Project

General

Profile

Demande #20305

perte authentification kerberos suite reconfigure

Added by Christophe Dezé over 3 years ago. Updated almost 3 years ago.

Status:
Fermé
Priority:
Normal
Category:
-
Target version:
-
Start date:
04/24/2017
Due date:
% Done:

0%

Spent time:

Description

sur amon 2.5.2, depuis peu, il faut redémarrer winbind pour retrouver le lien avec le serveur windows

---------------------------------------------------------------------------------------------------------------------
                                          Finalisation de la configuration                                           
---------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------
                                                 Reconfiguration OK                                                  
---------------------------------------------------------------------------------------------------------------------
root@pf-amon.clg-stendhal-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-139 via RPC calls failed
wbcCheckTrustCredentials(COLLEGE-139): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@pf-amon.clg-stendhal-44.in.ac-nantes.fr:~# service winbind restart
winbind stop/waiting
winbind start/running, process 30797
root@pf-amon.clg-stendhal-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-139 via RPC calls succeeded

History

#1 Updated by Christophe Dezé over 3 years ago

en fait redémarrer winbind ne suffit pas toujours ...

root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-135 via RPC calls failed
wbcCheckTrustCredentials(COLLEGE-135): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# service winbind restart
winbind stop/waiting
winbind start/running, process 15313
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-135 via RPC calls failed
wbcCheckTrustCredentials(COLLEGE-135): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-135 via RPC calls succeeded

Commenter ca <!--service servicelist='kerberos'>winbind</service-->
et c'est ok

#2 Updated by Christophe Dezé about 3 years ago

en fait wbinfo -t renvoie succeded mais wbinfo -u et wbinfo -g ne renvoie rien !
on dirait que ce genre de script corrige le problème

/usr/share/eole/creole/distrib/99-postservicenantes

#!/usr/bin/python
# -*- coding: utf-8 -*-
from pyeole.service import manage_service
import time

#correction https://dev-eole.ac-dijon.fr/issues/20305
print 'restart'
manage_service('restart', 'winbind')
time.sleep(10)
print 'restart'
manage_service('restart', 'winbind')
time.sleep(10)
print 'restart'
manage_service('restart', 'winbind')

exit(0)

#3 Updated by Christophe Dezé about 3 years ago

celui-ci à l'air de mieux redemarrer winbind .....

#!/bin/bash
#correction https://dev-eole.ac-dijon.fr/issues/20305

service winbind stop
sleep 10
killall winbindd
killall smbd
service smbd restart
sleep 10
service winbind restart
sleep 10

#4 Updated by Fabrice Barconnière about 3 years ago

  • Assigned To set to Fabrice Barconnière

Je ne reproduis pas le problème.

---------------------------------------------------------------------------------------------------------------------------------------
                                                   Finalisation de la configuration                                                    
---------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------
                                                          Reconfiguration OK                                                           
---------------------------------------------------------------------------------------------------------------------------------------
root@amon:~# wbinfo -t
checking the trust secret for domain DOMAINE via RPC calls succeeded

J'ai testé sur un Amon 2.5.2 avec un Windows 2003R2 en pedago.
J'ai déclaré le DNS du serveur Windows comme forwarder de la zone domaine.lan.

#5 Updated by Fabrice Barconnière about 3 years ago

  • Status changed from Nouveau to En attente d'informations

Y a t il une conf particulière pour reproduire le problème ?

#6 Updated by Christophe Dezé almost 3 years ago

non mais j'ai une piste :
Samba has support for an option called "client ldap sasl wrapping" since version 3.2.0. Its default value has changed from "plain" to "sign" with version 4.2.0.

En mettant client ldap sasl wrapping = plain
ca marche mieux .... pour l'instant. A suivre ....

#7 Updated by Fabrice Barconnière almost 3 years ago

L'option Samba est-elle toujours efficace pour ton problème ?

Le problème ne semble pas être général donc nécessite une modification de dictionnaire et de template. Un dictionnaire et un patch pourrait être proposé dans les erratas pour les versions stables en cours.
Pour la version dev, il est envisageable d'intégrer cette nouvelle option en gardant la valeur par défaut de Samba.

#8 Updated by Christophe Dezé almost 3 years ago

je n'ai pas trouvé l'origine du problème.
cette option n'est pas la bonne
J'ai ce problème sur un seul etablissement.
J'ai rajouté une crontab qui fait un enregistrement_domaine tous les matins
tu peux fermer.

#9 Updated by Fabrice Barconnière almost 3 years ago

  • Status changed from En attente d'informations to Fermé

Also available in: Atom PDF