падает winbind

[mymymy]

wiz111 прошу по возможности досконально и пошагово описать переход к твоему варианту.с момента деинстала портов, каких именно, конфигов и до окончательно рабочего варианта. Заранее спасибо

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[wiz111]

Ну вроде я всё что мог описал тут http://forum.lissyara.su/viewtopic.php? ... 35#p128369
просто сменил версию опенлдапа и все переставил в том порядке как написанно и конфиги к портам тамже

[mymymy]

wiz111 хорошо, начинаю тоже ту же процедуру.Просьба не запускать тему при всплытии каких-либо проблем

[wiz111]

хорошо, постараюсь отписываться в случае чего нового

[mymymy]

убил опенлдап24,поставил 23. пересобрал самбу, сквид и сквидгуард не трогал..2е суток,пока работает ..

[opt1k]

у меня вот такая хрень в логах винбинда:

Код: Выделить всё

  Could not receive trustdoms
[2009/01/10 23:20:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/10 23:25:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 04:06:00, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Can't contact LDAP server
[2009/01/11 09:40:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 09:45:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 09:50:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 09:55:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 14:12:00, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Can't contact LDAP server
[2009/01/11 20:10:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 20:15:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 20:20:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/11 20:25:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/12 00:18:00, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Can't contact LDAP server
[2009/01/12 06:40:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/12 06:45:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/12 06:50:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/12 06:55:00, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/01/12 10:24:00, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Can't contact LDAP server

что скажете? это нормально?

Ещё у меня такая проблема: делаю рестарт винбинда, какое то время всё работает нормально, авторизовалка сквида пускает только тех кого я затащил в нужную группу. Через какое-то время(обычно проявляется утром следующего дня) сквид начинает пускать даже тех кого нету в группах. Что подскажете?

[wiz111]

Ещё у меня такая проблема: делаю рестарт винбинда, какое то время всё работает нормально, авторизовалка сквида пускает только тех кого я затащил в нужную группу. Через какое-то время(обычно проявляется утром следующего дня) сквид начинает пускать даже тех кого нету в группах. Что подскажете?

Cкорее всего что-то не так в конфиге сквида первым делом смотреть в сторону acl-ей должно быть нечто вроде такого:

Код: Выделить всё

acl InternetUsers proxy_auth REQUIRED
http_access allow InternetUsers
http_access deny all

насчет первого ничего сказать не могу (

[opt1k]

собрал heimdal после чего попытался собрать самбу, компиляция вываливается с ошибкой

Код: Выделить всё

libsmb/clikrb5.c:129: error: dereferencing pointer to incomplete type

гугление дало что ошибка вылезает из-за heimdal'a, вопрос, вы в каком порядке порты собирали?

[wiz111]

heimdal собирал в конце, что судя по всему не особо нужно, т.к. многие утверждают что он есть в системе(сам не уточнял) по кр мере в 7-й ветке,
попробуйте снести heimdal(либо krb5) и собрать самбу, если не поможет, то есть ещё вариант как у меня было изначально сделано, когда обновлял самбу(ещё давно) она ругалась, тогда сделал cd /usr/ports/security/krb5 && make (или make install не помню уже )
потом перешёл в порт самбы , сделал make KRB5_HOME=/usr/local , и потом её установил.
тут есть немного
http://www.opennet.ru/openforum/vsluhfo ... /1664.html
и наткнулся ещё на одну интересную ссылку
http://www.freebsd.org/cgi/query-pr.cgi?pr=118326

[mymymy]

заинтересовало вот это в логах выше :

libads/ldap_utils.c:ads_do_search_retry_internal(115) ads reopen failed after error Can't contact LDAP server

У себя замечал тоже. С чего бы он перестает видеть лдап сервер?

[opt1k]

такое выдавать может запросто, может сеть валиться, может ещё что
вчера пересобрал всё, вроде пока без ошибок.

[wiz111]

Отписываю как обещал.

Упал сквид , а винбинд остался !!!

все аутентификаторы(а их 50 штук *) оказались заняты, и что странно через полчаса после окончания рабочего дня.

* 2009/01/19 18:20:12| helperStatefulOpenServers: Starting 50 'ntlm_auth' processes

видел такое и раньше, скорее всего откуда-то флудит авторизация или ребята чет мутили с сетью, я к тому времени уже уехал (у нас порядка 300-450 местных юзверей и штуки 4 дочерних прокси, для которых мы parent-ы хотя они видимо в др хелпере авторизируются там ещё 30 для тех кто не умеет ntlm), может кто из профи знает куда копать(читай соотношение пользователей к ntlm_auth процессам), в прошлый раз просто увеличил кол-во аутентификаторов как и написанно в логе.

Вообще относительно винбинда наверн знак хороший, что падает не он, хотя и неожиданный момент

Код: Выделить всё

2009/01/19 17:31:56| WARNING: All ntlmauthenticator processes are busy.
2009/01/19 17:31:56| WARNING: 336 pending requests queued
2009/01/19 17:31:56| Consider increasing the number of ntlmauthenticator processes in your config file.
2009/01/19 17:35:18| client_side_request.cc(825) redirecting body_pipe 0x295978b0*2 from request 0x38659d08 to 0x3865a190
2009/01/19 17:35:18| client_side_request.cc(825) redirecting body_pipe 0x295978b0*1 from request 0x3865a190 to 0x38659d08
2009/01/19 17:36:39| client_side_request.cc(825) redirecting body_pipe 0x2959790c*2 from request 0x3865e588 to 0x3865d7f0
2009/01/19 17:36:40| client_side_request.cc(825) redirecting body_pipe 0x2959790c*1 from request 0x3865e588 to 0x3865e100
2009/01/19 17:37:04| client_side_request.cc(825) redirecting body_pipe 0x2959790c*2 from request 0x37e956a8 to 0x37e95b30
2009/01/19 17:37:41| client_side_request.cc(825) redirecting body_pipe 0x29597968*2 from request 0x37e97660 to 0x37e97f70
2009/01/19 17:37:41| client_side_request.cc(825) redirecting body_pipe 0x29597968*2 from request 0x37e97ae8 to 0x37e97f70
2009/01/19 17:39:16| storeDirWriteCleanLogs: Starting...
2009/01/19 17:39:16| WARNING: Closing open FD  349
2009/01/19 17:39:16|     65536 entries written so far.
2009/01/19 17:39:16|    131072 entries written so far.
2009/01/19 17:39:17|    196608 entries written so far.
2009/01/19 17:39:17|    262144 entries written so far.
2009/01/19 17:39:17|    327680 entries written so far.
2009/01/19 17:39:17|   Finished.  Wrote 369970 entries.
2009/01/19 17:39:17|   Took 0.74 seconds (502712.15 entries/sec).
FATAL: Too many queued ntlmauthenticator requests
Squid Cache (Version 3.0.STABLE11): Terminated abnormally.

[mymymy]

у меня пока работает. видимо у тебя частный случай,судя по характеру проблемы

[opt1k]

да у меня тоже в данный момент всё норм, уже с неделю, но в лог винбинда постоянно ошибки падают.

[Name]

Тоже самое. Перешел с openldap-client 2.4 на openldap-client 2.3
heimdal не стояло

Пересобрал все. Сижу жду.

[lucky_777]

стоял openldap-client-2.4 - winbindd падал, сменил на openldap-client-2.3 перестал падать.

Версии ПО:

samba-3.0.32_1,1 A free SMB and CIFS client and server for Unix
openldap-client-2.3.43 Open source LDAP client implementation
heimdal-1.0.1 A popular BSD-licensed implementation of Kerberos 5

[Морская Сова]

как вариант - после обновления SAMBA надо чистить ее кэш в /var/cache/samba/*
почистил кэш
перезапустил windbind
и все заработало.

[Tabu13]

/var/cache/samba/
странно, у меня FreeBSD такой папки нет... Где кэш самбы тогда?

[Tabu13]

Опишите как корректнее переустановить openldap-client с 2.4 на 2.3 ?
Просто make deinstall, а затем переписать в ports старую версию клиента и make install ? Самба при этом со сквидом не развалятся?

[Name]

я прописал в make.conf версию 23 и пересобирал все
на всякий случай

[Tabu13]

я прописал в make.conf версию 23 и пересобирал все
на всякий случай

Объясните новичку, где именно нужно прописать, чтобы ставился openldap23-client, а ни 24 при инсталляции Самбы?

[Name]

Код: Выделить всё

/etc/make.conf
WITH_OPENLDAP_VER=  23

примерно так.... но в случае чего я не виноват )

[Tabu13]

Спасибо!
Уже сделал всему make deinstall, затем собрал и установил из портов openldap-client23. Потом пересобрал все остальное - схватился 23 ldap, настройки всех программ сохранились. 2-й день (тьфу-тьфу-тфу) работает все нормально.