LINUX.ORG.RU
ФорумLinux-install

sssd realmd

 ,


0

1

Есть два dc(samba4.2. Debian8) в домене c настроенной репликацией ad и gpo. подключил к домену(sssd realmd) файловый сервер (samba4.2 debian) пользователи опознаются.все путем, но если отключить первичный dc0 то все пользователи теряются, т.е. sssd не берет список пользователей с dc1, как поправить 

cat /etc/sssd/sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3
use_fully_qualified_names = False
[sssd]
domains = domain.ru
config_file_version = 2
services = nss, pam
[domain/domain.ru]
ad_domain = domain.ru
krb5_realm = domain.RU
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
access_provider = ad


cat /etc/realmd.conf
[service]
automatic-install = no
[domain.ru]
fully-qualified-names = no

host -t SRV _kerberos._udp.domain.ru.
_kerberos._udp.domain.ru has SRV record 0 100 88 dc1.domain.ru.
_kerberos._udp.domain.ru has SRV record 0 100 88 dc0.domain.ru.
 host -t SRV _ldap._tcp.domain.ru.
_ldap._tcp.domain.ru has SRV record 0 100 389 dc1.domain.ru.
_ldap._tcp.domain.ru has SRV record 0 100 389 dc0.domain.ru.

cat /etc/krb5.conf
[libdefaults]
        default_realm = DOMAIN.RU
        dns_lookup_realm = false
        dns_lookup_kdc = true

cat /etc/resolv.conf
search kell.ru
nameserver 192.168.40.1 #dc0
nameserver 192.168.40.2 #dc1

точнее, он видит не всех пользователей, тех с кем я работал при включенном dc0 

id vag
uid=1630601109(user) gid=1630600513(domain users) группы=1630600513(domain users)
 id user1
id: user1: такого пользователя нет

kresh1
() автор топика
Ответ на: комментарий от kresh1

Удалил sssd и realm. вывел машину из домена, поставил winbind 

cat /etc/samba/smb.conf
[global]
   netbios name = nas
   workgroup = DOMAIN
   security = ADS
   realm = DOMAIN.RU
   encrypt passwords = yes
idmap config *:backend = rid
   idmap config *:range = 5000-100000

   winbind trusted domains only = no
   winbind use default domain = yes
   winbind enum users  = yes
   winbind enum groups = yes
   winbind refresh tickets = yes
поиск пользователей 
wbinfo -n user
S-1-5-21-3580595813-2117203353-4208233158-1621 SID_USER (1)
dns 

cat /etc/resolv.conf
search domain.ru
nameserver 192.168.40.1
nameserver 192.168.40.2
При такой настройке winbind хватает пользователей с первого 
nameserver 192.168.40.1# dc0
Но если dc0 выходит из строя . то 
 wbinfo -n user
could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE
could not obtain winbind separator!
failed to call wbcLookupName: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not lookup name user
а в логе 
/etc/init.d/winbind status
 [2016/07/29 12:11:07.906635,  0] ../source3/winbindd/winbindd_cache.c:3235(initialize_winbindd_cache)
 initialize_winbindd_cache: clearing cache and re-creating with version number 2
 ../lib/util/become_daemon.c:124(daemon_ready)
 STATUS=daemon 'winbindd' finished starting up and ready to serve connections
../source3/lib/util_tdb.c:493(tdb_chainlock_with_timeout_internal)
 tdb_chainlock_with_timeout_internal: alarm (40) timed out for key dc1.domain.ru in tdb /var/run/samba/mutex.tdb
/source3/winbindd/winbindd_cm.c:918(cm_prepare_connection)
 cm_prepare_connection: mutex grab failed for dc1.domain.ru
что свидетельствует о том, что winbind не успевает опросить оба dc за определенное время.... если закоментить адрес умершего dc в resolv.conf. то все нормально отрабатывает . вопрос.. как увеличить этот интервал времени
alarm (40) timed out for key dc1.domain.ru in tdb /var/run/samba/mutex.tdb[/cdoe]

kresh1
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Linux-install