Страница 1 из 1
Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-15 10:39:26
dmins
Доброе время суток, уважаемые!
Собственно есть связка:
Squid+LDAP+Postfix.
Все связано и работает нормально, за одним исключением:
При выполнении команды
Код: Выделить всё
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: HQ-BSD0$@HQ.HOLDING.LOCAL
Issued Expires Principal
Jun 15 09:34:37 Jun 15 19:34:35 krbtgt/HQ.HOLDING.LOCAL@HQ.HOLDING.LOCAL
Jun 15 09:34:37 Jun 15 19:34:35 ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Jun 15 09:34:37 Jun 15 19:34:35 ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Мы видим что все нормально, сертификат получен и действителен до 19:34.
НО, после 19:34 если выполнить команду
Вижу следующее:
Код: Выделить всё
Issued Expires Principal
Jun 15 09:34:37 >>EXPIRED<< krbtgt/HQ.HOLDING.LOCAL@HQ.HOLDING.LOCAL
Jun 15 09:34:37 >>EXPIRED<< ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Jun 15 09:34:37 >>EXPIRED<< ldap/dc0.hq.holding.local@HQ.HOLDING.LOCAL
Т.е.
EXPIRED
Автоматически не продлевает.
Приходится делать
Дабы все обновилось.
Вроде понятно описал, проблема наверняка известна, надеюсь поможете найти выход из положения.
Заранее спасибо.
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-15 15:02:23
dmins
f_andrey, спасибо за поправку в виде вставки тегов.
Не понимаю одного - почему тему перенесли в раздел для начинающих, если вопрос более чем соответствует разделу для профи.
Судя по темам которые в разделе профи...
Тему не меняет, вопрос более чем актуален!
Подскажите куда хоть копать.
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-15 15:54:24
skeletor
А какой смысл выдавать тикет на определённый промежуток времени с бесконечным числом продлений? Да и ещё - вы пробовали проверить свои сервисы на работоспособность после того, как тикет expired? У меня работает squid+AD и тикет уже expired больше года назад, при этом всё работает, даже после ребута. Лично я пока понял следующее: если тикет expired, то это влияет на то, что вы не сможете добавить комп в домен, в остальном ограничения я не увидел.
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-15 20:56:43
sudo
Код: Выделить всё
* */1 * * * root /usr/bin/kinit --renew > /dev/null 2>&1
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-15 21:14:57
sudo
dmins писал(а):
Не понимаю одного - почему тему перенесли в раздел для начинающих, если вопрос более чем соответствует разделу для профи.
Судя по темам которые в разделе профи...
В разделе "профи" пишут избранные. А вторая твоя фраза была была "не бровь, а в глаз". Я тоже когда спросил про удаленный бэкап сервера, находящегося в работе круглосуточно, хотел понять - реально или нет, хоть пускай и с задержкой, мало ли чего не знаю, где мэйлдир достигает полтерабайта и изменения происходят ежесекундно, одни мне посоветовали tar, вторые rsync - видимо бэкапы давно не приходилось восстанавливать, третьи просто говорили "за тебя видимо сам сервер должен все сделать", и только 2 человека ответили по теме и показали правильный путь. Так что забей, это нормально
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-15 22:07:23
_skeletor
sudo писал(а):
Код: Выделить всё
* */1 * * * root /usr/bin/kinit --renew > /dev/null 2>&1
Не подойдёт, так как kinit требует введения пароля, что в использовании Cron невозможно.
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-16 7:45:37
sudo
_skeletor писал(а):sudo писал(а):
Код: Выделить всё
* */1 * * * root /usr/bin/kinit --renew > /dev/null 2>&1
Не подойдёт, так как kinit требует введения пароля, что в использовании Cron невозможно.
У меня китайская FreeBSD, в ней все возможно.
Билет просрочен как видим еще в мае...
Код: Выделить всё
[8:04 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ALEX@DOMAIN.LOCAL
Issued Expires Principal
May 11 09:49:51 >>>Expired<<< krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Вводим тупо. Не дает обновиться...
Оно и понятно почему - потому, что хоть иногда надо читать маны.
-R, --renew
Try to renew ticket. The ticket must have the `renewable' flag
set, and must not be expired.
Код: Выделить всё
[8:12 root@srv12]# kinit --renew
kinit: krb5_get_kdc_cred: KDC can't fulfill requested option
Возьмем новый билет и ставим флаг
Код: Выделить всё
[8:10 root@srv12]# kinit -p ALEX
ALEX@DOMAIN.LOCAL's Password:
[8:10 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ALEX@DOMAIN.LOCAL
Issued Expires Principal
Jun 16 08:10:41 Jun 16 18:10:41 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[8:12 root@srv12]# kinit --renewable
ALEX@DOMAIN.LOCAL's Password:
Обновим билет пару раз для наглядности (прошу заметить, что никаких паролей не требуется)
Код: Выделить всё
[8:13 root@srv12]# kinit --renew
[8:13 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ALEX@DOMAIN.LOCAL
Issued Expires Principal
Jun 16 08:13:23 Jun 16 18:13:23 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[8:21 root@srv12]# kinit --renew
[8:21 root@srv12]# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ALEX@DOMAIN.LOCAL
Issued Expires Principal
Jun 16 08:21:11 Jun 16 18:21:11 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Особое внимание прошу обратить на время выдачи билетов и их время жизни. Кто сказал, что невозможно ?
Вы бы лучше другую мою ошибку заметили, что написав команду под рутом
crontab -e в конфигурации cron'a я указал
root, что возможно только при правке системного crontab
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-16 8:00:43
sudo
А на пост, про то, что тикет не влияет на доступность сервера - это верно, как показывает практика.
Re: Samba+Ad (Expired при запросе klist)
Добавлено: 2012-06-28 10:39:35
dmins
Спасибо за ответы.
Действительно, в статусе EXPIRED все прекрасно работает в данной связке.
По скольку авторизация перестала проходить после появления статуса EXPIRED, я посчитал что проблема именно в этом, как оказалось нет, проблема была в разнице во времени, offset 300 cекунд между фряхой и АД. Выполнил ntpdate dc0(имя к.д.), время синхронизировалось и все зашаталось
