Demande #20305
perte authentification kerberos suite reconfigure
Description
sur amon 2.5.2, depuis peu, il faut redémarrer winbind pour retrouver le lien avec le serveur windows
---------------------------------------------------------------------------------------------------------------------
Finalisation de la configuration
---------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------
Reconfiguration OK
---------------------------------------------------------------------------------------------------------------------
root@pf-amon.clg-stendhal-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-139 via RPC calls failed
wbcCheckTrustCredentials(COLLEGE-139): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@pf-amon.clg-stendhal-44.in.ac-nantes.fr:~# service winbind restart
winbind stop/waiting
winbind start/running, process 30797
root@pf-amon.clg-stendhal-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-139 via RPC calls succeeded
Historique
#1 Mis à jour par Christophe Dezé il y a presque 7 ans
en fait redémarrer winbind ne suffit pas toujours ...
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-135 via RPC calls failed
wbcCheckTrustCredentials(COLLEGE-135): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# service winbind restart
winbind stop/waiting
winbind start/running, process 15313
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-135 via RPC calls failed
wbcCheckTrustCredentials(COLLEGE-135): error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@pf-amon.clg-durantiere-peda-44.in.ac-nantes.fr:~# wbinfo -t
checking the trust secret for domain COLLEGE-135 via RPC calls succeeded
Commenter ca <!--service servicelist='kerberos'>winbind</service-->
et c'est ok
#2 Mis à jour par Christophe Dezé il y a plus de 6 ans
en fait wbinfo -t renvoie succeded mais wbinfo -u et wbinfo -g ne renvoie rien !
on dirait que ce genre de script corrige le problème
/usr/share/eole/creole/distrib/99-postservicenantes
#!/usr/bin/python
# -*- coding: utf-8 -*-
from pyeole.service import manage_service
import time
#correction https://dev-eole.ac-dijon.fr/issues/20305
print 'restart'
manage_service('restart', 'winbind')
time.sleep(10)
print 'restart'
manage_service('restart', 'winbind')
time.sleep(10)
print 'restart'
manage_service('restart', 'winbind')
exit(0)
#3 Mis à jour par Christophe Dezé il y a plus de 6 ans
celui-ci à l'air de mieux redemarrer winbind .....
#!/bin/bash #correction https://dev-eole.ac-dijon.fr/issues/20305 service winbind stop sleep 10 killall winbindd killall smbd service smbd restart sleep 10 service winbind restart sleep 10
#4 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Assigné à mis à Fabrice Barconnière
Je ne reproduis pas le problème.
---------------------------------------------------------------------------------------------------------------------------------------
Finalisation de la configuration
---------------------------------------------------------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------------------------------------------------------
Reconfiguration OK
---------------------------------------------------------------------------------------------------------------------------------------
root@amon:~# wbinfo -t
checking the trust secret for domain DOMAINE via RPC calls succeeded
J'ai testé sur un Amon 2.5.2 avec un Windows 2003R2 en pedago.
J'ai déclaré le DNS du serveur Windows comme forwarder de la zone domaine.lan.
#5 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Statut changé de Nouveau à En attente d'informations
Y a t il une conf particulière pour reproduire le problème ?
#6 Mis à jour par Christophe Dezé il y a plus de 6 ans
non mais j'ai une piste :
Samba has support for an option called "client ldap sasl wrapping" since version 3.2.0. Its default value has changed from "plain" to "sign" with version 4.2.0.
En mettant client ldap sasl wrapping = plain
ca marche mieux .... pour l'instant. A suivre ....
#7 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
L'option Samba est-elle toujours efficace pour ton problème ?
Le problème ne semble pas être général donc nécessite une modification de dictionnaire et de template. Un dictionnaire et un patch pourrait être proposé dans les erratas pour les versions stables en cours.
Pour la version dev, il est envisageable d'intégrer cette nouvelle option en gardant la valeur par défaut de Samba.
#8 Mis à jour par Christophe Dezé il y a plus de 6 ans
je n'ai pas trouvé l'origine du problème.
cette option n'est pas la bonne
J'ai ce problème sur un seul etablissement.
J'ai rajouté une crontab qui fait un enregistrement_domaine tous les matins
tu peux fermer.
#9 Mis à jour par Fabrice Barconnière il y a plus de 6 ans
- Statut changé de En attente d'informations à Fermé