forum.opennet.ru - "pam_krb5 иногда выдает ошибку" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"pam_krb5 иногда выдает ошибку"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"pam_krb5 иногда выдает ошибку"
Сообщение от Vadq (ok) on 10-Окт-05, 19:32 (MSK)
запущен saslauthd -a pam в AD Win2K заведен пользователь myuser с паролем 1 в system-auth указан pam_krb5, krb5.conf настроен, с kinit все ОК, TGT получаем исправно если спросить #wbinfo -u \| fgrep myuser myuser # id myluser uid=16777338(myuser) gid=16777218 groups=16777218,16777230,16777261,16777264,16777306,16777336 проверяем # testsaslauthd -s smtp -u myuser -p 1 0: OK "Success." И вдруг непонятно почему (например, если ввести неправильный пароль) # id myuser id: myuser: No such user # testsaslauthd -s smtp -u myuser -p 1 0: NO "authentication failed" В логах идет ошибка pam_krb5[24276]: error resolving user name 'myuser' to uid/gid pair Самое интересное, что если спросить #wbinfo -u Все снова работает без ошибок. Вопрос к всезнающему ALL: ПОЧЕМУ? Для справки RHEL4ES, pam_krb5-2.1.2-1, cyrus-sasl-2.1.19-5.EL4, samba-3.0.10-1.4E
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

pam_krb5 иногда выдает ошибку, PavelR, 07:30 , 11-Окт-05, (1)
- pam_krb5 иногда выдает ошибку, Vadq, 09:38 , 11-Окт-05, (2)
  - pam_krb5 иногда выдает ошибку, PavelR, 11:10 , 11-Окт-05, (3)
    - pam_krb5 иногда выдает ошибку, Vadq, 12:10 , 11-Окт-05, (4)
      - pam_krb5 иногда выдает ошибку, PavelR, 12:22 , 11-Окт-05, (5)
        
        pam_krb5 иногда выдает ошибку, Vadq, 13:06 , 11-Окт-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "pam_krb5 иногда выдает ошибку"

Сообщение от PavelR on 11-Окт-05, 07:30  (MSK)

У меня подозрение что настроить nsswitch.conf всетаки забыли ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "pam_krb5 иногда выдает ошибку"

Сообщение от Vadq (ok) on 11-Окт-05, 09:38  (MSK)

>У меня подозрение что настроить nsswitch.conf всетаки забыли ?
nsswitch.conf
passwd:     files winbind
group:      files winbind
shadow:     files winbind
protocols:  files winbind
services:   files winbind
netgroup:   files winbind

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "pam_krb5 иногда выдает ошибку"

Сообщение от PavelR on 11-Окт-05, 11:10  (MSK)

Ну по сути проблема то не в pam_krb5  а в nss_winbind ?
Странно то, что он то работает, то не работает... Может pam_krb5 конфликтует с samba/winbind ?
Может имеет смысл переделать все в одну сторону, тоесть использовать не смесь pam_krb5 + nss_winbindd а одно из двух:
pam_krb5 + nss_ldap
или
nss_winbind + pam_winbind ?
У меня крутится последнее, вроде успешно :) Выбор можно обосновать именно тем что тамже трудится файлсервер samba.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "pam_krb5 иногда выдает ошибку"

Сообщение от Vadq (ok) on 11-Окт-05, 12:10  (MSK)

>Ну по сути проблема то не в pam_krb5  а в nss_winbind
>?
Судя по логам winbind.log после #wbinfo -u
он кеширует список пользователей
nsswitch/winbindd_cache.c:wcache_save_user(659)
  wcache_save_user: S-1-5-21-996812450-1012022007-1275988791-7891 (acct_name myuser)
и видимо в тот момент когда кэш умирает, почему-то не находит пользователя 8з(
[2005/10/11 12:03:03, 10] nsswitch/winbindd.c:winbind_client_read(470)
  client_read: read 1824 bytes. Need 0 more for a full request.
[2005/10/11 12:03:03, 10] nsswitch/winbindd.c:process_request(321)
  process_request: request fn GETPWNAM
[2005/10/11 12:03:03, 3] nsswitch/winbindd_user.c:winbindd_getpwnam(126)
  [ 3226]: getpwnam myuser
[2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:refresh_sequence_number(355)
  refresh_sequence_number: DOMAIN time ok
[2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:refresh_sequence_number(386)
  refresh_sequence_number: DOMAIN seq number is now 1919946
[2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:centry_expired(410)
  centry_expired: Key NS/DOMAIN/MYUSER for domain DOMAIN is good.
[2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:wcache_fetch(489)
  wcache_fetch: returning entry NS/DOMAIN/MYUSER for domain DOAMIN
[2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:name_to_sid(962)
  name_to_sid: [Cached] - cached name for domain DOAMIN status NT code 0xc0020042
[2005/10/11 12:03:03, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(161)
  user 'myuser' does not exist
[2005/10/11 12:03:03, 10] nsswitch/winbindd.c:client_write(524)
  client_write: wrote 1300 bytes.

Может у него настройка брать только из кэша, но в mc я вижу все группы и всех пользователей домена.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "pam_krb5 иногда выдает ошибку"

Сообщение от PavelR on 11-Окт-05, 12:22  (MSK)

Cудя по этому:
>если спросить
>wbinfo -u | fgrep myuser
>myuser
># id myuser
>uid=16777338(myuser) gid=16777218 >groups=16777218,16777230,16777261,16777264,16777306,16777336
>>проверяем
># testsaslauthd -s smtp -u myuser -p 1
>0: OK "Success."
>И вдруг непонятно почему (например, если ввести неправильный пароль)
># id myuser
>id: myuser: No such user

Судя по вышеприведенному тексту и приложеному логу - всетаки дело в работе nsswitch/nss_winbind.
В файле etc/nsswitch.conf
passwd:     files winbind
group:      files winbind

Должны существовать файлы библиотек
( у меня в FreeBSD 5.1 nss_winbind.so.1 симлинк к нему nss_winbind.so в каталогах /usr/local/lib и соотвествующие симлинки в /usr/lib )
В smb.conf должны быть настроены параметры(приведены мои значения):
    winbind use default domain = yes
    winbind uid = 50000-60000
    winbind gid = 1000-2000
    winbind enum users = yes
    winbind enum groups = yes

>Может у него настройка брать только из кэша, но в mc я
>вижу все группы и всех пользователей домена.
В mc - это где ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "pam_krb5 иногда выдает ошибку"

Сообщение от Vadq (ok) on 11-Окт-05, 13:06  (MSK)

>В mc - это где ?

В midnight commander по CTRL^X O (смена владельца), выдает список юзеров и групп как локальных так и домена.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "pam_krb5 иногда выдает ошибку"
Сообщение от PavelR on 11-Окт-05, 07:30 (MSK)
У меня подозрение что настроить nsswitch.conf всетаки забыли ?
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "pam_krb5 иногда выдает ошибку"
	Сообщение от Vadq (ok) on 11-Окт-05, 09:38 (MSK)
	>У меня подозрение что настроить nsswitch.conf всетаки забыли ? nsswitch.conf passwd: files winbind group: files winbind shadow: files winbind protocols: files winbind services: files winbind netgroup: files winbind
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "pam_krb5 иногда выдает ошибку"
	Сообщение от PavelR on 11-Окт-05, 11:10 (MSK)
	Ну по сути проблема то не в pam_krb5 а в nss_winbind ? Странно то, что он то работает, то не работает... Может pam_krb5 конфликтует с samba/winbind ? Может имеет смысл переделать все в одну сторону, тоесть использовать не смесь pam_krb5 + nss_winbindd а одно из двух: pam_krb5 + nss_ldap или nss_winbind + pam_winbind ? У меня крутится последнее, вроде успешно :) Выбор можно обосновать именно тем что тамже трудится файлсервер samba.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "pam_krb5 иногда выдает ошибку"
	Сообщение от Vadq (ok) on 11-Окт-05, 12:10 (MSK)
	>Ну по сути проблема то не в pam_krb5 а в nss_winbind >? Судя по логам winbind.log после #wbinfo -u он кеширует список пользователей nsswitch/winbindd_cache.c:wcache_save_user(659) wcache_save_user: S-1-5-21-996812450-1012022007-1275988791-7891 (acct_name myuser) и видимо в тот момент когда кэш умирает, почему-то не находит пользователя 8з( [2005/10/11 12:03:03, 10] nsswitch/winbindd.c:winbind_client_read(470) client_read: read 1824 bytes. Need 0 more for a full request. [2005/10/11 12:03:03, 10] nsswitch/winbindd.c:process_request(321) process_request: request fn GETPWNAM [2005/10/11 12:03:03, 3] nsswitch/winbindd_user.c:winbindd_getpwnam(126) [ 3226]: getpwnam myuser [2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:refresh_sequence_number(355) refresh_sequence_number: DOMAIN time ok [2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:refresh_sequence_number(386) refresh_sequence_number: DOMAIN seq number is now 1919946 [2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:centry_expired(410) centry_expired: Key NS/DOMAIN/MYUSER for domain DOMAIN is good. [2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:wcache_fetch(489) wcache_fetch: returning entry NS/DOMAIN/MYUSER for domain DOAMIN [2005/10/11 12:03:03, 10] nsswitch/winbindd_cache.c:name_to_sid(962) name_to_sid: [Cached] - cached name for domain DOAMIN status NT code 0xc0020042 [2005/10/11 12:03:03, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(161) user 'myuser' does not exist [2005/10/11 12:03:03, 10] nsswitch/winbindd.c:client_write(524) client_write: wrote 1300 bytes. Может у него настройка брать только из кэша, но в mc я вижу все группы и всех пользователей домена.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "pam_krb5 иногда выдает ошибку"
	Сообщение от PavelR on 11-Окт-05, 12:22 (MSK)
	Cудя по этому: >если спросить >wbinfo -u \| fgrep myuser >myuser ># id myuser >uid=16777338(myuser) gid=16777218 >groups=16777218,16777230,16777261,16777264,16777306,16777336 >>проверяем ># testsaslauthd -s smtp -u myuser -p 1 >0: OK "Success." >И вдруг непонятно почему (например, если ввести неправильный пароль) ># id myuser >id: myuser: No such user Судя по вышеприведенному тексту и приложеному логу - всетаки дело в работе nsswitch/nss_winbind. В файле etc/nsswitch.conf passwd: files winbind group: files winbind Должны существовать файлы библиотек ( у меня в FreeBSD 5.1 nss_winbind.so.1 симлинк к нему nss_winbind.so в каталогах /usr/local/lib и соотвествующие симлинки в /usr/lib ) В smb.conf должны быть настроены параметры(приведены мои значения): winbind use default domain = yes winbind uid = 50000-60000 winbind gid = 1000-2000 winbind enum users = yes winbind enum groups = yes >Может у него настройка брать только из кэша, но в mc я >вижу все группы и всех пользователей домена. В mc - это где ?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "pam_krb5 иногда выдает ошибку"
	Сообщение от Vadq (ok) on 11-Окт-05, 13:06 (MSK)
	>В mc - это где ? В midnight commander по CTRL^X O (смена владельца), выдает список юзеров и групп как локальных так и домена.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]