Samba+Ad (Expired при запросе klist)

[dmins]

Доброе время суток, уважаемые!

Собственно есть связка:

Squid+LDAP+Postfix.
Все связано и работает нормально, за одним исключением:

При выполнении команды

Код: Выделить всё

# klist

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: HQ-BSD0$@HQ.HOLDING.LOCAL

  Issued                     Expires                       Principal
Jun 15 09:34:37   Jun 15 19:34:35    krbtgt/HQ.HOLDING.LOCAL@HQ.HOLDING.LOCAL
Jun 15 09:34:37   Jun 15 19:34:35    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Jun 15 09:34:37   Jun 15 19:34:35    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL

Мы видим что все нормально, сертификат получен и действителен до 19:34.
НО, после 19:34 если выполнить команду

Код: Выделить всё

# klist

Вижу следующее:

Код: Выделить всё

  Issued                     Expires                       Principal
Jun 15 09:34:37   >>EXPIRED<<    krbtgt/HQ.HOLDING.LOCAL@HQ.HOLDING.LOCAL
Jun 15 09:34:37   >>EXPIRED<<    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Jun 15 09:34:37   >>EXPIRED<<    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL

Т.е. EXPIRED
Автоматически не продлевает.
Приходится делать

Код: Выделить всё

# ./samba restart 

Дабы все обновилось.

Вроде понятно описал, проблема наверняка известна, надеюсь поможете найти выход из положения.

Заранее спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[dmins]

f_andrey, спасибо за поправку в виде вставки тегов.
Не понимаю одного - почему тему перенесли в раздел для начинающих, если вопрос более чем соответствует разделу для профи.
Судя по темам которые в разделе профи...

Тему не меняет, вопрос более чем актуален!
Подскажите куда хоть копать.

[skeletor]

А какой смысл выдавать тикет на определённый промежуток времени с бесконечным числом продлений? Да и ещё - вы пробовали проверить свои сервисы на работоспособность после того, как тикет expired? У меня работает squid+AD и тикет уже expired больше года назад, при этом всё работает, даже после ребута. Лично я пока понял следующее: если тикет expired, то это влияет на то, что вы не сможете добавить комп в домен, в остальном ограничения я не увидел.

[sudo]

Код: Выделить всё

# crontab -e

Код: Выделить всё

*    */1       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1  

[sudo]

Не понимаю одного - почему тему перенесли в раздел для начинающих, если вопрос более чем соответствует разделу для профи.
Судя по темам которые в разделе профи...

В разделе "профи" пишут избранные. А вторая твоя фраза была была "не бровь, а в глаз". Я тоже когда спросил про удаленный бэкап сервера, находящегося в работе круглосуточно, хотел понять - реально или нет, хоть пускай и с задержкой, мало ли чего не знаю, где мэйлдир достигает полтерабайта и изменения происходят ежесекундно, одни мне посоветовали tar, вторые rsync - видимо бэкапы давно не приходилось восстанавливать, третьи просто говорили "за тебя видимо сам сервер должен все сделать", и только 2 человека ответили по теме и показали правильный путь. Так что забей, это нормально

[_skeletor]

Код: Выделить всё

*    */1       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1  

Не подойдёт, так как kinit требует введения пароля, что в использовании Cron невозможно.

[sudo]

Код: Выделить всё

*    */1       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1  

Не подойдёт, так как kinit требует введения пароля, что в использовании Cron невозможно.

У меня китайская FreeBSD, в ней все возможно.

Билет просрочен как видим еще в мае...

Код: Выделить всё

[8:04 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires        Principal
May 11 09:49:51  >>>Expired<<<  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

Вводим тупо. Не дает обновиться...

Оно и понятно почему - потому, что хоть иногда надо читать маны.

-R, --renew
Try to renew ticket. The ticket must have the `renewable' flag
set, and must not be expired.

Код: Выделить всё

[8:12 root@srv12]# kinit --renew
kinit: krb5_get_kdc_cred: KDC can't fulfill requested option

Возьмем новый билет и ставим флаг

Код: Выделить всё

[8:10 root@srv12]# kinit -p ALEX
ALEX@DOMAIN.LOCAL's Password: 
[8:10 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires          Principal
Jun 16 08:10:41  Jun 16 18:10:41  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[8:12 root@srv12]# kinit --renewable
ALEX@DOMAIN.LOCAL's Password:

Обновим билет пару раз для наглядности (прошу заметить, что никаких паролей не требуется)

Код: Выделить всё

[8:13 root@srv12]# kinit --renew
[8:13 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires          Principal
Jun 16 08:13:23  Jun 16 18:13:23  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[8:21 root@srv12]# kinit --renew
[8:21 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires          Principal
Jun 16 08:21:11  Jun 16 18:21:11  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

Особое внимание прошу обратить на время выдачи билетов и их время жизни. Кто сказал, что невозможно ?

Вы бы лучше другую мою ошибку заметили, что написав команду под рутом crontab -e в конфигурации cron'a я указал root, что возможно только при правке системного crontab

[sudo]

А на пост, про то, что тикет не влияет на доступность сервера - это верно, как показывает практика.

[dmins]

Спасибо за ответы.

Действительно, в статусе EXPIRED все прекрасно работает в данной связке.
По скольку авторизация перестала проходить после появления статуса EXPIRED, я посчитал что проблема именно в этом, как оказалось нет, проблема была в разнице во времени, offset 300 cекунд между фряхой и АД. Выполнил ntpdate dc0(имя к.д.), время синхронизировалось и все зашаталось