• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[Brainstorming] winbindd fallback

ThomasF

Hacker
Hi@all,

ich habe schon seit geraumer Zeit bemerkt das es in unserer Umgebung Probleme mit Samba / Winbind und der Authentifizierung an der ADS gibt.

Genauer gesagt haben wir mehrere DCs die sich gegenseitig "vertreten" können sollten wenn mal einer von ihnen offline ist.
Tatsache ist jedoch das wenn ein DC offline ist eine Reihe von Linux Clients "hängen" und nicht auf einen anderen DC wechseln.

Auf der vorletzten Seite dieses Dokuments (http://www.osl.eu/osl/log/osltechdays5/ibb_fileserver+oslsc.pdf) fand ich nun vielleicht den entscheidenden Hinweis .. Überwachung der Logs und restart des winbind falls Verbindung verlorengeht.

So weit so gut ... also muss ein Monitor her der diese Funktion übernimmt.

Monit scheint so ein Programm zu sein ( http://mmonit.com/monit )

Auch ein Rezept für winbind war schnell gefunden ( http://www.mail-archive.com/monit-general@nongnu.org/msg02262.html)

Hat irgend jemand hier Erfahrung mit so einem System ???

Was mich ein wenig stört ist die Tatsache das ja mehrere DCs existieren ... Wenn ich also in der smb.conf password server = * setze kann ich nicht vorhersagen welcher Server für winbind der primäre ist ... wenn ich die Reihenfolge fest lege kann ich monit auf den primären (den ersten der Liste) testen lassen ... doch wie würde z.B ein dritter DC da rein passen ???

So long

ThomasF
 

stka

Guru
Die Variable "password server" brauchst du eigentlich nur, wenn der Kerberos und der AD Server auf verschiedenen Server läuft.
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ref-guide/s1-samba-servers.html
Warum so ein Monitor installieren? Wenn wbinfo keine Antwort mehr gibt, stimmt was nicht, also ein Skript schreiben das regelmäßig prüft ob der Server noch da ist. Du hast ja hoffentlich den nscd nicht laufen auf dem System auf dem der winbind läuft, denn die beiden mögen sich mal gar nicht.
 
OP
ThomasF

ThomasF

Hacker
Hallo Stefan,

erstmal danke für die Info über "password server" ... dieses Detail kannte ich noch nicht ;)

Und natürlich kenne ich die Problematik mit dem nscd ...

ABER ... meine letzten Versuche mit neuen Samba Versionen (aktuell 3.4.0) erscheinen mir so als wenn die Kombination winbind/nscd nicht mehr so brisant ist wie früher ... einzig die Zeitspanne in der Änderungen sichtbar werden scheint noch betroffen ...
Wenn du mal Zeit und Lust hast kannst du ja mal mit einer aktuellen Version rumspielen und berichten ob du den gleichen Eindruck hast ;)

Nichts desto trotz spielt diese Problematik für mein eigentliches Problem keine Rolle mehr, da ich dazu übergegangen bin den winbind nicht mehr für die Name Services zu verwenden :

/etc/nsswitch.conf:
Code:
...
passwd:         compat ldap [NOTFOUND=return] db
group:          compat ldap [NOTFOUND=return] db
...

Doch um auf mein eigentliches Problem zurück zu kommen, bin ich bei meiner Suche zusätzlich zu dem oben erwähnten Link auf eine weitere Quelle gestoßen : http://wiki.mandriva.com/en/Docs/SysAdmin/Server/Disconnected_Auth

Dort heisst es ganz unten bei Winbind issues :
pam_winbind doesn't like it when the PDC or BDC vanishes: can't yet make it ignore the error. When that happens, it returns permission denied instead of returning the real reason of the error. In that way, we can't distinguish this permission denied error from the real one. Makes it useless with pam_ccreds.

Dies bezieht sich zwar nur auf pam_winbind, dürfte also bei meiner Version der Name Services keinen Einfluss haben, ich glaube dennoch das das Samba-Team noch an der Geschichte dran ist ...

Warum so ein Monitor installieren? Wenn wbinfo keine Antwort mehr gibt, stimmt was nicht, also ein Skript schreiben das regelmäßig prüft ob der Server noch da ist.

Das war ja genau das was der Monitor tun soll ... Leider habe ich rausgefunden das es leider keine Wirkung hat den winbind neu zu starten wenn ein DC nicht mehr verfügbar ist *grummel*

Ich hoffe das dort bald eine Lösung gefunden werden kann ... Es kann ja nicht sein das es für den Betrieb von Linux Clients an der ADS besser ist nur einen DC zu verwenden um die Wahrscheinlichkeit zu senken das die Clients einfrieren ;)

Ob das ganze nach der Umstellung der Name Services überhaupt noch an winbind liegt, also das Einfrieren der Clients nicht vielleicht eher auf der NFSv4 Seite oder dem Kerberos liegt muss ich jetzt noch austesten.
DNS als Ursache kann ich glaube ich ausschließen da ich dem NFS Server nun auch als Secondary für die Zone eingerichtet habe ...

So long

ThomasF
 
Oben