Samba периодически теряет членство в домене

[fogary]

Система: FreeBSD 10.3-RELEASE-p11
Установлена samba43-4.3.13_1
Самба настроена как член домена (контроллер домена на Windows Server 2012).

Проблема такая: после получения билетика керберос и введением в домен, все хорошо - шары на Самбе доступны.
Но через семь дней, Самба теряет членство в домене и шары отваливаются. Приходится повторять все заново - получать билет и присоединять к домену.

Как можно решить эту проблему?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LBV]

Код: Выделить всё

net ads info

и

Код: Выделить всё

klist

что показывают когда теряется членство?

[snorlov]

не знаю не знаю, у меня та же самба, правда домен 2003-тий и проблем нет...

[fogary]

Код: Выделить всё

net ads info

и

Код: Выделить всё

klist

что показывают когда теряется членство?

Посмотрю когда опять отвалится. Так-то тикет действителен в течении 10 часов после получения, так что он обычно уже бывает просрочен.

Если выполнить

Код: Выделить всё

net ads testjoin

то выдает ошибку вида:

Код: Выделить всё

kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed

[snorlov]

klist у меня тоже показывает, что просрочен, а вот

Код: Выделить всё

net ads testjoin

говорит что Ok... Вы вообще-то как первоначально конфигурировали самбу, я через

Код: Выделить всё

samba-tool

с соответствующими ключами

[kharkov_max]

Была такая же проблема, что не делал не помогало. Хотя по настройкам был феншуй. А вот после обновлениям до freebsd11, с теми же конфигами все заработало...

[fogary]

В очередной раз это случилось. Показывает так:

Код: Выделить всё

# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@DOMAIN.RU

  Issued                Expires        Principal
Mar  1 01:15:16 2017  >>>Expired<<<  krbtgt/DOMAIN.RU@DOMAIN.RU

# net ads info
LDAP server: 192.168.0.2
LDAP server name: X11.DOMAIN.RU
Realm: DOMAIN.RU
Bind Path: dc=DOMAIN,dc=RU
LDAP port: 389
Server time: Thu, 09 Mar 2017 08:56:20 MSK
KDC server: 192.168.0.2
Server time offset: 0

# net ads testjoin
kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed
kerberos_kinit_password HOST$@DOMAIN.RU failed: Preauthentication failed
Join to domain is not valid: Logon failure

За совет про freebsd11- спасибо, попробую.

[kharkov_max]

Обновление до 11 не факт что поможет ...
Но в любом варианте, если есть возможность обновляйтесь, хуже не будет ...

Скорее всего борода где то в системном конфиге, который у меня с обновлением обновился.
Я так и не понял в итоге что это было ...

По Вашему klist у меня была такая же х..ня

[snorlov]

У человека 2012-тый, там в политиках может быть запрещены какие-нибудь протоколы, типа 56-битное шифрование или же что-то похожее, вполне возможно надо в керберосе добавить какое-нибудь шифрование или наооборот убрать...

[fogary]

Сделал как советуют в статье "Samba Member Server Troubleshooting" на SambaWiKi.

Создал файл krb5.keytab:

Код: Выделить всё

net ads keytab create -U Administrator

Добавил в smb.conf строки:

Код: Выделить всё

dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
winbind refresh tickets = Yes

Прошло больше недели, пока не отваливается.