samba ads getentt passwd delay/verzögerung

Post Reply
Message
Author
isAG.fz
Posts: 14
Joined: 07. Feb 2007 19:08
Contact:

samba ads getentt passwd delay/verzögerung

#1 Post by isAG.fz »

Hallo zusammen ich habe mit sles9 und sles10 verschiedene Server in die Domäne gebracht und mittels PAM Diensten wie ssh, pureftp und telnet beigebracht sich benutzernamen und passwörter ebenfalls aus der domäne zu ziehen. Unter sles9 wie sles10 funktioniert alles einwandfrei von der funktion her kann ich benutzer abrufen wie auch gruppen, freigaben machen, per ssh mich mit einem domänenbenutzer anmelden, just perfect!!!

Ich habe nur ein Problem unter sles10, dieses tritt unter sles9 nicht auf obwohl die konfiguration ein und die selbe ist!!!! Wenn ich winbind restarte und irgendwas aufrufe wo er auf die domäne zugreifen muss hängt die console 1 bis 2 minuten, das können lokale berechtigungen sein, ssh logins oder ftp logins oder eben ein getent passwd....direkt nach dem stoppen und starten von winbind tritt dieser fehler auf und er ist ziemlich nervig denn dieser tritt unregelmäßig den ganzen tag über auf auch wenn man winbind nicht stoppt und startet....wenn er diese 1 bis 2 minuten einmal überwunden hat funktioniert alles in sekundenschnelle leider kommt es aber paar mal täglich vor, ich kann mir nicht erklären wieso es z.B. unter sles9 nicht so ist, dort gibt es keinerlei probleme, weil in den konfigurationsdateien weicht nicht einmal eine einzige zeile ab


vorab: der nscd ist deaktiviert!!!!! es ist definitiv keine netzüberlastung!!!! es sind max. 50 user die abgerufen werden keine 1000!!! woher kann der delay bzw. die verzögerung/das hängen kommen?
h3h3h3

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#2 Post by Janka »

Evtl. ist bei dem SLES10-Rechner die Namensauflösung mittels DNS falsch oder nicht konfiguriert. Dann versucht er, auf einen nicht existierenden DNS-Server zuzugreifen, bevor er den WINS-Server bemüht. Evtl. ist der Fehler auch in der /etc/hosts-Datei, wenn der DNS-Server mit Namen statt IP-Adresse angegeben ist.

Untersuche mal /etc/resolv.conf, /etc/nsswitch.conf und /etc/hosts.

Wenn da auch alles identisch ist, versuche mal, IPv6 abzuschalten, das sorgt auch manchmal für lustige Fehlerbilder, falls es nicht richtig konfiguriert ist.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

isAG.fz
Posts: 14
Joined: 07. Feb 2007 19:08
Contact:

#3 Post by isAG.fz »

Hallo Janka, danke für deinen schnellen Beitrag und deine Hilfe, ich habe die Konfigurationsdateien gleich verglichen!

unter sles9 wie sles10 ist die resolv, hosts sowie nsswitch gleich! was mir aufgefallen ist dass in der resolv bei beiden lediglich der dns server des routers eingetragen war, aber selbst wenn ich unter sles10 den domänencontroller als ersten dns eintrag setze, den router als zweiten und ipv6 ausschalte ändert sich nichts der sles 9 brauch 3 sekunden um die benutzer abzurufen der sles10 120 :( liegt es vielleicht daran dass der sles10 mit online updates neuere pakete hat (samba, winbind usw.), dürfte aber eigentlich nix machen oder?

so langsam weis ich nicht mehr was das sein könnte, das gibts doch nicht, soll ich die ganzen config dateien mal posten vielleicht hab ich irgend nen fehler drin der dir sofort auffällt...

edit: mir ist gerade noch was aufgefallen wenn ich den server mit dem servernamen anspreche um auf die freigaben von samba zu kommen also z.B. \\testserver dann hat er probleme sich zu authentifiezieren, sprich man kommt nicht auf die freigaben, er verlangt benutzername und passwort, spricht man ihn mit \\192.168.0.55 an dann funzt alles einwandfrei aber mit einer übelsten verzögerung, das geht fast in die richtung netbiosname usw.....irgendwas ist da doch faul, auch wenn ich auf dem DC den computereintrag lösche und der domäne neu beitrete mit kinit und aschliessen net join dauert das jahre bis er das passwort verlangt und schlussendlich in der domäne ist...

hier doch sicherheitshalber mal meine configs:

Code: Select all

/etc/samba/smb.conf
[global]
   workgroup = BSP
   realm = BSP.LOCAL
   idmap uid = 10000-15000
   idmap gid = 10000-15000
   winbind separator = #
   winbind use default domain = Yes
   winbind enum users = Yes
   winbind enum groups = Yes
   security = ADS
   encrypt passwords = Yes
   password server = dcsrv.bsp.local
   client use spnego = Yes
   server string = dcsrv
   template shell = /bin/bash
   template homedir = /home/%U

Code: Select all

/etc/hosts
192.168.224.95 dcclient.bsp.local dcclient
192.168.224.6 dcsrv.bsp.local dcsrv

Code: Select all

/etc/resolve.conf
nameserver 192.168.224.6
nameserver 192.168.224.152
nameserver 145.253.224.11
search bsp

Code: Select all

/etc/nsswitch.conf
passwd: compat winbind
group:  compat winbind

hosts:          files dns
networks:       files dns

services:       files
protocols:      files
rpc:            files
ethers:         files
netmasks:       files
netgroup:       files nis
publickey:      files

bootparams:     files
automount:      files nis
aliases:        files

Code: Select all

/etc/krb5.conf
[libdefaults]
        default_realm = BSP.LOCAL
        clockskew = 300

[realms]
        BSP.LOCAL = {
                kdc = DCSRV.BSP.LOCAL
        }

[domain_realms]
        .bsp.local = BSP.LOCAL

[logging]
    default = FILE:/var/log/krb5/krblibs.log
    kdc= FILE:/var/log/krb5/kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

[appdefaults]
        pam={
        ticket_lifetime = ld
        renew_lifetime = ld
        forwardable = true
        proxiable = false
        retain_after_close = false
        minimum_uid = 0
        debug = true
        }



Und hier noch die logausgaben beim neustarten der samba dienste!

Code: Select all

/var/log/samba/log.nmbd
[2007/09/20 10:58:01, 0] nmbd/nmbd.c:terminate(58)
  Got SIGTERM: going down...
[2007/09/20 10:58:13, 0] nmbd/nmbd.c:main(699)
  Netbios nameserver version 3.0.24-2.28-1354-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006

Code: Select all

/var/log/samba/log.smbd
[2007/09/20 10:57:12, 0] smbd/server.c:main(847)
  smbd version 3.0.24-2.28-1354-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2007/09/20 10:58:10, 0] smbd/server.c:main(847)
  smbd version 3.0.24-2.28-1354-SUSE-CODE10 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006

Code: Select all

/var/log/samba/log.wb.BSP
[2007/09/20 10:58:47, 0] lib/util_sock.c:write_data(564)
  write_data: write failure. Error = Broken pipe
[2007/09/20 10:58:47, 0] nsswitch/winbindd_dual.c:fork_domain_child(963)
  Could not write result

Code: Select all

/var/log/samba/log.winbindd
[2007/09/20 10:59:08, 1] nsswitch/winbindd.c:main(967)
  winbindd version 3.0.24-2.28-1354-SUSE-CODE10 started.
  Copyright The Samba Team 2000-2004
h3h3h3

isAG.fz
Posts: 14
Joined: 07. Feb 2007 19:08
Contact:

#4 Post by isAG.fz »

das schlimmste ist ich kann den server so nicht in betrieb nehmen wenn sich jemand z.b. per telnet oder ssh einloggen will und machmal 2 minuten warten muss bis er eingeloggt ist, oder jemand greift auf die netzwerkfreigaben zu und muss 2 minuten warten bis sich der ordner öffnet, ich weis nicht wo der fehler liegt, bin am ende mit meinem latein :(
h3h3h3

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#5 Post by Janka »

Andererseits: Da du auch noch Kerberos verwendest, passt das Fehlerbild auch hierauf gut -- besonders, da alle Dienste betroffen sind, die PAM (und damit Kerberos) benutzen.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

isAG.fz
Posts: 14
Joined: 07. Feb 2007 19:08
Contact:

#6 Post by isAG.fz »

ich hab jetzt grad ne vmware instanz genommen darauf sles10 geknallt online updates gefahren, den PAM Teil weggelassen, nur samba, winbind und kerberos ohne alles andere, der fehler tritt nach wie vor auf also grenze ich pam schonmal aus!

Das selbe in grün! Habe sogar schon samba 3.0.26 probiert, jedoch ohne erfolg! Entweder ist in der krb5.conf oder in der smb.conf nen Fehler, irgendwas lässt es zu dieser verzögerung kommen ich weis nur nicht was.....meine güte das is nervig, ich bin ratlos mittlerweile

ich kann doch nicht der einzigste sein der dieses Problem hat...
h3h3h3

isAG.fz
Posts: 14
Joined: 07. Feb 2007 19:08
Contact:

#7 Post by isAG.fz »

also irgendwie bin ich doch sehr verblüfft gewesen als ich einfach mal den nscd wieder angefahren hab, egal wo ich bisher etwas über ADS kerberos und PAM gelesen habe wurde immer gesagt dass der nscd Dienst deaktiviert werden soll weil das ansonten zu problemen führen kann also bin ich seid 5 Tagen auf einer Fehlersuche gewesen weil der nscd aus war! Ich hab ihn vorhin angefahren und die delays und verzögerungen sind im nichts verschwunden! Es klappt alles und wirklich alles, bestens (Einloggen mit Domänenbenutzer am KDE, per SSH, Telnet, PureFTP, Freigaben mittels Samba, Homeverzeichnisse)....

Was mir schleierhaft erscheint ist dass ich mit getent passwd als ich den server in die domäne gebracht habe wegen dem nscd dienst die domänenbenutzer nicht angezeigt bekommen habe! auch lokale berechtigungen mit chown domänenbenutzer:domänengruppe ordername haben nicht funktioniert! Deswegen habe ich den nscd deaktiviert und jetzt funktioniert das ganze nicht mehr ohne den nscd und man braucht ihn? hallo? irgendwie versteht ich irgendwelche grundlegenden sachen nicht, bin halt doch nen rookie und kenn mich kein stück aus :)

Ich bin verwirrt! Kann mich einer mal aufklären?
h3h3h3

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#8 Post by Janka »

nscd: Name Service *Cache* Deamon.

Wenn man den nscd einsetzt, merkt sich der Rechner die IPs bereits aufgelöster Hostnamen eine Zeitlang, anstatt immer das DNS oder WINS zu bemühen. Ist bei Modemverbindungen und überlasteteten Nameservern ganz nützlich, dadurch werden aber Änderungen nicht sofort übernommen.

Die in den HOWTOs angesprochenen Probleme wirst du also immer noch haben. Der jetzt aktivierte nscd überdeckt nur irgendein Problem, das du mit der Namensauflösung hast. Es scheint sich also tatsächlich um ein DNS/WINS-Problem handeln.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

isAG.fz
Posts: 14
Joined: 07. Feb 2007 19:08
Contact:

#9 Post by isAG.fz »

hmmm okey aber was für eins? Vielleicht liegt der Fehler am DC selbst? Ich hab jedenfalls am DC selbst mal DNS einträge für die Linux Server getätigt, diese werden nun perfekt aufgelöst aber die delays sind nach wie vor vorhanden.....Der aktive WINS Server macht wohl nur sles10 probleme?
h3h3h3

Post Reply