[Samba-it] samba in cluster e autenticazione NTLM che fallisce quando il nodo primario cade.
Mario Vittorio Guenzi
jclark at tiscali.it
Wed Mar 21 01:45:43 MDT 2012
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Buongiorno a tutti,
ho una situazione di questo tipo in ditta
a) cluster si servers A/p composto da 2 macchine hertbeat+drbd macchina
Master sangiusto macchina slave sanmarco, in cluster hanno samba winbind
bind9 e un po di altre cosette virtualizzano l'indirizzo 192.168.2.10
che in DNS e' cluster.oceano.lan
b) cluster di firewall A/p stessa configurazione dll'altro cluster
macchina Master sangiorgio macchina slave perseo in cluster hanno
squid3+dansguardian+squid e un altro paio di Kg di ammenicoli vari,
virtualizzano 192.168.2.241 che in DNS e' proxy.oceano.lan.
L'autenticazione su squid3 e' ottenuta mediante NTLM le 2 macchine
firewall sono state joinate entrambe al dominio quando erano in
modalita' attiva
A seguito di lavori vari di manutenzione che stiamo facendo mi sono
accorto che se per un qualsiasi motivo spengo il nodo sangiusto
(macchina Master del cluster di servers) lo slave fa il take delel
risorse senza nessun problema le share vanno tutte al loro posto ma non
c'e' verso di ottenere l'autenticazione sul proxy, vale a dire che il
browser chiede user e pw e per quante volte gli si diano i valori
(corretti ovviamente) "ghe n'e' minga! (non ce n'e').
Aggiungo che se da sangiorgio (proxy) con il nodo principale dei server
attivo faccio un wbinfo -u ottengo l'elenco degli user se lo faccio sul
secondario cioe' con sangiusto off mi restituisce solo l'utente locale.
Cosa sbaglio?
Grazie e cordiali saluti
Di segito i smb.conf delle 2 configurazioni.
Server:
[global]
workgroup = OCEANO
netbios name = CLUSTER
server string = %h (Sangiusto files and prints server %v)
interfaces = eth0, eth0:0, 172.19.170.0/24, lo
bind interfaces only = Yes
obey pam restrictions = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
*Retype\snew\sUNIX\spassword:* %n\n .
unix password sync = Yes
log level = 2
syslog = 0
log file = /var/log/samba/log.%m
max log size = 10000
name resolve order = host wins bcast
time server = Yes
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=65536
SO_RCVBUF=65536 SO_KEEPALIVE
# read raw = yes/no
# write raw = yes/no
# max xmit = 65535/131072
# use sendfile = Yes/No
deadtime = 15
printcap name = cups
add machine script = /usr/sbin/adduser -n -g machines -c Machine
- -d /dev/null -s /bin/false %u
add group script = /usr/sbin/addgroup --force-badname %g
logon script = %U.bat
logon path = \\%L\profiles\%U
logon drive = H:
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
wins support = Yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
client ntlmv2 auth = yes
wins proxy = No
lanman auth = yes
ntlm auth = Yes
admin users = root
printer admin = @admin
hosts allow = 127., 192.168.2., 172.19.170.
browse list = yes
[netlogon]
comment = Servizio di logon di dominio
path = /etcvar/var/samba/logon
create mask = 0664
browseable = No
[profiles]
path = /etcvar/var/samba/ntprofiles/%U
read only = No
create mask = 0600
directory mask = 0700
[homes]
comment = Cartella personale
read only = No
create mask = 0700
directory mask = 0700
browseable = No
seguono stampanti e shares.
Firewall
[global]
server string = sangiorgio Samba Proxy
password server = cluster
security = domain
preferred master = no
local master = no
domain master = no
#wins server = cluster.oceano.lan
### pare che ci voglia l'IP e non il nome
wins server = 192.168.2.10
os level = 0
## samba ascolta solo sulla loopback sulla eth1 sulla eth1:0 e eth1:1
interfaces = eth1, eth1:0, eth1:1, lo
bind interfaces only = Yes
## accetta solo queste reti
hosts allow = 127. 192.168.2.
encrypt passwords = true
workgroup = OCEANO
;winbind separator = @
winbind separator = +
template homedir = /home/%D%U
template shell = /bin/bash
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
log file = /var/log/samba.%m
max log size = 50
socket options = TCP_NODELAY
realm = OCEANO.LAN
### prova per evitare di vedere gli errori di cups
load printers = no
show add printer wizard = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
- --
Mario Vittorio Guenzi
E-mail jclark a tiscali.it
Si vis pacem, para bellum
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAk9phycACgkQm6qs1ZkNrIoTSACgg/tObxH1IcnpVGeIpl/B/LqY
j3wAn2G7G2RhxfVjz3P9warnLJHTUbwG
=Xeqi
-----END PGP SIGNATURE-----
More information about the samba-it
mailing list