Kerberos ticket, как же правильно его обновлять?

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-20 1:21:35

Собственно возник вопрос, а как правильно обновлять билет kerberos и автоматизировать этот процесс, чтобы не делать каждый день kinit?
ну вот и сказочке конец, кто слушал, тот молодец.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение skeletor » 2011-01-20 18:06:45

Никак. Каждый раз ты должен получать заново билет.
Кстати, а зачем тебе это? Если для самбы в домене винды, то билет нужен только для ввода в домен. Потом он не нужен.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-20 18:27:39

Дела в том что через 3-5 дней или после перезапуска клетки Squid начинает активно у всех запрашивать пароль для доступа к прокси, а как только сделаешь ему kini и пароль учетки, то все нормально, снова начинает всех прозрачно пускать, я так понимаю что пропадает доступ к dc серверу
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение skeletor » 2011-01-23 18:07:18

Очень странно. У меня настроен типы авторизации ntlm, basic и всё нормально работает. Какой у тебя тип авторизации?

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-23 18:34:47

и ntlm и basic, первычный конечно ntlm
вот он и отлетает через время.
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение skeletor » 2011-01-24 10:56:23

Может с домен трабла какая-то?

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-24 13:58:00

С доменом проблем нету, но вот в /var/log/message есть вот такое:

Jan 24 12:30:30 proxy winbindd[11748]: rpc_api_pipe: Remote machine dc1.second.ua pipe \NETLOGON fnum 0x4005returned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
Jan 24 12:30:40 proxy winbindd[11748]: [2011/01/24 12:30:40, 0] libsmb/clientgen.c:cli_receive_smb(111)
Jan 24 12:30:40 proxy winbindd[11748]: Receiving SMB: Server stopped responding
Jan 24 12:30:50 proxy winbindd[11748]: [2011/01/24 12:30:50, 0] libsmb/clientgen.c:cli_receive_smb(111)
Jan 24 12:30:50 proxy winbindd[11748]: Receiving SMB: Server stopped responding
~

Подозреваю что где-то здесь трабла, при этом сам dc1 всегда доступен и сбоев в его работе нету.
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение skeletor » 2011-01-24 14:03:27

Может проблема с самбой? Давай сюда конфиг.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-24 16:01:55

Собственно воть.

Код: Выделить всё

[root@proxy /]# grep -v -E "^;|^$|^#" /etc/samba/smb.conf
[global]
   workgroup = second
   password server = dc1.second.ua, dc2.second.ua
   realm = second.UA
   security = ads
   idmap uid = 16777216-33554431
   idmap gid = 16777216-33554431
   template shell = /bin/false
   winbind use default domain = true
   winbind cache time = 900
   winbind offline logon = false
   winbind offline logon = true
   winbind refresh tickets = true

        server string = Samba Server Version %v
        log level = 10
        log file = /var/log/samba/%m.log
        max log size = 500
        passdb backend = tdbsam
        wins support = yes
        wins server = 192.168.0.3 192.168.0.4
        load printers = yes
        cups options = raw

[homes]
        comment = Home Directories
        browseable = no
        writable = yes
[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes
[root@proxy /]#
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение skeletor » 2011-01-24 16:11:11

А чего такие большие значения

Код: Выделить всё

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
?
UID/GID не должен вроде бы превышать 65535. У меня так:
У меня так:

Код: Выделить всё

idmap uid = 10000-20000
idmap gid = 10000-20000

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-24 18:50:46

ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-01-25 15:37:19

Сейчас порыл дальше, так как ведется детальное логирование -D10 в winbind, должны были быть логи во время возникновения этих событий, но как оказалось логов то нету.
Делаю вывод такой: логи пишутся почему-то winbind только с какого-то по какой-то момент, логов во время возникновения проблем почему-то нету, сам winbind запущен, скорее всего проблема именно в нем самом и что-то с ним происходит.
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: Kerberos ticket, как же правильно его обновлять?

Непрочитанное сообщение InventoR » 2011-02-03 14:36:50

Вопрос решился, не много по другому.
Обновил самбу и дальше все как маслу пошло.
ну вот и сказочке конец, кто слушал, тот молодец.