From: "Москаленко Алексей Владимирович" <mav@elserv.msk.su>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] Периодические падения dovecot-auth и ntlm_auth - P8
Date: Fri, 27 Jul 2018 09:57:02 +0300
Message-ID: <fc04afc398f23ca544b008096f0f546b@elserv.msk.su> (raw)
In-Reply-To: <c2bfe1d54c1f0057d2a36c027abdda59@elserv.msk.su>
По идее, если б проблема была в отключенном ntlmv1, авторизация бы не
проходила с соответствующими сообщениями. Да и ситуация, когда на
клиенте включен только NTLMv2, а на сервере - и v1, и v2, с точки зрения
логики должна работать. А тут хелпер падает, видимо некорректно что-то
делая с вызовами библиотеки tdb (из сообщений bad talloc magic value),
чего вообще не должно быть ни в каких ситуациях. Сам winbind при этом
чувствует себя хорошо, ни на что не ругается.
Причем выявилось именно под нагрузкой - тестирование в течение двух
недель с нагрузкой 3-5 пользователей проблем не выявило.
По проблеме, поднятой в начале обсуждения: третьи сутки работы,
worker/auth из dovecot 2.2.36 не упал ни разу, ntlm_auth упал 7 раз.
В Fri, 27 Jul 2018 09:38:22 +0300 Константин Рыбаков пишет:
> Спасибо за конфиг, так будет проще попробовать воспроизвести.
> Настройка по этой статье
> (https://www.altlinux.org/%D0%9F%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_Postfix_Dovecot
> ) работает нормально. Правда нагрузку ваших масштабов дать не могу.
> Не в рассылку, т.к. промахнулся. :) Если будет понятно как исправить,
> то отпишусь в рассылку. И смотрите, во всех новостях про Samba 4.5.0
> указано: "С целью усиления безопасности и блокирования возможных
> MITM-атак по умолчанию отключена аутентификация с использованием
> NTLMv1. Опции "ntlm auth", "lanman auth" и "raw NTLMv2 auth" теперь
> установлены по умолчанию в значение "no", что может повлиять на
> работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1
> используется в MSCHAPv2 для VPN и 802.1x);" Может у вас именно в этом
> загвоздка. Попробуйте принудительно включить NTLMv1. Если поможет,
> пожалуйста, напишите.
> https://www.opennet.ru/opennews/art.shtml?num=45098
>
> 27.07.2018, 09:07, "Alex Moskalenko":
>
> > В Thu, 26 Jul 2018 12:44:15 +0300
> > Константин Рыбаков пишет:
> > Какая версия Samba?
> >> NTLMv1 используется или принудительно включен v2?
> >> Можно в добавок к конфигу почтового сервера конфиг сервера Samba?
> >> Просто связка Samba NT4 и NTLM довольно древняя.
> >
> >
> > Здравствуйте!
> >
> > Полностью согласен про древность NT4-режима, но переход на AD-режим
> > тормозится административными заморочками. Именно поэтому (в ожидании
> > перехода) на PDC все еще эта древняя самба, которая кстати работает
> > без вопросов и проблем. :)
> >
> > Информация о PDC:
> > testparm -V
> > Version 4.0.21
> >
> > smb.conf
> > [global]
> > dos charset = CP866
> > unix charset = UTF8
> > workgroup = DOMAIN
> > netbios aliases = server1, server2
> > server string = Server (PDC) (ver. %v)
> > passdb backend = ldapsam:"ldap://localhost"
> > guest account = guest
> > log file = /var/log/samba/log.%m-%L
> > max log size = 65535
> > server max protocol = NT1
> > defer sharing violations = No
> > time server = Yes
> > logon script = %U-%m.vbs
> > logon path =
> > logon home =
> > domain logons = Yes
> > os level = 254
> > preferred master = Yes
> > domain master = Yes
> > wins support = Yes
> > ldap admin dn = cn=samba,ou=Daemons,dc=example,dc=com
> > ldap group suffix = ou=Groups
> > ldap idmap suffix = ou=Idmap
> > ldap machine suffix = ou=Computers,ou=Accounts
> > ldap passwd sync = yes
> > ldap suffix = dc=example,dc=com
> > ldap user suffix = ou=Users,ou=Accounts
> > winbind enum users = Yes
> > winbind enum groups = Yes
> > idmap config * : range = 10000-50000
> > ldapsam:trusted = yes
> > idmap config * : backend = ldap:"ldap://localhost"
> > map acl inherit = Yes
> > cups options = raw
> > map archive = No
> > map readonly = no
> > store dos attributes = Yes
> > vfs objects = acl_xattr, streams_xattr
> >
> >
> > На почтовой системе - самба 4.6.15. В логах winbindd никаких
> > ошибок/падений/прочих неприятностей нет. Падает именно ntlm_auth.
> >
> >
> > PS А почему не в рассылку? Может, кому еще будет полезно...
next prev parent reply other threads:[~2018-07-27 6:57 UTC|newest]
Thread overview: 20+ messages / expand[flat|nested] mbox.gz Atom feed top
2018-07-24 10:17 Москаленко Алексей Владимирович
2018-07-24 12:18 ` Sergey V Turchin
2018-07-24 19:33 ` Alex Moskalenko
2018-07-25 7:35 ` Москаленко Алексей Владимирович
2018-07-25 13:18 ` Sergey V Turchin
2018-07-25 14:12 ` Москаленко Алексей Владимирович
2018-07-27 6:57 ` Москаленко Алексей Владимирович [this message]
2018-07-27 19:49 ` Москаленко Алексей Владимирович
2018-07-28 3:52 ` Andrey Cherepanov
2018-07-30 7:41 ` Sergey V Turchin
2018-07-30 19:02 ` Москаленко Алексей Владимирович
2018-08-01 9:07 ` Sergey V Turchin
2018-08-01 10:17 ` Sergey V Turchin
2018-08-09 13:22 ` Sergey V Turchin
2018-08-09 13:32 ` Москаленко Алексей Владимирович
2018-08-09 15:10 ` Sergey V Turchin
2018-08-14 8:47 ` Москаленко Алексей Владимирович
2018-08-15 13:52 ` Sergey V Turchin
2018-08-20 10:44 ` [Sysadmins] Периодические падения dovecot-auth и ntlm_auth - P8 -- результаты Москаленко Алексей Владимирович
2018-08-20 12:15 ` Sergey V Turchin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=fc04afc398f23ca544b008096f0f546b@elserv.msk.su \
--to=mav@elserv.msk.su \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git