В настоящее время у нас есть сервер NAC, настроенный для аутентификации в Samba4 AD с помощью утилиты ntlm_auth, и мы хотели бы сделать его более устойчивым к сбоям в сети.
В настоящее время, когда NAC теряет связь с Samba4 Active Directory, каждая попытка входа в систему терпит неудачу. Раньше такая ситуация была приемлемой, но теперь, когда наша топология сети изменилась, она стала еще более проблематичной.
Я добавил "winbind offline logon = true" в smb.conf NAC и Samba4 AD согласно документации Samba.
Чтобы протестировать автономную аутентификацию, я добавил два правила iptables, которые сбрасывают весь трафик на сервер Samba4 Active Directory.
Когда я пытаюсь аутентифицироваться с помощью winbind, он работает должным образом:
16:52:11-root@hq-networkserv@-
/var/log/samba: wbinfo -K COMPANY\\super-user%superpassword
plaintext kerberos password authentication for [COMPANY\super-user%superpassword] succeeded (requesting cctype: FILE)
user_flgs: NETLOGON_CACHED_ACCOUNT
credentials were put in: FILE:/tmp/krb5cc_0
С другой стороны, если я попытаюсь использовать ntlm_auth, используя следующие параметры, это не удастся:
16:52:35-root@hq-networkserv@-
/var/log/samba: ntlm_auth --use-cached-creds --username=super-user --password=superpassword --domain= COMPANY
NT_STATUS_NO_LOGON_SERVERS: No logon servers (0xc000005e)
Сервер NAC присоединен к домену Samba4, и все работает нормально, пока сохраняется возможность подключения. Я понимаю, что это предлагаемое решение позволит аутентифицировать только ранее аутентифицированных клиентов, но это уже было бы большим улучшением.
Есть ли способ заставить ntlm_auth успешно пройти аутентификацию в период, когда он не может подключиться к AD, как это может делать winbind?