A Autenticação do Active Directory do Cliente Linux para de funcionar quando o failover

6

Eu tenho um problema com os clientes Linux que tentam a autenticação do AD, segmentando um nome DNS ( corp.example.com) . Eu tenho 2 servidores de controlador de domínio DC1 (10.0.0.3/24) , DC2 (10.1.0.3/24) ambos os controladores de domínio para corp.example.com Antes de iniciar isso, cada cliente Linux tinha 1 dos 2 endereços IP dos servidores do AD explicitamente definidos nele. Eu passei e substituí o endereço IP com o nome do domínio (corp.example.com) como mostrado abaixo nas configurações. Testado e funciona muito bem. No entanto, testar o failover desativando um dos servidores do Dome Controller torna alguns clientes do Linux incapazes de autenticar e atingir o tempo limite. Veja failover de DC / DNS com roundrobin de DNS global / comum para meu post original quando eu pensei que era um problema de rede. Nos clientes Linux:

/etc/openldap/ldap.conf

  uri     ldap://DC1 ldap://DC2
    base    dc=corp,dc=example,dc=com

/etc/krb5.conf

[libdefaults]
        default_realm = corp.example.com
        clockskew = 300
        dns_lookup_kdc
#       default_realm = EXAMPLE.COM

[realms]
corp.example.com= {
        kdc = corp.example.com
        default_domain = corp.example.com
        kpasswd_server = corp.example.com
        admin_server = corp.example.com
}
#       EXAMPLE.COM = {
#                kdc = kerberos.example.com
#               admin_server = kerberos.example.com
#       }

[logging]
        kdc = FILE:/var/log/krb5/krb5kdc.log
        admin_server = FILE:/var/log/krb5/kadmind.log
        default = SYSLOG:NOTICE:DAEMON
[domain_realm]
        .corp.example.com = corp.example.com
        .corp = corp.example.com
[appdefaults]
pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        minimum_uid = 1
        external = sshd
        use_shmem = sshd
        clockskew = 300
        retain_after_close = false
}

/etc/resolve.conf

search corp.example.com
nameserver 10.0.0.3
nameserver 10.1.0.3

Isso é o que eu vejo no syslog-ng

Nov 30 09:04:56 linux_client nscd: nss_ldap: failed to bind to LDAP server ldap://ad3: Can't contact LDAP server
Nov 30 09:04:59 linux_client sshd[15585]: nss_ldap: failed to bind to LDAP server ldap://ad3: Can't contact LDAP server
Nov 30 08:50:19 linux_client sshd[15242]: Accepted keyboard-interactive/pam for jim from 10.0.0.231 port 61288 ssh2
Nov 30 08:52:02 linux_client sshd[15284]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 30 08:53:09 linux_client sshd[15284]: pam_unix2(sshd:auth): conversation failed
Nov 30 08:53:16 linux_client sshd[15284]: error: ssh_msg_send: write
Nov 30 08:53:26 linux_client sshd[15284]: pam_krb5[15284]: authentication fails for 'jim' ([email protected]): Authentication failure (Cannot read password)
Nov 30 08:53:26 linux_client sshd[15284]: error: ssh_msg_send: write
Nov 30 08:56:02 linux_client sshd[15289]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 30 08:56:27 linux_client sshd[15289]: pam_krb5[15289]: authentication succeeds for 'jim' ([email protected])
Nov 30 08:57:12 linux_client sshd[15289]: nss_ldap: could not search LDAP server - Server is unavailable
Nov 30 08:57:18 linux_client sshd[15289]: _rebind_proc
Nov 30 08:57:31 linux_client sshd[15289]: _rebind_proc
Nov 30 08:57:34 linux_client sshd[15289]: _rebind_proc
Nov 30 08:57:34 linux_client sshd[15289]: pam_ldap: ldap_result Timed out
Nov 30 08:57:34 linux_client sshd[15289]: error: ssh_msg_send: write

Parece que não está tentando os outros CDs?

    
por Jim 29.11.2012 / 20:18

1 resposta

0

Em vez de usar o DNS para realizar failover em seus controladores de domínio, /etc/openldap/ldap.conf permite usar uma lista separada por espaço de servidores LDAP. Você também pode usar nomes de host em vez de endereços IP reais.

Por exemplo: URI ldap://dc01.corp.example.com ldap://dc02.corp.example.com

Para mais informações, consulte: link

Eu também notei que seus 2 endereços IP de cima estão em sub-redes separadas. Certifique-se de que seus clientes tenham comunicação para ambos. Você já investigou problemas de rede, então provavelmente você está bem, mas eu gostaria de mencionar isso apenas no caso.

    
por 29.11.2012 / 22:43