винбинд не резолвит пользователей домена

[evgen-star]

Добрый день всем.
Настраиваю свой сервак соответственно статье http://www.lissyara.su/?id=1808
Все делаю точь в точь, однако при вводе в домен вылетает след. ошибка

Код: Выделить всё

 net ads join -U adm
adm's password:
[2009/05/22 11:20:55, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Response too big for UDP, retry with TCP
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
 

FreeBSD версии 7.1

конфиги самбы и кербероса идентичны статье

Кто знает что сделать?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[cenix]

Посмотрите это http://groups.google.com.ua/group/linux ... 68632de2a9

[evgen-star]

Да, спасибо, ссылка помогла, но теперь всплыла другая проблема.
В домен сервак ввел, wbinfo -t, wbinfo -g - работают, а вот wbinfo -u отваливается по таймауту. Вот лог винбинда

Код: Выделить всё

[2009/05/22 16:08:59, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Time limit exceeded
[2009/05/22 16:08:59, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Time limit exceeded
[2009/05/22 16:09:44, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Time limit exceeded
[2009/05/22 16:09:44, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Time limit exceeded
[2009/05/22 16:10:29, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Time limit exceeded
[2009/05/22 16:10:29, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Time limit exceeded
[2009/05/22 16:11:14, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Timed out
[2009/05/22 16:11:14, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Timed out
[2009/05/22 16:11:59, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Time limit exceeded
[2009/05/22 16:11:59, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Time limit exceeded

Причем после wbinfo -u винбинд подвисает и wbinfo -t, wbinfo -g тоже перестают работать

Сразу оговорюсь, доменов у меня 8 штук, пользователей соответственно тоже дофига

Код: Выделить всё

krb5-1.6.3_5 
samba-3.0.34,1 

[emi]

Не решилась проблема?

У меня та же проблема при отображении списка пользователей домена. Я так понимаю, что их просто слишком много.

Может кто-нибудь знает как заставить winbind смотреть в определенный OU, а не на весь лес?

Заранее благодарю ))

[Alex Keda]

много - это сколько?

Код: Выделить всё

filez1$ wbinfo -u | wc -l
    1562
filez1$   

[Гость]

Код: Выделить всё

wbinfo -g | wc -l
     629
wbinfo -u | wc -l
Error looking up domain users
       0

Тут как бы только групп 629, пользователей 3-4 тысячи, и число их постоянно растет (пару недель назад добавилось ~300, в течение месяца будет прибавка еще в ~300, через пару месяцев еще ~1500). Так что число такое нормальное и оно будет расти.

При этом если я задаю команду чтения пользователей только из моего домена, минуя трасты (wbinfo --domain=MY.LOCAL -u), он список пользователей выдает. В следствие этого могу сделать вывод, что он просто не может переварить такое число аккаунтов...

Я вчера еще не был подкован в вопросе, и запросил немного не то...

Все-таки интереснее было бы, чтобы winbind читал всех пользователей (и из трастов тоже). Для этого, видимо, ему необходимо увеличить таймаут ожидания списка. Сможете помочь с этим? Но возможность чтения только из определенного OU или DC все равно остается интерестной.

На данный момент команда wbinfo -u дает такие логи:

Код: Выделить всё

[2009/09/16 10:21:20, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Time limit exceeded
[2009/09/16 10:21:19, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Time limit exceeded

Заранее благодарен за помощь!

Нужны какие-то доболнительные данные?

[Alex Keda]

хм...
сервер, который отвечает - насколько быстр?
у меня были проблемы когда использовал медленную машину как контроллер, на хорошей проблем нет.
про таймаут не подскажу...

[Alex Keda]

Код: Выделить всё

filez1$ wbinfo -g | wc -l
     629
filez1$   

а вот это странно....

[Alex Keda]

Код: Выделить всё

mx# wbinfo -g | wc -l
      57
mx#   

из другой конторы...
забавное совпадение ))

[Alex Keda]

в любом случае - полторы тыщщи моих винбинд обрабатывает доли секунды

Код: Выделить всё

$ time wbinfo -u >/dev/null
        0,05 real         0,04 user         0,00 sys

чё-то у вас не так...

[emishin]

Код: Выделить всё

time wbinfo -g >/dev/null

real    0m41.811s
user    0m0.082s
sys     0m0.036s

У меня вот так. Действительно долго...

Контроллер домена на HP ProLiant DL360 G5, с производительностью там все в порядке.

Трастовые домены в Европе (Питер, Лондон и т.д.), может из-за этого?

[emishin]

Код: Выделить всё

filez1$ wbinfo -g | wc -l
     629
filez1$   

а вот это странно....

А что странно, если не секрет? ))

[emishin]

Выкладываю на ваш суд. ))

cat /usr/local/etc/smb.conf | sed -e '/^$/d' -e '/^#/d' -e '/^;/d'

Код: Выделить всё

 
[global]
   workgroup = DOMAINNAME
   server string = servername
   security = ADS

   hosts allow = 10.18. 10.77. 10.83. 192.168.1. 192.168.2. 127.
   load printers = yes
   log file = /var/log/samba/log.%m
   max log size = 50000
   password server = DOMAINNAME.LOCAL
   realm = DOMAINNAME.LOCAL
   netbios name = SERVERNAME
   winbind trusted domains only = no
   allow trusted domains = no
   winbind uid = 10000-2000000
   winbind gid = 10000-2000000
   winbind use default domain = yes
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
[homes]
   comment = Home Directories
   browseable = no
   writable = yes
[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = no
   guest ok = no
   writable = no
   printable = yes

cat /etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = DOMAINNAME.LOCAL
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
        DOMAINNAME.LOCAL = {
                kdc = DOMAINNAME.LOCAL
                admin_server = DOMAINNAME.LOCAL
        }

[domain_realm]
        .domainname.local = DOMAINNAME.LOCAL

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log

Что-нибудь еще может?

[Alex Keda]

Код: Выделить всё

password server = DOMAINNAME.LOCAL

попробуйте заменить адресом, и если их несколько попорбовать поиграться адресами...

[Alex Keda]

Код: Выделить всё

filez1$ wbinfo -g | wc -l
     629
filez1$   

а вот это странно....

А что странно, если не секрет? ))

у меня число групп как у вас )

[emishin]

В общем, изменил скрипт обращения Самс к Винбинду до такого вида:

cat /usr/local/share/sams/bin/getwbinfousers
#!/bin/sh

#STR=`$1/wbinfo -u --domain MYDOMAIN | sort`
STR=`$1/wbinfo -u --domain MYDOMAIN | sort`
echo $STR

Проблема и решена и нет, ибо:
1. По таймауту команда больше не отваливается и читает всех пользователей моего домена без проблем.
2. Если приедут в гости коллеги из трастового домена, не смогу их добавить к разрешениям Самс стандартными средствами, и не смогу сделать ntlm аутентификацию для них.

Жаль конечно, но хоть так.

Спасибо за статью, очень интерестная. ))