Проблемы с авторизацией при недоступности домена

0

1

Всем добрый день. Проблема в следующем. Есть Ubuntu server 16.04.7 LTS, введена в домен Windows плюс настроена авторизация через Winbind для доменных пользователей.

Проблема в том, что при падении домена (в последнее время такое случается) не получается зайти в систему даже под локальным пользователем. То есть, система просит логин и пароль и надолго подвисает, пока не сбрасывает это соединение по тайм-ауту.

Подскажите, в какую сторону можно посмотреть и что править, чтобы при недоступности домена можно было нормально зайти на сервер?

krb5.conf


       default_realm = DOMAIN.RU
       krb4_config = /etc/krb.conf
       krb4_realms = /etc/krb.realms
       kdc_timesync = 1
       ccache_type = 4
       forwardable = true
       proxiable = true

        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        DOMAIN.RU = {
                kdc = server.domain.ru
                admin_server = server.domain.ru
                default_domain = DOMAIN.RU
        }
[domain_realm]
        .domain.ru = DOMAIN.RU
		
[login]
        krb4_convert = true
        krb4_get_tickets = false

nsswithc.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind
gshadow:        files


hosts: dns mdns4_minimal [NotFoud=return] mdns4 files
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
files:          dns mdns4_minimal[NotFoud=return] mdns4

smb.conf

[global]
   workgroup = DOMAIN
   realm = DOMAIN.RU
   preferred master = no
   server string = Linux Samba Server
   security = ADS
   encrypt passwords = yes
   auth methods = sam winbind
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   ;printcap name = cups
   ;printing = cups
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   idmap config * : backend = tdb
   idmap config * : range = 16777222-1777822
kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab
  ;template primary group = "Domain Users"
   template shell = /bin/bash
log level = 1 vfs:1
full_audit:prefix = %u|%I|%S
full_audit:success = connect, open, mkdir, rmdir, unlink, write, rename
full_audit:failure = connect, open, mkdir, rmdir, unlink, write, rename
full_audit:facility = local5
full_audit:priority = notice
vfs objects = full_audit

Спасибо заранее.

Ссылка

←	Squid - delay pools - slow acl

ipfw fwd loopback + tcpdump

→

в сторону обновления убунты?

~~TolkoSprosit~~ ★
(24.05.22 11:40:24 MSK)

Использовать sssd вместо winbind. sssd может кешировать, можно входить без доступного контролера AD, если ранее пользователь логинился.
Или завести второй контролер AD.

NeoZX
(24.05.22 12:33:11 MSK)

Ответ на: комментарий от TolkoSprosit 24.05.22 11:40:24 MSK

Увы, не можем. Запрещено указаниями свыше в связи с последними событиями.

Nychary
(24.05.22 13:35:14 MSK) автор топика

Ссылка

Ответ на: комментарий от NeoZX 24.05.22 12:33:11 MSK

Посмотрю в эту сторону, спасибо.

Но, в принципе, если я настрою кэширование на той же самбе, это чисто в теории сможет помочь?

Nychary
(24.05.22 13:35:57 MSK) автор топика

Ответ на: комментарий от Nychary 24.05.22 13:35:57 MSK

smb.conf

winbind offline logon = yes

pam_winbind.conf

cached_login = yes

bigbit ★★★★★
(24.05.22 14:19:00 MSK)
Последнее исправление: bigbit 24.05.22 14:28:16 MSK (всего исправлений: 1)

Ответ на: комментарий от bigbit 24.05.22 14:19:00 MSK

Так и сделаю. Спасибо.

Nychary
(25.05.22 08:57:30 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Squid - delay pools - slow acl

Admin

ipfw fwd loopback + tcpdump

→

Похожие темы