[Samba-it] samba in cluster e autenticazione NTLM che fallisce quando il nodo primario cade.

Mario Vittorio Guenzi jclark at tiscali.it
Wed Mar 21 01:45:43 MDT 2012


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Buongiorno a tutti,
ho una situazione di questo tipo in ditta
a) cluster si servers  A/p composto da 2 macchine hertbeat+drbd macchina
Master sangiusto macchina slave sanmarco, in cluster hanno samba winbind
bind9 e un po di altre cosette virtualizzano l'indirizzo 192.168.2.10
che in DNS e' cluster.oceano.lan
b) cluster di firewall A/p stessa configurazione dll'altro cluster
macchina Master sangiorgio macchina slave perseo in cluster hanno
squid3+dansguardian+squid e un altro paio di Kg di ammenicoli vari,
virtualizzano 192.168.2.241 che in DNS e' proxy.oceano.lan.
L'autenticazione su squid3 e' ottenuta mediante NTLM le 2 macchine
firewall sono state joinate entrambe al dominio quando erano in
modalita' attiva
A seguito di lavori vari di manutenzione che stiamo facendo mi sono
accorto che se per un qualsiasi motivo spengo il nodo sangiusto
(macchina Master del cluster di servers) lo slave fa il take delel
risorse senza nessun problema le share vanno tutte al loro posto ma non
c'e' verso di ottenere l'autenticazione sul proxy, vale a dire che il
browser chiede user e pw e per quante volte gli si diano i  valori
(corretti ovviamente) "ghe n'e' minga! (non ce n'e').
Aggiungo che se da sangiorgio (proxy) con il nodo principale dei server
attivo faccio un wbinfo -u ottengo l'elenco degli user se lo faccio sul
secondario cioe' con sangiusto off mi restituisce solo l'utente locale.
Cosa sbaglio?
Grazie e cordiali saluti

Di segito i smb.conf delle 2 configurazioni.
Server:
[global]
        workgroup = OCEANO
        netbios name = CLUSTER
        server string = %h  (Sangiusto files and prints server %v)
        interfaces = eth0, eth0:0, 172.19.170.0/24, lo
        bind interfaces only = Yes
        obey pam restrictions = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
*Retype\snew\sUNIX\spassword:* %n\n .
        unix password sync = Yes
        log level = 2
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 10000
        name resolve order = host wins bcast
        time server = Yes
        socket options = TCP_NODELAY IPTOS_LOWDELAY  SO_SNDBUF=65536
SO_RCVBUF=65536 SO_KEEPALIVE
        # read raw = yes/no
        # write raw = yes/no
        # max xmit = 65535/131072
        # use sendfile = Yes/No
        deadtime = 15
        printcap name = cups
        add machine script = /usr/sbin/adduser -n -g machines -c Machine
- -d /dev/null -s /bin/false %u
        add group script = /usr/sbin/addgroup --force-badname %g
        logon script = %U.bat
        logon path = \\%L\profiles\%U
        logon drive = H:
        domain logons = Yes
        os level = 65
        preferred master = Yes
        domain master = Yes
        wins support = Yes
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum groups = yes
        winbind enum users = yes


        client ntlmv2 auth = yes
        wins proxy = No
        lanman auth = yes
        ntlm auth = Yes

        admin users = root
        printer admin = @admin
        hosts allow = 127., 192.168.2., 172.19.170.
        browse list = yes

[netlogon]
        comment = Servizio di logon di dominio
        path = /etcvar/var/samba/logon
        create mask = 0664
        browseable = No

[profiles]
        path = /etcvar/var/samba/ntprofiles/%U
        read only = No
        create mask = 0600
        directory mask = 0700
[homes]
        comment = Cartella personale
        read only = No
        create mask = 0700
        directory mask = 0700
        browseable = No

seguono stampanti e shares.

Firewall

[global]
server string = sangiorgio  Samba Proxy
password server = cluster
security = domain
preferred master = no
local master = no
domain master = no
#wins server = cluster.oceano.lan
### pare che ci voglia l'IP e non il nome
wins server = 192.168.2.10
os level = 0
## samba ascolta solo sulla loopback sulla eth1  sulla eth1:0 e eth1:1
interfaces = eth1, eth1:0, eth1:1, lo
bind interfaces only = Yes
## accetta solo queste reti
hosts allow = 127. 192.168.2.
encrypt passwords = true
workgroup = OCEANO
;winbind separator = @
winbind separator = +
template homedir = /home/%D%U
template shell = /bin/bash
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
log file = /var/log/samba.%m
max log size = 50
socket options = TCP_NODELAY
realm = OCEANO.LAN
### prova per evitare di vedere gli errori di cups
load printers = no
show add printer wizard = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes



- -- 

Mario Vittorio Guenzi
E-mail jclark a tiscali.it
Si vis pacem, para bellum
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAk9phycACgkQm6qs1ZkNrIoTSACgg/tObxH1IcnpVGeIpl/B/LqY
j3wAn2G7G2RhxfVjz3P9warnLJHTUbwG
=Xeqi
-----END PGP SIGNATURE-----


More information about the samba-it mailing list