[samba] Проблемы с Winbind на Samba PDC

Alexander Bokovoy =?iso-8859-1?q?ab_=CE=C1_altlinux=2Eorg?=
Чт Май 29 09:55:47 MSD 2008 

22 мая 2008 г. 21:18 пользователь Alex Moskalenko <mav на elserv.msk.su> написал:
> В сообщении от Wed 21 May 2008 14:21:58 Alexander Bokovoy написал(а):
>> 21 мая 2008 г. 14:06 пользователь Alex Moskalenko <mav на elserv.msk.su>
> написал:
>> > Checking out files: 100% (3116/3116), done.
>> Тут все получилось успешно.
>> > bash-3.2$ cd samba
>> > bash-3.2$ git checkout v3-0-test
>> git-checkout -b v3-0-local origin/v3-0-test
>> Дерево исходников по умолчанию указывает на текущую ветку (3-2-test
>> или 3-3-test).
>
> В итоге получилось дерево 3.0.29-test. Собрал его со spec-файлом от
> samba-3.0.28-alt1 из branch 4.0 (пришлось выкинуть документацию, так как ее
> формат и расположение изменились). Проблема осталась. При работе samba
> 3.0.29-test нет подвисаний и сообщений об ошибках winbind в логах, но
> wbinfo -t/wbinfo -a не работают (NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
> (0xc0000233)). При работе samba-3.0.28 из branch wbinfo -t/wbinfo -a
> работают, но имеем подвисания и сообщения об ошибках winbind в логах...
>
> Что-то ну никак не получается приемлемая работа winbind на PDC... :(
#5489 на bugzilla.samba.org сейчас отслеживает патчи для этого случая.
Там нетривиальная ситуация, но она, надеюсь, скоро будет разрешена.
https://bugzilla.samba.org/show_bug.cgi?id=5489

Смысл ситуации в том, что winbindd спроектирован с идеей, что
контроллер домена всегда доступен. Поэтому из любой точки  winbindd к
нему идут обращения. Если он недоступен (например, для trusted
domain), то такой домен помечается как находящийся в "выключенном"
состоянии и операции с ним временно не выполняются. Проблема состоит в
том, что где-то по дороге потеряли логику работы с своим доменом в том
случае, если PDC и winbindd находятся на одной и той же машине. То
есть, к smbd тоже пытаются пробиться через стандартные пути
(соединение с netlogon), но на локальной машине это запрещено, потому
что этот локальный PDC сам использует winbindd для разрешения имен и
поэтому может возникнуть петля и блокировка. Поэтому на локальной
машине winbindd должен смотреть напрямую в базы idmap/passdb. А он
этого не делает, потому что где-то на полпути собственный домен
помечается как "выключенный" и на одном из уровней внутри winbindd
запрос отвергается -- с "выключенными" доменами мы операции временно
не выполняем.

Я думаю, что еще несколько дней уйдет в #5489 на дискуссии о лучшем
варианте решения проблемы.
-- 
/ Alexander Bokovoy

Подробная информация о списке рассылки Samba