По идее, если б проблема была в отключенном ntlmv1, авторизация бы не
проходила с соответствующими сообщениями. Да и ситуация, когда на
клиенте включен только NTLMv2, а на сервере - и v1, и v2, с точки зрения
логики должна работать. А тут хелпер падает, видимо некорректно что-то
делая с вызовами библиотеки tdb (из сообщений bad talloc magic value),
чего вообще не должно быть ни в каких ситуациях. Сам winbind при этом
чувствует себя хорошо, ни на что не ругается.
Причем выявилось именно под нагрузкой - тестирование в течение двух
недель с нагрузкой 3-5 пользователей проблем не выявило.
По проблеме, поднятой в начале обсуждения: третьи сутки работы,
worker/auth из dovecot 2.2.36 не упал ни разу, ntlm_auth упал 7 раз.
В Fri, 27 Jul 2018 09:38:22 +0300 Константин Рыбаков пишет:
Спасибо за конфиг, так будет проще попробовать воспроизвести.
Настройка по этой статье
(https://www.altlinux.org/%D0%9F%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_Postfix_Dovecot
) работает нормально. Правда нагрузку ваших масштабов дать не могу.
Не в рассылку, т.к. промахнулся. :) Если будет понятно как исправить,
то отпишусь в рассылку. И смотрите, во всех новостях про Samba 4.5.0
указано: "С целью усиления безопасности и блокирования возможных
MITM-атак по умолчанию отключена аутентификация с использованием
NTLMv1. Опции "ntlm auth", "lanman auth" и "raw NTLMv2 auth" теперь
установлены по умолчанию в значение "no", что может повлиять на
работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1
используется в MSCHAPv2 для VPN и 802.1x);" Может у вас именно в этом
загвоздка. Попробуйте принудительно включить NTLMv1. Если поможет,
пожалуйста, напишите.
https://www.opennet.ru/opennews/art.shtml?num=45098
27.07.2018, 09:07, "Alex Moskalenko":
> В Thu, 26 Jul 2018 12:44:15 +0300
> Константин Рыбаков пишет:
> Какая версия Samba?
>> NTLMv1 используется или принудительно включен v2?
>> Можно в добавок к конфигу почтового сервера конфиг сервера Samba?
>> Просто связка Samba NT4 и NTLM довольно древняя.
>
>
> Здравствуйте!
>
> Полностью согласен про древность NT4-режима, но переход на AD-режим
> тормозится административными заморочками. Именно поэтому (в ожидании
> перехода) на PDC все еще эта древняя самба, которая кстати работает
> без вопросов и проблем. :)
>
> Информация о PDC:
> testparm -V
> Version 4.0.21
>
> smb.conf
> [global]
> dos charset = CP866
> unix charset = UTF8
> workgroup = DOMAIN
> netbios aliases = server1, server2
> server string = Server (PDC) (ver. %v)
> passdb backend = ldapsam:"ldap://localhost";
> guest account = guest
> log file = /var/log/samba/log.%m-%L
> max log size = 65535
> server max protocol = NT1
> defer sharing violations = No
> time server = Yes
> logon script = %U-%m.vbs
> logon path =
> logon home =
> domain logons = Yes
> os level = 254
> preferred master = Yes
> domain master = Yes
> wins support = Yes
> ldap admin dn = cn=samba,ou=Daemons,dc=example,dc=com
> ldap group suffix = ou=Groups
> ldap idmap suffix = ou=Idmap
> ldap machine suffix = ou=Computers,ou=Accounts
> ldap passwd sync = yes
> ldap suffix = dc=example,dc=com
> ldap user suffix = ou=Users,ou=Accounts
> winbind enum users = Yes
> winbind enum groups = Yes
> idmap config * : range = 10000-50000
> ldapsam:trusted = yes
> idmap config * : backend = ldap:"ldap://localhost";
> map acl inherit = Yes
> cups options = raw
> map archive = No
> map readonly = no
> store dos attributes = Yes
> vfs objects = acl_xattr, streams_xattr
>
>
> На почтовой системе - самба 4.6.15. В логах winbindd никаких
> ошибок/падений/прочих неприятностей нет. Падает именно ntlm_auth.
>
>
> PS А почему не в рассылку? Может, кому еще будет полезно...
_______________________________________________
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins
