Я присоединил свой первый ящик Debian к Active Directory (2008 R2). Это работает, я могу войти в систему с учетными данными AD, просмотреть общие ресурсы Samba.
Проблема только в том, что кто-то заходит в систему через ssh (единственный способ авторизоваться на безголовых серверах). На получение подсказок уходит от 30 до 45 секунд, последующие входы в систему происходят немедленно в течение нескольких минут, затем снова требуется много времени для входа в систему (и так далее).
sudo.Структура AD довольно большая, на получение wbinfo -u, что составляет 365 тыс. записей.
Я отметил в журналах последовательность этих пар записей:
winbindd[3701]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
winbindd[3701]: [2014/03/31 11:00:38.393016, 0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
klist показывает правильный список, и /etc/krb.conf точно так, как указано в Самба вики.
The `/etc/samba/smb.conf` is quite standard:
[global]
realm = DOMAIN.EXAMPLE.COM
workgroup = DOMAIN
netbios name = MYDEBIAN
security = ADS
encrypt passwords = yes
wins server = adserver.example.com
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = no
winbind enum groups = no
winbind nested groups = false
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
winbind use default domain = yes
preferred master = no
valid users = @it.security
admin users = @it.security
printing = bsd
printcap name = /dev/null
Записи, связанные с входом в систему /etc/nsswitch.conf:
passwd: files winbind
group: files winbind
shadow: files
Вероятно, это неправильная конфигурация кеша?
Должен ли вход быть быстрым без кеширования (другими словами - неверна ли сама конфигурация входа и какой-то механизм кеширования просто помогает в моем случае, но скрывает реальную проблему?)
Проверьте свои /etc/krb5.conf файл, убедитесь, что вы установили следующие значения в
[libdefaults]
default_realm = DOMAIN.EXAMPLE.COM
[realms]
kdc = DC FQDN
admin_server = DC FQDN
[domain realm]
.domain.example.com = DOMAIN.EXAMPLE.COM
domain.example.com = DOMAIN.EXAMPLE.COM
Также в вашем smb.conf файл - добавьте следующее:
password server = DC IP or FQDN
См. Мой блог для более подробных инструкций: https://monklinux.blogspot.com/2017/09/how-to-samba-4-file-server-as-member.html
Задержка, о которой вы сообщили, 30–45 секунд, соответствует потенциальным проблемам с разрешением имен DNS. Убедитесь, что этот компьютер может разрешить полное доменное имя вашего сервера каталогов и что ему не нужно пытаться использовать полное доменное имя, сбой по таймауту, а затем откат к использованию IP.
Вы можете проверить это, просто выполнив эхо-запрос FQDN вашего сервера каталогов от этого проблемного клиента. Вы также можете использовать команду "host" для разрешения имен хостов без использования ICMP (в случае, если ICMP ограничен через брандмауэр или аналогичный):
# host domain.example.com
Если у вас есть проблемы с разрешением DNS, убедитесь, что этот компьютер настроен для поиска в правильном домене и что порядок серверов имен правильный (вероятно, сначала следует попробовать сервер имен каталогов, если это ваша предполагаемая цель, например ).
Что касается специфики этих конфигураций, действительно имеет значение, какая версия Debian у вас установлена - в более новых версиях для разрешения имен используется другая технология, чем в старых.