VPF::Возникла проблема с winbind - Форум программистов

WatchCat

Дата 12.10.2007, 08:21 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

После внештатной перезагрузки Samba-PDC(Gentoo) возникла проблема - winbind перестал корректно работать.

Стало невозможно подключиться к ресурсам сервера, причём сами ресурсы видны, а к домашнему каталогу и netlogon есть доступ.

если его отключить, то всё становиться нормально, т.е. доступ к ресурсам открывается.

Ковыряясь в логах наткнулся на такое

Код


[32096]: sid to gid S-1-5-21-1122692200-1243256881-1034025029-513
winbindd_sid2gid_async: Resolving S-1-5-21-1122692200-1243256881-1034025029-513 to a gid
sid2gid returned an error
Could not convert sid S-1-5-21-1122692200-1243256881-1034025029-513

Кто-нибудь с таким сталкивался?

bilbobagginz

Дата 17.10.2007, 03:05 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

каким образом идет преобразование SID->GID/ SID->UID ?

как там дела обстоят с синхронизацией времени ?
что выдает klist ?

--------------------

Я ещё не демон. Я только учусь.

WatchCat

Дата 23.10.2007, 05:44 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

Цитата(bilbobagginz @ 17.10.2007, 10:05

)

каким образом идет преобразование SID->GID/ SID->UID ?

А я откуда знаю? Эт надо бы у самбовцев спрашивать.
Если я правильно понимаю логику, то должно через записи в базе LDAP.

Цитата(bilbobagginz @ 17.10.2007, 10:05

)

как там дела обстоят с синхронизацией времени ?
что выдает klist ?

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
Керберос не настроен(?)

bilbobagginz

Дата 24.10.2007, 02:20 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

а как там дела обстоят с синхронизацией времени ?

Добавлено через 8 минут и 24 секунды
из вот этой страницы, какой метод вы используете ?

--------------------

Я ещё не демон. Я только учусь.

WatchCat

Дата 24.10.2007, 02:35 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

Вот кусок smb.conf

Код



[global]
    workgroup = sml
    netbios name = storage3
    nt acl support = yes
    acl compatibility = win2k
    map acl inherit = yes
    server string = Samba Server %v
    interfaces = 127.0.0.1 192.168.34.104/24
    bind interfaces only = yes
    hosts allow = 192.168.34. 127.
    log file = /var/log/samba/log.%m
    log level = 3 passdb:5 auth:10 winbind:2
    debug timestamp = no
    max log size = 500
    socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
    security = user
    os level = 250
    passdb backend = ldapsam:"ldap://127.0.0.1/"
    enable privileges = yes
    wins support = yes
    name resolve order = wins lmhosts bcast
    dos charset = 866
    unix charset = UTF8

    passwd program = /usr/sbin/smbldap-passwd "%u"
    passwd chat = *new*password* %n\n *new*password* %n\n *successfully*
    passdb expand explicit = no
    unix password sync = no
    ldap passwd sync = no

    ldap suffix = dc=...
    ldap admin dn = cn=Manager,dc=...
    ldap user suffix = ou=Users
    ldap group suffix = ou=Groups

    ldap machine suffix = ou=Users
    ldap idmap suffix = ou=Idmap
    idmap backend = ldapsam:ldap://127.0.0.1/
    idmap uid = 10000-20000
    idmap gid = 10000-20000

    ldap delete dn = Yes
    ldap ssl = no

    add user script = /usr/sbin/smbldap-useradd -n -a "%u"
    delete user script = /usr/sbin/smbldap-userdel "%u"

    add group script = /usr/sbin/smbldap-groupadd -p "%g"
    delete group script = /usr/sbin/smbldap-userdel "%g"

    add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
    delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
    set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

    add machine script = /usr/sbin/smbldap-useradd -w "%u"

    domain master = yes
    preferred master = yes
    domain logons = Yes

    logon script =
    logon path =
    logon drive = U:
    logon home = \\%L\users\%U

Это сообщение отредактировал(а) WatchCat - 24.10.2007, 02:37

bilbobagginz

Дата 24.10.2007, 05:12 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

понял какой метод используете,
а как там насчет синхронизации времени ?
а как там насчет синхронизации времени ?
а как там насчет синхронизации времени ?
а как там насчет синхронизации времени ?

--------------------

Я ещё не демон. Я только учусь.

WatchCat

Дата 24.10.2007, 14:55 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

Цитата(bilbobagginz @ 24.10.2007, 12:12

)

а как там насчет синхронизации времени ?

Нету никакой синхронизации.
И я никак не пойму причём тут синхронизация?

bilbobagginz

Дата 24.10.2007, 23:55 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

должна быть синхронизация времени, ntp сервер.
иначе много граблей можно огрести.

проверьте наличие ntpd в ps, и проверьте что если запустить

Код


for m in <список всех линукс компутеров>
do
ssh $m date
done

время выходит подходящее.

винду нужно ткнуть во внутренний ntpd

когда этот вопрос будет полностью освещен, сможем продолжать искать в чем же проблема.

--------------------

Я ещё не демон. Я только учусь.

WatchCat

Дата 26.10.2007, 07:24 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

Цитата(bilbobagginz @ 25.10.2007, 06:55

)

должна быть синхронизация времени, ntp сервер.
иначе много граблей можно огрести.

Не, таже фигня...
Да что говорить, я локально не могу сделать smbmount, только на тот ресурс владельцем которого я являюсь.
Вот smile

Блин что ещё плохо, невозможно поэксперементировать с серваком - круглосуточно в работе.

Это сообщение отредактировал(а) WatchCat - 26.10.2007, 07:24

bilbobagginz

Дата 26.10.2007, 13:16 (ссылка)

(голосов:1)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

Цитата

Не, таже фигня...
Да что говорить, я локально не могу сделать smbmount, только на тот ресурс владельцем которого я являюсь.
Вот smile
Блин что ещё плохо, невозможно поэксперементировать с серваком - круглосуточно в работе.

я не понял ответа на свой вопрос из этого потока ... не знаю чего. я спросил про синхронизацию времени.
если не можешь ответить на этот вопрос, поинтересуйся как на него ответить.
получается что то типа:

Цитата

- сколько сейчас градусов ниже нуля?
- сейчас в общем не плохо, кстати, недавно футбольный мячик купил, кожаный, такой хороший, такой хороший.
Только нипель никак не могу найтить.

это у тебя какой-то непонятный подсознательный рефлекс уводить в сторону от изначального вопроса ?

надеюсь понимаешь, что Кашпировские уже на пенсии.
мы тут можем ответить на вопросы с какими-то оперативными и конкретными данными.

Цитата

Could not convert

могу предположить:

если только какой-то пользователь имеет проблемы с этой конвертацией виндовых SID в UID/GID - возможно несколько нодов в лдапе были испорчены можно побраузить каталог LDAP и починить вручную
если проблема - со всеми пользователями, еще раз проверить конфигурацию, и сделать реставрацию каталога из бэкапа

связь с клиентами проверяется на основе kerberos. керберос - очень чувствителен к сдвигам во времени между сервером и клиентами => Сообщи о "времени для тех обслуживания" и поэкспериментируй. с часик - другой.
выхода нет

перезагрузку всей системы, нужно делать в порядке указанном в статье по самбе, на которую я тебе дал ссылку.

удачи.

--------------------

Я ещё не демон. Я только учусь.

WatchCat

Дата 26.10.2007, 19:38 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

Цитата(bilbobagginz @ 26.10.2007, 20:16

)

Объясняю:
Синхронизация времени настроил. на всех машинах она рботает.

А вот теперь мне объясните С КАКОГО БОКУ ТУТ СИНХРОНИЗАЦИЯ ВРЕМЕНИ, если я на этой же машине, т.е. локально
не могу подцепить ресурс?

Цитата(bilbobagginz @ 26.10.2007, 20:16

)

возможно несколько нодов в лдапе были испорчены можно побраузить каталог LDAP и починить вручную

Я это первым делом посмотрел, всё вроде в порядке.

bilbobagginz

Дата 27.10.2007, 03:17 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

Цитата(WatchCat @ 26.10.2007, 19:38

)

Синхронизация времени настроил. на всех машинах она рботает.

отлично!
у меня с русским немного туго. т.е. с ... терминологией. что вы именно делаете:

Цитата(WatchCat @ 26.10.2007, 19:38

)

не могу подцепить ресурс?

т.е. какой такой "ресурс" "цепляете", и как именно:
синтаксис команд, которые были запущены, и если можно вкратце, какой был результат

насчет синхронизации - я не знаю до сих пор точно что там у вас настроено. керберос чуйствителен ко времени. и расшаренные ресурсы тоже.

мне непонятно еще также:
ошибка, которую вы обнаружили присутствует на каждое обращение к какому-то сетевому ресурсу, или как ?

давайте просто прикрепите - команды и их результаты.

а то сложно так ... рассуждать в воздухе.
и еще: что-нибудь видно в логах ldap-а ?

--------------------

Я ещё не демон. Я только учусь.

WatchCat

Дата 27.10.2007, 08:17 (ссылка)

(нет голосов)

Загрузка ...

Новичок

Профиль
Группа: Участник
Сообщений: 40
Регистрация: 14.10.2006

Репутация: нет
Всего: нет

Цитата(bilbobagginz @ 27.10.2007, 10:17

)

синтаксис команд, которые были запущены, и если можно вкратце, какой был результат

Команда: smbmount //storage3/data ~/st3data -o username=user/SML,password=...
с консоли этого же сервера.

вывод команды

Код


...
mount.smbfs started (version 3.0.26a)
added interface ip=127.0.0.1 bcast=127.255.255.255 nmask=255.0.0.0
added interface ip=192.168.34.104 bcast=192.168.34.255 nmask=255.255.255.0
Opening cache file at /var/cache/samba/gencache.tdb
tdb(unnamed): tdb_open_ex: could not open file /var/cache/samba/gencache.tdb: Permission denied
gencache_init: Opening cache file /var/cache/samba/gencache.tdb read-only.
sitename_fetch: No stored sitename for
name storage3#20 found.
Connecting to 192.168.34.104 at port 445
...
10058: session setup ok
write_socket(4,70)
write_socket(4,70) wrote 70
size=35
smb_com=0x75
smb_rcls=3
smb_reh=0
smb_err=31
smb_flg=136
smb_flg2=1
smb_tid=0
smb_pid=10058
smb_uid=100
smb_mid=3
smt_wct=0
smb_bcc=0
10058: tree connect failed: ERRHRD - ERRgeneral (General failure.)
SMB connection failed

slapd.log

Код


Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaGroupType) not indexed
Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaSIDList) not indexed
Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaSIDList) not indexed
Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaSIDList) not indexed
Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaSIDList) not indexed
Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaSIDList) not indexed
Oct 27 15:45:53 storage3 slapd[5600]: <= bdb_equality_candidates: (sambaSIDList) not indexed

т.е. ничего особенного, как я понимаю.

log.winbind

Код


[10755]: sid to gid S-1-5-32-545
winbindd_sid2gid_async: Resolving S-1-5-32-545 to a gid
sid2gid returned an error
Could not convert sid S-1-5-32-545
[10755]: ping
[10755]: ping
[10755]: sid to gid S-1-0-0
Could not find domain for sid S-1-0-0
sid2gid_lookupsid_recv: Could not convert get sid type for S-1-0-0
[10755]: ping
[10755]: sid to gid S-1-1-0
Could not find domain for sid S-1-1-0
sid2gid_lookupsid_recv: Could not convert get sid type for S-1-1-0
[10755]: ping
[10755]: sid to gid S-1-5-2
Could not find domain for sid S-1-5-2
sid2gid_lookupsid_recv: Could not convert get sid type for S-1-5-2
[10755]: ping
[10755]: sid to gid S-1-5-11
Could not find domain for sid S-1-5-11
sid2gid_lookupsid_recv: Could not convert get sid type for S-1-5-11
[10755]: ping
[10755]: sid to gid S-1-5-21-1122692200-1243256881-1034025029-513
winbindd_sid2gid_async: Resolving S-1-5-21-1122692200-1243256881-1034025029-513 to a gid
sid2gid returned an error
Could not convert sid S-1-5-21-1122692200-1243256881-1034025029-513
[10755]: ping

Вот что за sid'ы такие S-1-5-32-545, S-1-5-2, S-1-5-11?
Это какие-то встроенные?

Цитата(bilbobagginz @ 27.10.2007, 10:17

)

мне непонятно еще также:
ошибка, которую вы обнаружили присутствует на каждое обращение к какому-то сетевому ресурсу, или как ?

Там один ресурс.
И при попытки обращения к нему любого пользователя происходит облом.

причём если отключить winbind то всё становится нормально

вывод smbmount

Код


smb_com=0x75
smb_rcls=0
smb_reh=0
smb_err=0
smb_flg=136
smb_flg2=1
smb_tid=1
smb_pid=10515
smb_uid=100
smb_mid=3
smt_wct=7
smb_vwv[ 0]=  255 (0xFF)
smb_vwv[ 1]=    0 (0x0)
smb_vwv[ 2]=    1 (0x1)
smb_vwv[ 3]=  511 (0x1FF)
smb_vwv[ 4]=   31 (0x1F)
smb_vwv[ 5]=    0 (0x0)
smb_vwv[ 6]=    0 (0x0)
smb_bcc=8
10515: tconx ok
Closing cache file
namecache_shutdown: netbios namecache closed successfully.

bilbobagginz

Дата 27.10.2007, 12:19 (ссылка)

(нет голосов)

Загрузка ...

Naughtius Maximus

Профиль
Группа: Экс. модератор
Сообщений: 8813
Регистрация: 2.3.2004
Где: Israel

Репутация: 34
Всего: 317

насколько я понимаю у вас winbind для связки AD->Samba.
если ее убрать, то будет самостоятельная самба.

а что если сделать тоже самое, и сделать ldap очень болтливым ?
( хочется посмотреть что он получает как ввод и что выдает как вывод )

просто не представляю себе что может кирдыкнуться кроме связки связки с LDAP.

--------------------

Я ещё не демон. Я только учусь.

0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| *Администрирование NIX систем** \| Следующая тема »