From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00 autolearn=ham autolearn_force=no version=3.4.1 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8; format=flowed Content-Transfer-Encoding: 8bit Date: Fri, 27 Jul 2018 09:57:02 +0300 From: =?UTF-8?Q?=D0=9C=D0=BE=D1=81=D0=BA=D0=B0=D0=BB=D0=B5=D0=BD=D0=BA?= =?UTF-8?Q?=D0=BE_=D0=90=D0=BB=D0=B5=D0=BA=D1=81=D0=B5=D0=B9_=D0=92=D0=BB?= =?UTF-8?Q?=D0=B0=D0=B4=D0=B8=D0=BC=D0=B8=D1=80=D0=BE=D0=B2=D0=B8=D1=87?= To: sysadmins@lists.altlinux.org In-Reply-To: References: <1789922.odM1gfhK1E@zerg.malta.altlinux.ru> <7152466.G7TKxFiOou@zerg.malta.altlinux.ru> Message-ID: X-Sender: mav@elserv.msk.su Subject: Re: [Sysadmins] =?utf-8?b?0J/QtdGA0LjQvtC00LjRh9C10YHQutC40LUg0L8=?= =?utf-8?b?0LDQtNC10L3QuNGPIGRvdmVjb3QtYXV0aCDQuCBudGxtX2F1dGggLSBQOA==?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 27 Jul 2018 06:57:06 -0000 Archived-At: List-Archive: По идее, если б проблема была в отключенном ntlmv1, авторизация бы не проходила с соответствующими сообщениями. Да и ситуация, когда на клиенте включен только NTLMv2, а на сервере - и v1, и v2, с точки зрения логики должна работать. А тут хелпер падает, видимо некорректно что-то делая с вызовами библиотеки tdb (из сообщений bad talloc magic value), чего вообще не должно быть ни в каких ситуациях. Сам winbind при этом чувствует себя хорошо, ни на что не ругается. Причем выявилось именно под нагрузкой - тестирование в течение двух недель с нагрузкой 3-5 пользователей проблем не выявило. По проблеме, поднятой в начале обсуждения: третьи сутки работы, worker/auth из dovecot 2.2.36 не упал ни разу, ntlm_auth упал 7 раз. В Fri, 27 Jul 2018 09:38:22 +0300 Константин Рыбаков пишет: > Спасибо за конфиг, так будет проще попробовать воспроизвести. > Настройка по этой статье > (https://www.altlinux.org/%D0%9F%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_Postfix_Dovecot > ) работает нормально. Правда нагрузку ваших масштабов дать не могу. > Не в рассылку, т.к. промахнулся. :) Если будет понятно как исправить, > то отпишусь в рассылку. И смотрите, во всех новостях про Samba 4.5.0 > указано: "С целью усиления безопасности и блокирования возможных > MITM-атак по умолчанию отключена аутентификация с использованием > NTLMv1. Опции "ntlm auth", "lanman auth" и "raw NTLMv2 auth" теперь > установлены по умолчанию в значение "no", что может повлиять на > работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1 > используется в MSCHAPv2 для VPN и 802.1x);" Может у вас именно в этом > загвоздка. Попробуйте принудительно включить NTLMv1. Если поможет, > пожалуйста, напишите. > https://www.opennet.ru/opennews/art.shtml?num=45098 >   > 27.07.2018, 09:07, "Alex Moskalenko": > > > В Thu, 26 Jul 2018 12:44:15 +0300 > > Константин Рыбаков пишет: > >   Какая версия Samba? > >>  NTLMv1 используется или принудительно включен v2? > >>  Можно в добавок к конфигу почтового сервера конфиг сервера Samba? > >>  Просто связка Samba NT4 и NTLM довольно древняя. > > > > > > Здравствуйте! > > > > Полностью согласен про древность NT4-режима, но переход на AD-режим > > тормозится административными заморочками. Именно поэтому (в ожидании > > перехода) на PDC все еще эта древняя самба, которая кстати работает > > без вопросов и проблем. :) > > > > Информация о PDC: > > testparm -V > > Version 4.0.21 > > > > smb.conf > > [global] > >         dos charset = CP866 > >         unix charset = UTF8 > >         workgroup = DOMAIN > >         netbios aliases = server1, server2 > >         server string = Server (PDC) (ver. %v) > >         passdb backend = ldapsam:"ldap://localhost" > >         guest account = guest > >         log file = /var/log/samba/log.%m-%L > >         max log size = 65535 > >         server max protocol = NT1 > >         defer sharing violations = No > >         time server = Yes > >         logon script = %U-%m.vbs > >         logon path = > >         logon home = > >         domain logons = Yes > >         os level = 254 > >         preferred master = Yes > >         domain master = Yes > >         wins support = Yes > >         ldap admin dn = cn=samba,ou=Daemons,dc=example,dc=com > >         ldap group suffix = ou=Groups > >         ldap idmap suffix = ou=Idmap > >         ldap machine suffix = ou=Computers,ou=Accounts > >         ldap passwd sync = yes > >         ldap suffix = dc=example,dc=com > >         ldap user suffix = ou=Users,ou=Accounts > >         winbind enum users = Yes > >         winbind enum groups = Yes > >         idmap config * : range = 10000-50000 > >         ldapsam:trusted = yes > >         idmap config * : backend = ldap:"ldap://localhost" > >         map acl inherit = Yes > >         cups options = raw > >         map archive = No > >         map readonly = no > >         store dos attributes = Yes > >         vfs objects = acl_xattr, streams_xattr > > > > > > На почтовой системе - самба 4.6.15. В логах winbindd никаких > > ошибок/падений/прочих неприятностей нет. Падает именно ntlm_auth. > > > > > > PS А почему не в рассылку? Может, кому еще будет полезно...