Медленный первый вход в AD-присоединенный ящик Samba
Я подключил свою первую коробку Debian к Active Directory (2008 R2). Это работает, я могу войти с учетными данными AD, просматривать общие ресурсы Samba.
Есть только проблема с тем, сколько времени требуется для входа в систему через ssh (единственный способ войти в безголовые серверы). Для получения подсказок требуется от 30 до 45 секунд, последующие входы в систему происходят в течение нескольких минут, затем снова требуется много времени для входа (и т. Д.).
- То же самое с
sudo
, - Однако (прошедший проверку подлинности) просмотр общих ресурсов выполняется быстро, без задержек.
Структура AD довольно большая, чтобы получить wbinfo -u
, что составляет 365 тыс. записей.
Я отметил в журналах последовательность этих пар записей:
winbindd[3701]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
winbindd[3701]: [2014/03/31 11:00:38.393016, 0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind)
klist
показывает правильный список, и /etc/krb.conf
в точности как указано в Samba Wiki.
The `/etc/samba/smb.conf` is quite standard:
[global]
realm = DOMAIN.EXAMPLE.COM
workgroup = DOMAIN
netbios name = MYDEBIAN
security = ADS
encrypt passwords = yes
wins server = adserver.example.com
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = no
winbind enum groups = no
winbind nested groups = false
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
winbind use default domain = yes
preferred master = no
valid users = @it.security
admin users = @it.security
printing = bsd
printcap name = /dev/null
Записи, связанные с входом в /etc/nsswitch.conf
:
passwd: files winbind
group: files winbind
shadow: files
Это может быть неправильная конфигурация кэша?
Должен ли вход в систему быть быстрым без кеширования (другими словами, является ли сама конфигурация входа неверной, и какой-то механизм кэширования просто помогает в моем случае, но скрывает реальную проблему?)
2 ответа
Проверьте свои /etc/krb5.conf
файл, убедитесь, что вы установили следующие значения в
[libdefaults]
default_realm = DOMAIN.EXAMPLE.COM
[realms]
kdc = DC FQDN
admin_server = DC FQDN
[domain realm]
.domain.example.com = DOMAIN.EXAMPLE.COM
domain.example.com = DOMAIN.EXAMPLE.COM
Кроме того, в вашем smb.conf
файл - добавить следующее:
password server = DC IP or FQDN
Смотрите мой блог для более подробных инструкций: https://monklinux.blogspot.com/2017/09/how-to-samba-4-file-server-as-member.html
Заданная вами задержка в 30 - 45 секунд соответствует потенциальным проблемам с разрешением имен DNS. Убедитесь, что этот компьютер может разрешить полное доменное имя вашего сервера каталогов и что ему не нужно пытаться использовать полное доменное имя, выполнить сбой по таймауту, а затем использовать IP.
Вы должны быть в состоянии проверить это, просто отправив эхо-запрос полного доменного имени вашего сервера каталогов с этого проблемного клиента. Вы также можете использовать команду "host" для разрешения имен хостов без использования ICMP (в случае, если ICMP ограничен через брандмауэр или подобное):
# host domain.example.com
Если у вас есть проблемы с разрешением DNS, убедитесь, что этот компьютер настроен на поиск в правильном домене и что порядок серверов имен правильный (вероятно, он должен сначала попробовать сервер имен каталога, если это именно то, к чему вы стремитесь, например).
Что касается специфики этих конфигов, то действительно важно, какую версию Debian вы используете - более новые версии используют другую технологию разрешения имен, чем более старые.