Hallo zusammen,
habe mich soeben hier im Forum angemeldet in der Hoffnung Hilfe für mein Problem zu finden. Folgendes Setup habe ich im Einsatz.
Ubunut 16.04.3 LTS Server installation, welcher als Squid-Proxy fungiert. In meiner Squid Konfiguration nutze ich einen AD Zugriff mittels Kerberos Authentifizierung. Damit dieses funktioniert und ich mittels Keytab File die Authentifizierung ohne Usernamen/Passwort durchführen kann, wurden folgende Pakete installiert:
krb5-kdc krb5-config krb5-multidev krb5-user libauthen-krb5-perl libauthen-krb5-simple-perl libauthen-sasl-perl winbind
In der /etc/krb5.conf Datei habe ich alle notwendigen Informationen zu unserer Domain eingetragen. Der AD Join des Servers hat ohne Probleme funktioniert. Auch Abfragen mittels wbinfo -u beispielsweise funktionieren ohne weiteres. Die Integration in die Squidkonfiguration funktioniert auch ohne Probleme. Somit kann man sagen, dass die Funktionalität ansich gegeben ist.
Nun aber zu dem Problem. Wir werten AD Logons von Usernamen aus, die nicht in der Domäne verfügbar sind. Dabei fällt auf, dass von dem oben genannten Squidserver zyklisch ein Login Versuch des Users root gegen die AD durchgeführt wird. Dieser ist natürlich zum Scheitern verurteilt, da es den User nicht gibt. Für mich sieht es so aus, als wenn der winbindd Prozess dafür verantwortlich ist bzw. der Samba Prozess. Leider habe ich keinen Schimmer wie ich dieses Verhalten unterbinden kann.
Habt ihr ggf. eine Idee wo ich welche Konfigurationsdatei wie bearbeiten muss, damit die lokalen Benutzer keine Abfrage an die AD machen?
Danke.
[edit] Habe nun nochmals die Logfiles durchgeschaut und dabei bin ich in dem log.winbindd-idmap Log unter /var/log/samba auf folgendes gestoßen:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | [2018/03/27 13:43:16.227421, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_cm.c:566(set_domain_online_request) set_domain_online_request: called for domain DOMAIN [2018/03/27 13:43:16.238935, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_cm.c:601(set_domain_online_request) set_domain_online_request: domain DOMAIN was globally offline. [2018/03/27 13:43:16.238993, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual.c:69(child_read_request) Need to read 182 extra bytes [2018/03/27 13:43:16.239026, 4, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual.c:1389(child_handler) child daemon request 59 [2018/03/27 13:43:16.239043, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual.c:512(child_process_request) child_process_request: request fn NDRCMD [2018/03/27 13:43:16.239059, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual_ndr.c:315(winbindd_dual_ndrcmd) winbindd_dual_ndrcmd: Running command WBINT_SIDS2UNIXIDS (no domain) [2018/03/27 13:43:16.261902, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual_srv.c:198(_wbint_Sids2UnixIDs) sids_to_unixids returned NT_STATUS_OK [2018/03/27 13:43:16.261939, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual_srv.c:198(_wbint_Sids2UnixIDs) sids_to_unixids returned NT_STATUS_OK [2018/03/27 13:43:16.261964, 4, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual.c:1397(child_handler) Finished processing child request 59 [2018/03/27 13:43:16.261980, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_dual.c:104(child_write_response) Writing 3548 bytes to parent [2018/03/27 13:43:21.244106, 10, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_cm.c:304(check_domain_online_handler) check_domain_online_handler: called for domain DOMAIN (online = False) [2018/03/27 13:43:21.248183, 5, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_cm.c:160(msg_try_to_go_online) msg_try_to_go_online: received for domain DOMAIN. [2018/03/27 13:43:21.248224, 3, pid=1736, effective(0, 0), real(0, 0), class=winbind] ../source3/winbindd/winbindd_cm.c:2118(connection_ok) connection_ok: Connection to (null) for domain DOMAIN is not connected |
Wie man sieht wird beim Starten des Services "winbindd" ein Verbindungsaufbau zur DOMAIN durchgeführt. Da der Service als User root läuft, wird offensichtlich dieser Verbindungsversuch mit diesem User durchgeführt. Gibt es eine Möglichkeit den User zu ändern bzw. diesen Verbindungstest zu unterbinden?