[Sysadmins] Периодические падения dovecot-auth и ntlm_auth - P8
Москаленко Алексей Владимирович
mav на elserv.msk.su
Пт Июл 27 09:57:02 MSK 2018
По идее, если б проблема была в отключенном ntlmv1, авторизация бы не
проходила с соответствующими сообщениями. Да и ситуация, когда на
клиенте включен только NTLMv2, а на сервере - и v1, и v2, с точки зрения
логики должна работать. А тут хелпер падает, видимо некорректно что-то
делая с вызовами библиотеки tdb (из сообщений bad talloc magic value),
чего вообще не должно быть ни в каких ситуациях. Сам winbind при этом
чувствует себя хорошо, ни на что не ругается.
Причем выявилось именно под нагрузкой - тестирование в течение двух
недель с нагрузкой 3-5 пользователей проблем не выявило.
По проблеме, поднятой в начале обсуждения: третьи сутки работы,
worker/auth из dovecot 2.2.36 не упал ни разу, ntlm_auth упал 7 раз.
В Fri, 27 Jul 2018 09:38:22 +0300 Константин Рыбаков пишет:
> Спасибо за конфиг, так будет проще попробовать воспроизвести.
> Настройка по этой статье
> (https://www.altlinux.org/%D0%9F%D0%BE%D1%87%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_Postfix_Dovecot
> ) работает нормально. Правда нагрузку ваших масштабов дать не могу.
> Не в рассылку, т.к. промахнулся. :) Если будет понятно как исправить,
> то отпишусь в рассылку. И смотрите, во всех новостях про Samba 4.5.0
> указано: "С целью усиления безопасности и блокирования возможных
> MITM-атак по умолчанию отключена аутентификация с использованием
> NTLMv1. Опции "ntlm auth", "lanman auth" и "raw NTLMv2 auth" теперь
> установлены по умолчанию в значение "no", что может повлиять на
> работу старых клиентов, не поддерживающих NTLMv2 (например, NTLMv1
> используется в MSCHAPv2 для VPN и 802.1x);" Может у вас именно в этом
> загвоздка. Попробуйте принудительно включить NTLMv1. Если поможет,
> пожалуйста, напишите.
> https://www.opennet.ru/opennews/art.shtml?num=45098
>
> 27.07.2018, 09:07, "Alex Moskalenko":
>
> > В Thu, 26 Jul 2018 12:44:15 +0300
> > Константин Рыбаков пишет:
> > Какая версия Samba?
> >> NTLMv1 используется или принудительно включен v2?
> >> Можно в добавок к конфигу почтового сервера конфиг сервера Samba?
> >> Просто связка Samba NT4 и NTLM довольно древняя.
> >
> >
> > Здравствуйте!
> >
> > Полностью согласен про древность NT4-режима, но переход на AD-режим
> > тормозится административными заморочками. Именно поэтому (в ожидании
> > перехода) на PDC все еще эта древняя самба, которая кстати работает
> > без вопросов и проблем. :)
> >
> > Информация о PDC:
> > testparm -V
> > Version 4.0.21
> >
> > smb.conf
> > [global]
> > dos charset = CP866
> > unix charset = UTF8
> > workgroup = DOMAIN
> > netbios aliases = server1, server2
> > server string = Server (PDC) (ver. %v)
> > passdb backend = ldapsam:"ldap://localhost"
> > guest account = guest
> > log file = /var/log/samba/log.%m-%L
> > max log size = 65535
> > server max protocol = NT1
> > defer sharing violations = No
> > time server = Yes
> > logon script = %U-%m.vbs
> > logon path =
> > logon home =
> > domain logons = Yes
> > os level = 254
> > preferred master = Yes
> > domain master = Yes
> > wins support = Yes
> > ldap admin dn = cn=samba,ou=Daemons,dc=example,dc=com
> > ldap group suffix = ou=Groups
> > ldap idmap suffix = ou=Idmap
> > ldap machine suffix = ou=Computers,ou=Accounts
> > ldap passwd sync = yes
> > ldap suffix = dc=example,dc=com
> > ldap user suffix = ou=Users,ou=Accounts
> > winbind enum users = Yes
> > winbind enum groups = Yes
> > idmap config * : range = 10000-50000
> > ldapsam:trusted = yes
> > idmap config * : backend = ldap:"ldap://localhost"
> > map acl inherit = Yes
> > cups options = raw
> > map archive = No
> > map readonly = no
> > store dos attributes = Yes
> > vfs objects = acl_xattr, streams_xattr
> >
> >
> > На почтовой системе - самба 4.6.15. В логах winbindd никаких
> > ошибок/падений/прочих неприятностей нет. Падает именно ntlm_auth.
> >
> >
> > PS А почему не в рассылку? Может, кому еще будет полезно...
Подробная информация о списке рассылки Sysadmins