

Но это не решение проблемы. Заранее спасибо за помощь!

[snorlov]

Замените версию ldap'а с 2.4 на 2.3 ....

[dreamer538]

пересборка всего лдапозависимого понадобится?

[skeletor]

Сам столкнулся с таким чудом. Вообщем керберос нужен только вначале, что бы ввести комп в домен. Далее он вовсе ненужен. Проблемы при обновлении билетов такие, что оно каждый раз запрашивает пароль принципиала. То есть, автоматом обновлять невозможно. Я в конце даже снёс керберос, работает так, без него.

[dreamer538]

это наверное если пароли в АД не меняются?

[princeps]

если вы используете на сквиде аутентификацию ntlm, то керберос тогда не нужен, конечно.

[dreamer538]

Использую в самбе. После замены лдапа на 2.3 вылеты прекратились. Спасибо. Кстати, здесь же нужен керберос?