Kerberos ticket, как же правильно его обновлять?
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Kerberos ticket, как же правильно его обновлять?
Собственно возник вопрос, а как правильно обновлять билет kerberos и автоматизировать этот процесс, чтобы не делать каждый день kinit?
ну вот и сказочке конец, кто слушал, тот молодец.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: Kerberos ticket, как же правильно его обновлять?
Никак. Каждый раз ты должен получать заново билет.
Кстати, а зачем тебе это? Если для самбы в домене винды, то билет нужен только для ввода в домен. Потом он не нужен.
Кстати, а зачем тебе это? Если для самбы в домене винды, то билет нужен только для ввода в домен. Потом он не нужен.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
Дела в том что через 3-5 дней или после перезапуска клетки Squid начинает активно у всех запрашивать пароль для доступа к прокси, а как только сделаешь ему kini и пароль учетки, то все нормально, снова начинает всех прозрачно пускать, я так понимаю что пропадает доступ к dc серверу
ну вот и сказочке конец, кто слушал, тот молодец.
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: Kerberos ticket, как же правильно его обновлять?
Очень странно. У меня настроен типы авторизации ntlm, basic и всё нормально работает. Какой у тебя тип авторизации?
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
и ntlm и basic, первычный конечно ntlm
вот он и отлетает через время.
вот он и отлетает через время.
ну вот и сказочке конец, кто слушал, тот молодец.
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: Kerberos ticket, как же правильно его обновлять?
Может с домен трабла какая-то?
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
С доменом проблем нету, но вот в /var/log/message есть вот такое:
Jan 24 12:30:30 proxy winbindd[11748]: rpc_api_pipe: Remote machine dc1.second.ua pipe \NETLOGON fnum 0x4005returned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
Jan 24 12:30:40 proxy winbindd[11748]: [2011/01/24 12:30:40, 0] libsmb/clientgen.c:cli_receive_smb(111)
Jan 24 12:30:40 proxy winbindd[11748]: Receiving SMB: Server stopped responding
Jan 24 12:30:50 proxy winbindd[11748]: [2011/01/24 12:30:50, 0] libsmb/clientgen.c:cli_receive_smb(111)
Jan 24 12:30:50 proxy winbindd[11748]: Receiving SMB: Server stopped responding
~
Подозреваю что где-то здесь трабла, при этом сам dc1 всегда доступен и сбоев в его работе нету.
Jan 24 12:30:30 proxy winbindd[11748]: rpc_api_pipe: Remote machine dc1.second.ua pipe \NETLOGON fnum 0x4005returned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
Jan 24 12:30:40 proxy winbindd[11748]: [2011/01/24 12:30:40, 0] libsmb/clientgen.c:cli_receive_smb(111)
Jan 24 12:30:40 proxy winbindd[11748]: Receiving SMB: Server stopped responding
Jan 24 12:30:50 proxy winbindd[11748]: [2011/01/24 12:30:50, 0] libsmb/clientgen.c:cli_receive_smb(111)
Jan 24 12:30:50 proxy winbindd[11748]: Receiving SMB: Server stopped responding
~
Подозреваю что где-то здесь трабла, при этом сам dc1 всегда доступен и сбоев в его работе нету.
ну вот и сказочке конец, кто слушал, тот молодец.
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: Kerberos ticket, как же правильно его обновлять?
Может проблема с самбой? Давай сюда конфиг.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
Собственно воть.
Код: Выделить всё
[root@proxy /]# grep -v -E "^;|^$|^#" /etc/samba/smb.conf
[global]
workgroup = second
password server = dc1.second.ua, dc2.second.ua
realm = second.UA
security = ads
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
winbind use default domain = true
winbind cache time = 900
winbind offline logon = false
winbind offline logon = true
winbind refresh tickets = true
server string = Samba Server Version %v
log level = 10
log file = /var/log/samba/%m.log
max log size = 500
passdb backend = tdbsam
wins support = yes
wins server = 192.168.0.3 192.168.0.4
load printers = yes
cups options = raw
[homes]
comment = Home Directories
browseable = no
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
[root@proxy /]#
ну вот и сказочке конец, кто слушал, тот молодец.
- skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Re: Kerberos ticket, как же правильно его обновлять?
А чего такие большие значения
?
UID/GID не должен вроде бы превышать 65535. У меня так:
У меня так:
Код: Выделить всё
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
UID/GID не должен вроде бы превышать 65535. У меня так:
У меня так:
Код: Выделить всё
idmap uid = 10000-20000
idmap gid = 10000-20000
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
ну вот и сказочке конец, кто слушал, тот молодец.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
Сейчас порыл дальше, так как ведется детальное логирование -D10 в winbind, должны были быть логи во время возникновения этих событий, но как оказалось логов то нету.
Делаю вывод такой: логи пишутся почему-то winbind только с какого-то по какой-то момент, логов во время возникновения проблем почему-то нету, сам winbind запущен, скорее всего проблема именно в нем самом и что-то с ним происходит.
Делаю вывод такой: логи пишутся почему-то winbind только с какого-то по какой-то момент, логов во время возникновения проблем почему-то нету, сам winbind запущен, скорее всего проблема именно в нем самом и что-то с ним происходит.
ну вот и сказочке конец, кто слушал, тот молодец.
- InventoR
- ст. лейтенант
- Сообщения: 1344
- Зарегистрирован: 2006-12-10 19:43:25
- Контактная информация:
Re: Kerberos ticket, как же правильно его обновлять?
Вопрос решился, не много по другому.
Обновил самбу и дальше все как маслу пошло.
Обновил самбу и дальше все как маслу пошло.
ну вот и сказочке конец, кто слушал, тот молодец.