Samba+Ad (Expired при запросе klist)

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dmins
рядовой
Сообщения: 42
Зарегистрирован: 2009-11-10 14:13:56

Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение dmins » 2012-06-15 10:39:26

Доброе время суток, уважаемые!

Собственно есть связка:

Squid+LDAP+Postfix.
Все связано и работает нормально, за одним исключением:

При выполнении команды

Код: Выделить всё

# klist

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: HQ-BSD0$@HQ.HOLDING.LOCAL

  Issued                     Expires                       Principal
Jun 15 09:34:37   Jun 15 19:34:35    krbtgt/HQ.HOLDING.LOCAL@HQ.HOLDING.LOCAL
Jun 15 09:34:37   Jun 15 19:34:35    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Jun 15 09:34:37   Jun 15 19:34:35    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Мы видим что все нормально, сертификат получен и действителен до 19:34.
НО, после 19:34 если выполнить команду Вижу следующее:

Код: Выделить всё

  Issued                     Expires                       Principal
Jun 15 09:34:37   >>EXPIRED<<    krbtgt/HQ.HOLDING.LOCAL@HQ.HOLDING.LOCAL
Jun 15 09:34:37   >>EXPIRED<<    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Jun 15 09:34:37   >>EXPIRED<<    ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Т.е. EXPIRED
Автоматически не продлевает.
Приходится делать

Код: Выделить всё

# ./samba restart 
Дабы все обновилось.

Вроде понятно описал, проблема наверняка известна, надеюсь поможете найти выход из положения.

Заранее спасибо.
Последний раз редактировалось f_andrey 2012-06-15 11:07:03, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения, и оформляйте его по человечески.
наше государство, нас же и е*ет...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dmins
рядовой
Сообщения: 42
Зарегистрирован: 2009-11-10 14:13:56

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение dmins » 2012-06-15 15:02:23

f_andrey, спасибо за поправку в виде вставки тегов.
Не понимаю одного - почему тему перенесли в раздел для начинающих, если вопрос более чем соответствует разделу для профи.
Судя по темам которые в разделе профи...

Тему не меняет, вопрос более чем актуален!
Подскажите куда хоть копать.
наше государство, нас же и е*ет...

Аватара пользователя
skeletor
майор
Сообщения: 2519
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение skeletor » 2012-06-15 15:54:24

А какой смысл выдавать тикет на определённый промежуток времени с бесконечным числом продлений? Да и ещё - вы пробовали проверить свои сервисы на работоспособность после того, как тикет expired? У меня работает squid+AD и тикет уже expired больше года назад, при этом всё работает, даже после ребута. Лично я пока понял следующее: если тикет expired, то это влияет на то, что вы не сможете добавить комп в домен, в остальном ограничения я не увидел.
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение sudo » 2012-06-15 20:56:43

Код: Выделить всё

# crontab -e

Код: Выделить всё

*    */1       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1  

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение sudo » 2012-06-15 21:14:57

dmins писал(а): Не понимаю одного - почему тему перенесли в раздел для начинающих, если вопрос более чем соответствует разделу для профи.
Судя по темам которые в разделе профи...
В разделе "профи" пишут избранные. А вторая твоя фраза была была "не бровь, а в глаз". Я тоже когда спросил про удаленный бэкап сервера, находящегося в работе круглосуточно, хотел понять - реально или нет, хоть пускай и с задержкой, мало ли чего не знаю, где мэйлдир достигает полтерабайта и изменения происходят ежесекундно, одни мне посоветовали tar, вторые rsync - видимо бэкапы давно не приходилось восстанавливать, третьи просто говорили "за тебя видимо сам сервер должен все сделать", и только 2 человека ответили по теме и показали правильный путь. Так что забей, это нормально :smile:

_skeletor
проходил мимо

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение _skeletor » 2012-06-15 22:07:23

sudo писал(а):

Код: Выделить всё

*    */1       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1  
Не подойдёт, так как kinit требует введения пароля, что в использовании Cron невозможно.

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение sudo » 2012-06-16 7:45:37

_skeletor писал(а):
sudo писал(а):

Код: Выделить всё

*    */1       *       *       *       root    /usr/bin/kinit --renew > /dev/null 2>&1  
Не подойдёт, так как kinit требует введения пароля, что в использовании Cron невозможно.
У меня китайская FreeBSD, в ней все возможно.

Билет просрочен как видим еще в мае...

Код: Выделить всё

[8:04 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires        Principal
May 11 09:49:51  >>>Expired<<<  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Вводим тупо. Не дает обновиться...

Оно и понятно почему - потому, что хоть иногда надо читать маны.
-R, --renew
Try to renew ticket. The ticket must have the `renewable' flag
set, and must not be expired.

Код: Выделить всё

[8:12 root@srv12]# kinit --renew
kinit: krb5_get_kdc_cred: KDC can't fulfill requested option
Возьмем новый билет и ставим флаг

Код: Выделить всё

[8:10 root@srv12]# kinit -p ALEX
ALEX@DOMAIN.LOCAL's Password: 
[8:10 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires          Principal
Jun 16 08:10:41  Jun 16 18:10:41  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[8:12 root@srv12]# kinit --renewable
ALEX@DOMAIN.LOCAL's Password:
Обновим билет пару раз для наглядности (прошу заметить, что никаких паролей не требуется)

Код: Выделить всё

[8:13 root@srv12]# kinit --renew
[8:13 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires          Principal
Jun 16 08:13:23  Jun 16 18:13:23  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[8:21 root@srv12]# kinit --renew
[8:21 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ALEX@DOMAIN.LOCAL

  Issued           Expires          Principal
Jun 16 08:21:11  Jun 16 18:21:11  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL

Особое внимание прошу обратить на время выдачи билетов и их время жизни. Кто сказал, что невозможно ?

Вы бы лучше другую мою ошибку заметили, что написав команду под рутом crontab -e в конфигурации cron'a я указал root, что возможно только при правке системного crontab :smile:

sudo
мл. сержант
Сообщения: 132
Зарегистрирован: 2011-02-05 10:54:11

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение sudo » 2012-06-16 8:00:43

А на пост, про то, что тикет не влияет на доступность сервера - это верно, как показывает практика.

Аватара пользователя
dmins
рядовой
Сообщения: 42
Зарегистрирован: 2009-11-10 14:13:56

Re: Samba+Ad (Expired при запросе klist)

Непрочитанное сообщение dmins » 2012-06-28 10:39:35

Спасибо за ответы.

Действительно, в статусе EXPIRED все прекрасно работает в данной связке.
По скольку авторизация перестала проходить после появления статуса EXPIRED, я посчитал что проблема именно в этом, как оказалось нет, проблема была в разнице во времени, offset 300 cекунд между фряхой и АД. Выполнил ntpdate dc0(имя к.д.), время синхронизировалось и все зашаталось ;)
наше государство, нас же и е*ет...