Страница 1 из 1
винбинд не резолвит пользователей домена
Добавлено: 2009-05-22 7:34:27
evgen-star
Добрый день всем.
Настраиваю свой сервак соответственно статье
http://www.lissyara.su/?id=1808
Все делаю точь в точь, однако при вводе в домен вылетает след. ошибка
Код: Выделить всё
net ads join -U adm
adm's password:
[2009/05/22 11:20:55, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Response too big for UDP, retry with TCP
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
FreeBSD версии 7.1
конфиги самбы и кербероса идентичны статье
Кто знает что сделать?
Re: Samba. Проблема с вводом сервера в домен
Добавлено: 2009-05-22 8:10:02
cenix
Re: Samba. Проблема с вводом сервера в домен
Добавлено: 2009-05-22 12:18:44
evgen-star
Да, спасибо, ссылка помогла, но теперь всплыла другая проблема.
В домен сервак ввел, wbinfo -t, wbinfo -g - работают, а вот wbinfo -u отваливается по таймауту. Вот лог винбинда
Код: Выделить всё
[2009/05/22 16:08:59, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Time limit exceeded
[2009/05/22 16:08:59, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Time limit exceeded
[2009/05/22 16:09:44, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Time limit exceeded
[2009/05/22 16:09:44, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Time limit exceeded
[2009/05/22 16:10:29, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Time limit exceeded
[2009/05/22 16:10:29, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Time limit exceeded
[2009/05/22 16:11:14, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Timed out
[2009/05/22 16:11:14, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Timed out
[2009/05/22 16:11:59, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Time limit exceeded
[2009/05/22 16:11:59, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Time limit exceeded
Причем после wbinfo -u винбинд подвисает и wbinfo -t, wbinfo -g тоже перестают работать
Сразу оговорюсь, доменов у меня 8 штук, пользователей соответственно тоже дофига
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-15 17:04:29
emi
Не решилась проблема?
У меня та же проблема при отображении списка пользователей домена. Я так понимаю, что их просто слишком много.
Может кто-нибудь знает как заставить winbind смотреть в определенный OU, а не на весь лес?
Заранее благодарю ))
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 0:35:35
Alex Keda
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 9:26:40
Гость
Код: Выделить всё
wbinfo -g | wc -l
629
wbinfo -u | wc -l
Error looking up domain users
0
Тут как бы только групп 629, пользователей 3-4 тысячи, и число их постоянно растет (пару недель назад добавилось ~300, в течение месяца будет прибавка еще в ~300, через пару месяцев еще ~1500). Так что число такое нормальное и оно будет расти.
При этом если я задаю команду чтения пользователей только из моего домена, минуя трасты (wbinfo --domain=MY.LOCAL -u), он список пользователей выдает. В следствие этого могу сделать вывод, что он просто не может переварить такое число аккаунтов...
Я вчера еще не был подкован в вопросе, и запросил немного не то...
Все-таки интереснее было бы, чтобы winbind читал всех пользователей (и из трастов тоже). Для этого, видимо, ему необходимо увеличить таймаут ожидания списка. Сможете помочь с этим? Но возможность чтения только из определенного OU или DC все равно остается интерестной.
На данный момент команда wbinfo -u дает такие логи:
Код: Выделить всё
[2009/09/16 10:21:20, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Time limit exceeded
[2009/09/16 10:21:19, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Time limit exceeded
Заранее благодарен за помощь!
Нужны какие-то доболнительные данные?
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 10:26:11
Alex Keda
хм...
сервер, который отвечает - насколько быстр?
у меня были проблемы когда использовал медленную машину как контроллер, на хорошей проблем нет.
про таймаут не подскажу...
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 10:26:57
Alex Keda
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 10:27:57
Alex Keda
из другой конторы...
забавное совпадение
))
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 10:30:04
Alex Keda
в любом случае - полторы тыщщи моих винбинд обрабатывает доли секунды
Код: Выделить всё
$ time wbinfo -u >/dev/null
0,05 real 0,04 user 0,00 sys
чё-то у вас не так...
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 10:57:54
emishin
Код: Выделить всё
time wbinfo -g >/dev/null
real 0m41.811s
user 0m0.082s
sys 0m0.036s
У меня вот так. Действительно долго...
Контроллер домена на HP ProLiant DL360 G5, с производительностью там все в порядке.
Трастовые домены в Европе (Питер, Лондон и т.д.), может из-за этого?
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 10:58:58
emishin
lissyara писал(а):
а вот это странно....
А что странно, если не секрет? ))
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 11:29:30
emishin
Выкладываю на ваш суд. ))
cat /usr/local/etc/smb.conf | sed -e '/^$/d' -e '/^#/d' -e '/^;/d'
Код: Выделить всё
[global]
workgroup = DOMAINNAME
server string = servername
security = ADS
hosts allow = 10.18. 10.77. 10.83. 192.168.1. 192.168.2. 127.
load printers = yes
log file = /var/log/samba/log.%m
max log size = 50000
password server = DOMAINNAME.LOCAL
realm = DOMAINNAME.LOCAL
netbios name = SERVERNAME
winbind trusted domains only = no
allow trusted domains = no
winbind uid = 10000-2000000
winbind gid = 10000-2000000
winbind use default domain = yes
dns proxy = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
[homes]
comment = Home Directories
browseable = no
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
cat /etc/krb5.conf
Код: Выделить всё
[libdefaults]
default_realm = DOMAINNAME.LOCAL
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
DOMAINNAME.LOCAL = {
kdc = DOMAINNAME.LOCAL
admin_server = DOMAINNAME.LOCAL
}
[domain_realm]
.domainname.local = DOMAINNAME.LOCAL
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
Что-нибудь еще может?
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 15:27:56
Alex Keda
попробуйте заменить адресом, и если их несколько попорбовать поиграться адресами...
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-09-16 15:28:17
Alex Keda
emishin писал(а):lissyara писал(а):
а вот это странно....
А что странно, если не секрет? ))
у меня число групп как у вас
)
Re: винбинд не резолвит пользователей домена
Добавлено: 2009-10-05 13:34:14
emishin
В общем, изменил скрипт обращения Самс к Винбинду до такого вида:
cat /usr/local/share/sams/bin/getwbinfousers
#!/bin/sh
#STR=`$1/wbinfo -u --domain MYDOMAIN | sort`
STR=`$1/wbinfo -u --domain MYDOMAIN | sort`
echo $STR
Проблема и решена и нет, ибо:
1. По таймауту команда больше не отваливается и читает всех пользователей моего домена без проблем.
2. Если приедут в гости коллеги из трастового домена, не смогу их добавить к разрешениям Самс стандартными средствами, и не смогу сделать ntlm аутентификацию для них.
Жаль конечно, но хоть так.
Спасибо за статью, очень интерестная. ))