Atualmente, temos um servidor NAC configurado para autenticação em um Samba4 AD usando o utilitário ntlm_auth e gostaria de torná-lo mais tolerante a interrupções de rede.
Atualmente, quando o NAC perde a conectividade com o Active Directory do Samba4, cada tentativa de login falha. Essa situação costumava ser aceitável, mas se tornou mais problemática agora que nossa topologia de rede mudou.
Eu adicionei "winbind offline logon = true" no smb.conf do NAC e do Samba4 AD de acordo com a documentação do Samba.
Para testar a autenticação off-line, adicionei duas regras do iptables que eliminam todo o tráfego para o servidor do Samba4 Active Directory.
Quando tento autenticar usando o winbind, ele funciona como esperado:
16:52:11-root@hq-networkserv@-
/var/log/samba: wbinfo -K COMPANY\super-user%superpassword
plaintext kerberos password authentication for [COMPANY\super-user%superpassword] succeeded (requesting cctype: FILE)
user_flgs: NETLOGON_CACHED_ACCOUNT
credentials were put in: FILE:/tmp/krb5cc_0
Por outro lado, se eu tentar usar o ntlm_auth usando as seguintes opções, ele falhará:
16:52:35-root@hq-networkserv@-
/var/log/samba: ntlm_auth --use-cached-creds --username=super-user --password=superpassword --domain= COMPANY
NT_STATUS_NO_LOGON_SERVERS: No logon servers (0xc000005e)
O servidor NAC está associado ao domínio Samba4 e tudo funciona bem, desde que a conectividade seja mantida. Entendo que essa solução proposta permitiria apenas a autenticação de clientes autenticados anteriormente, mas isso já seria uma grande melhoria.
Existe alguma maneira de eu conseguir que o ntlm_auth autentique com sucesso durante um período em que ele é incapaz de se conectar ao AD, como o winbind é capaz de fazer?