Problema na autenticação NTLM (Active Directory)

D@rk · 22 de Outubro de 2013, 14:34

Boa tarde,

Tenho um Ubuntu Server 13.4 autenticação no Active Directory e a princípio autentica, sem problemas. Porém em um determinado momento, a conexão cai. Ao que me parece pode ser problemas no winbind, mas não tenho certeza.

Nos comandos wbinfo -t e wbinfo -u ele responde de forma positiva. Nos logs do squid ele começa a dar ACCESS DENIED e nada a mais, então verifiquei os logs do winbind.

Segue:

Código Selecionar


[2013/10/21 09:31:12.669009,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [ 1035]: request location of privileged pipe
[2013/10/21 09:31:12.669596,  3] winbindd/winbindd_misc.c:394(winbindd_domain_name)
  [ 1035]: request domain name
[2013/10/21 09:31:12.706656,  3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
  [ 1036]: request interface version
[2013/10/21 09:31:12.707005,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [ 1036]: request location of privileged pipe
[2013/10/21 09:31:12.707582,  3] winbindd/winbindd_misc.c:394(winbindd_domain_name)
  [ 1036]: request domain name
[2013/10/21 09:31:12.742651,  3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
  [ 1040]: request interface version
[2013/10/21 09:31:12.743043,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [ 1040]: request location of privileged pipe
[2013/10/21 09:31:12.743618,  3] winbindd/winbindd_misc.c:394(winbindd_domain_name)
  [ 1040]: request domain name
[2013/10/21 09:31:21.509719,  3] winbindd/winbindd_misc.c:405(winbindd_netbios_name)
  [  968]: request netbios name
[2013/10/21 09:31:21.539491,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
  [  968]: pam auth crap domain: [DOMAINNAME] user: pedro.costa
[2013/10/21 09:31:25.355672,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
  [  968]: pam auth crap domain: [DOMAINNAME] user: pedro.costa
[2013/10/21 09:31:30.913681,  3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
  [ 1487]: request interface version
[2013/10/21 09:31:30.914234,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [ 1487]: request location of privileged pipe
[2013/10/21 09:31:30.915690,  3] winbindd/winbindd_sids_to_xids.c:63(winbindd_sids_to_xids_send)
  sids_to_xids
[2013/10/21 09:31:37.882803,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
  [  968]: pam auth crap domain: [DOMAINNAME] user: pedro.costa
[2013/10/21 09:32:17.456886,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
  [  968]: pam auth crap domain: [DOMAINNAME] user: pedro.costa
[2013/10/21 09:32:39.285362,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
  [  968]: pam auth crap domain: [DOMAINNAME] user: pedro.costa
[2013/10/21 09:32:39.323806,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)

Percebo que ele perde a conectividade com o winbind durante um tempo curto. (request interface version) e (request netbios name)

Percebo também que ao ocorrer este problema com o winbind, quando digito o comando net ads info, fica da seguinte forma:

Código Selecionar

root@matrix:~# net ads info
ads_connect: No logon servers
ads_connect: No logon servers
Didn't find the ldap server!

Como posso resolver isso?

Abs.

zekkerj · 22 de Outubro de 2013, 19:40

CitarPorém em um determinado momento, a conexão cai.

Tenta descobrir com mais precisão que momento é este.

D@rk · 22 de Outubro de 2013, 20:09

rapaz... n tem hora nem minuto certo. De repente estou navegando e acontece....

Eu deixo os logs do squid aberto, e também do winbind. Porém do squid só começa a negar tudo... no winbind eu vi esse erro mais preciso...

Acredito que seja algo de permissão no winbind....

zekkerj · 23 de Outubro de 2013, 00:15

Mas vc concorda que as mesmas permissões são as mesmas na hora em que está funcionando e na hora que dá problema?

D@rk · 23 de Outubro de 2013, 07:51

Tudo bem, mas é um caso sem explicação. Você tem alguma sugestão? não é problema de rede, tenho certeza. Tenho outro proxy em paralelo funcionando e nunca cai, porém este não tem autenticação aos grupos do AD.

Por isso eu acredito que deve existir algum problema na autenticação ou permissão.... porém estou sem ideias do que possa ser.

zekkerj · 23 de Outubro de 2013, 09:41

Sem explicação são as permissões funcionarem numa hora e na outra não. Já dizia Einstein: "Loucura é você realizar o mesmo experimento com os mesmos dados, e esperar resultados diferentes".

Então a menos que esteja havendo alguma alteração nas permissões, o funcionamento tem que ser o mesmo antes e depois da falha.

Invista em acompanhar o funcionamento do processo em si. Uma coisa que pode acontecer (e acontece) é o processo falhar, cair, ou bloquear algum recurso indevidamente. E o winbindd é muito menos usado que o Samba, e por isso mesmo muito menos depurado.

Aliás, se você quer uma sugestão... eu não usaria a autenticação me baseando no winbindd. O AD responde como LDAP, pq vc não autentica o Squid diretamente no LDAP? Assim você elimina uma peça no quebra-cabeças, é uma coisa a menos pra falhar.

D@rk · 23 de Outubro de 2013, 16:20

A minha autenticação é do Squid no AD

zekkerj · 23 de Outubro de 2013, 18:33

Citação de: D@rk online 23 de Outubro de 2013, 16:20
A minha autenticação é do Squid no AD

Mais um motivo pra não usar o winbind então. Use a função de LDAP pra autenticar o Squid diretamente no AD sem usar o NTLM.