headers
Piviul | 11 Oct 2011 11:17
Picon
Favicon

debian e winbind

Ciao a tutti, ho un piccolo problema. Ho un server debian squeeze membro
di un dominio samba che autentica tramite winbind che spesso,
spessissimo all'avvio non ne vuole sapere di autenticare. Nei log trovo
qualcosa come:
> [2011/10/11 08:32:51.535561,  1] smbd/service.c:678(make_connection_snum)
>   create_connection_server_info failed: NT_STATUS_ACCESS_DENIED

se però sul server riavvio winbind tutto torna a funzionare.

Qualcuno ha riscontrato lo stesso problema o ha idea da cosa possa
essere dovuto?

Ciao

Piviul
Permalink | Reply |
headers
Paolo Sala | 11 Oct 2011 11:22
Picon
Favicon

Re: debian e winbind

Ho dimenticato di dire che utilizzo la versione di samba predefinita su
debian squeeze: 3.5.6

Ciao e grazie ancora

Piviul
Permalink | Reply |
headers
Natale Titotto | 11 Oct 2011 11:46
Picon

Re: debian e winbind

Il 11/10/2011 11:17, Piviul ha scritto:
> Ciao a tutti, ho un piccolo problema. Ho un server debian squeeze membro
> di un dominio samba che autentica tramite winbind che spesso,
> spessissimo all'avvio non ne vuole sapere di autenticare. Nei log trovo
> qualcosa come:
>> [2011/10/11 08:32:51.535561,  1] smbd/service.c:678(make_connection_snum)
>>   create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
> 
> se però sul server riavvio winbind tutto torna a funzionare.
> 
> Qualcuno ha riscontrato lo stesso problema o ha idea da cosa possa
> essere dovuto?
> 

nel mio piccolo e artigianale: anni fa ho avuto un problema affine con
winbind su un server membro di dominio che si rifiutava di autenticare
utenti aggiunti sul PDC. Riavviando winbind sul server membro le cose
andavano a posto. Quindi problema di sincronizzazione automatica,
probabilmente legata a qualche parametro temporale che non sono riuscito
a individuare.

Soluzione provvisoria: cron che a mezzanotte e con gli utenti a nanna
riavviava winbind.

Soluzione definitiva: oggi tutto il dominio autentica su openldap e
winbind non c'e' piu'.

my 2 cents

--

--
(Continue reading)

Permalink | Reply |
headers
Paolo Sala | 11 Oct 2011 12:36
Picon
Favicon

Re: debian e winbind

Natale Titotto scrisse in data 11/10/2011 11:46:
> [...]
> Soluzione definitiva: oggi tutto il dominio autentica su openldap e
> winbind non c'e' piu'.
>   
A parte che non posso passare ad ldap perché purtroppo il dominio non lo
gestisco io, mi sto chiedendo se però prima di passare ad ldap hai
almeno aperto un bug report.

Per aggiungere qualcosa ho notato che se disabilito winbind logon cache
il problema viene maggiormente alla luce: winbind in realtà non risolve
né gli utenti (wbinfo -u non risponde un bel nulla) né i gruppi finché
non effettuo un restart di winbind.

Ciao

Piviul
Permalink | Reply |
headers
Paolo Sala | 11 Oct 2011 12:44
Picon
Favicon

Re: debian e winbind

Paolo Sala scrisse in data 11/10/2011 12:36:
> Per aggiungere qualcosa ho notato che se disabilito winbind logon cache
> il problema viene maggiormente alla luce: winbind in realtà non risolve
> né gli utenti (wbinfo -u non risponde un bel nulla) né i gruppi finché
> non effettuo un restart di winbind.
>   
Fa lo stesso anche su samba 3.5.11... mi sa che dovrò aprire un bug report.

Ciao

Piviul
Permalink | Reply |
headers
Natale Titotto | 11 Oct 2011 12:45
Picon

Re: debian e winbind

Il 11/10/2011 12:36, Paolo Sala ha scritto:
> Natale Titotto scrisse in data 11/10/2011 11:46:
>> [...]
>> Soluzione definitiva: oggi tutto il dominio autentica su openldap e
>> winbind non c'e' piu'.
>>   
> A parte che non posso passare ad ldap perché purtroppo il dominio non lo
> gestisco io, mi sto chiedendo se però prima di passare ad ldap hai
> almeno aperto un bug report.

non l'ho aperto perche':
- il motivo del passaggio non riguardava winbind
- il winbind che dava problemi non era aggiornato per varie limitazioni
del server sulle quali non mi dilungo

> Per aggiungere qualcosa ho notato che se disabilito winbind logon cache
> il problema viene maggiormente alla luce: winbind in realtà non risolve
> né gli utenti (wbinfo -u non risponde un bel nulla) né i gruppi finché
> non effettuo un restart di winbind.

la butto li' anche se sara' sicuramente superfluo: nscd spento, vero?

--

-- 
nat
Permalink | Reply |
headers
Silvio Fabi - NBS srl | 11 Oct 2011 12:55
Picon

Re: debian e winbind

Io ho risolto così, ho fatto un cron come segue:

02 7,13,18 * * * root  /usr/local/samba/bin/net rpc join -S <PDC-NAME> 
-U Administrator%<password>

Questo cron tre volta al giorno riforza la relazione di trust tra il 
server member e il PDC.

Così funziona senza che lo riavviii.

Ciao,
     Silvio Fabi

-------- Messaggio originale --------
Oggetto: Re: [Samba-it] debian e winbind
Mittente: Paolo Sala <piviul@...>
A: Lista italiana utenti Samba <samba-it@...>
Data: 11/10/2011 12.36
> Natale Titotto scrisse in data 11/10/2011 11:46:
>> [...]
>> Soluzione definitiva: oggi tutto il dominio autentica su openldap e
>> winbind non c'e' piu'.
>>
> A parte che non posso passare ad ldap perché purtroppo il dominio non lo
> gestisco io, mi sto chiedendo se però prima di passare ad ldap hai
> almeno aperto un bug report.
>
> Per aggiungere qualcosa ho notato che se disabilito winbind logon cache
> il problema viene maggiormente alla luce: winbind in realtà non risolve
> né gli utenti (wbinfo -u non risponde un bel nulla) né i gruppi finché
(Continue reading)

Permalink | Reply |
headers
Natale Titotto | 11 Oct 2011 13:00
Picon

Re: debian e winbind

Il 11/10/2011 12:55, Silvio Fabi - NBS srl ha scritto:

> 02 7,13,18 * * * root  /usr/local/samba/bin/net rpc join -S <PDC-NAME>
> -U Administrator%<password>
> 
> Questo cron tre volta al giorno riforza la relazione di trust tra il
> server member e il PDC.
> 
> Così funziona senza che lo riavviii.
> 

e non butta giu' i client attivi?

--

-- 
nat
Permalink | Reply |
headers
Paolo Sala | 11 Oct 2011 14:07
Picon
Favicon

Re: debian e winbind

Silvio Fabi - NBS srl scrisse in data 11/10/2011 12:55:
> Io ho risolto così, ho fatto un cron come segue:
>
> 02 7,13,18 * * * root  /usr/local/samba/bin/net rpc join -S <PDC-NAME>
> -U Administrator%<password>
Ho provato ma non funziona. Devo per forza riavviare winbind (oppure un
force-reload).

Piviul
Permalink | Reply |
headers
Paolo Sala | 11 Oct 2011 15:38
Picon
Favicon

Re: debian e winbind

Credo di aver risolto. In smb.conf avevo password server=*; ora invece
ho inserito il FQD del PDC e riabilitato winbind offline logon. Appena
avviato non sempre si riesce ad accedere alle shares ma basta aspettare
un po' (1 minuto al massimo) che il server torna ad autenticare.

...se Simo (o anche qualcun altro) volesse spiegarci questa magia!

Grazie

Piviul
Permalink | Reply |
headers
NdK | 13 Oct 2011 18:22
Picon
Gravatar

Re: debian e winbind

On 11/10/2011 15:38, Paolo Sala wrote:
> Credo di aver risolto. In smb.conf avevo password server=*; ora invece
Per avere attiva quell'opzione devi avere il DNS configurato a puntino. 
Se non usi AD devi sbatterti per farlo in manuale.
> ho inserito il FQD del PDC e riabilitato winbind offline logon. Appena
> avviato non sempre si riesce ad accedere alle shares ma basta aspettare
> un po' (1 minuto al massimo) che il server torna ad autenticare.
Probabilmente gli ci vuole un attimino per ottenere un TGT.

BYtE,
  Diego.
Permalink | Reply |

Gmane