Como eu posso verificar em qual CD meu servidor ubuntu está se autenticando?

1

Eu tenho alguns problemas de autenticação intermitente nos meus servidores Ubuntu 15.04. Eu perguntei sobre esse problema diretamente aqui: Erro de tipo de criptografia Kerberos

Meus DCs do Windows são versões mistas por enquanto (estamos trabalhando para eliminar os DCs mais antigos e atualizar para a versão mais recente.) Como posso verificar em qual CD cada caixa do Ubuntu está sendo autenticada? Apenas usa DNS para encontrar um DC. Cada caixa sempre usará o mesmo CD contanto que esteja disponível, ou usará algum tipo de round robin? Como o problema é intermitente, estou curioso para saber se ele está relacionado apenas a determinados CDs.

    
por mrwboilers 30.10.2015 / 20:06

3 respostas

1

Por padrão, o seu sistema executará pesquisas de round robin, inclusive para o Kerberos.  Se você quiser solucionar isso com controladores de domínio específicos, sugiro adicionar uma entrada de arquivo HOSTS para yourdomain.com e apontá-lo para um controlador específico. Isso tende a ser um método mais seguro do que atualizar toda a sua configuração do kerberos.

Editar:

Em resposta à edição de resposta do Andy, o sssd.conf funcionará se o sistema em questão usar o sssd e o problema estiver dentro do sssd . O perigo são outros aplicativos que também podem estar usando o nome de domínio para vincular. Como resultado, você pode obter resultados inconsistentes. É precisamente por isso que sugiro o método do arquivo hosts. Isso afeta todo o servidor, não apenas um serviço. Descobri que isso é útil em ambientes com vários administradores, especialmente quando /etc não está sob controle de verionização.

    
por 30.10.2015 / 21:08
0

Deve ser possível especificar um dc usando a opção "ad_server" no sssd.conf:

ad_server = dctotest.example.org
    
por 31.10.2015 / 00:41
0

Além do que todos os outros disseram, o krb5_child.log mostra informações muito detalhadas (na medida em que libkrb5 fornece):

{ (Sun Nov 1 21:08:05 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69409: envio de solicitação (274 bytes) para WIN.TRUST.TEST

(domingo, 1 de novembro, 21:08:05, 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69457: Envio da solicitação inicial do UDP para dgram 192.168.122.90:88

(domingo, 1 de novembro, 21:08:05, 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70323: Resposta recebida (100 bytes) do dgram 192.168.122.90:88

(Sun Nov 1 21:08:05 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70394: a resposta era do mestre KDC

enter code h(Sun Nov  1 21:08:05 2015) [[sssd[ldap_child[22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69409: Sending request (274 bytes) to WIN.TRUST.TEST

(domingo, 1 de novembro, 21:08:05, 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.69457: Envio da solicitação inicial do UDP para dgram 192.168.122.90:88

(domingo, 1 de novembro, 21:08:05, 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70323: Resposta recebida (100 bytes) do dgram 192.168.122.90:88

(Sun Nov 1 21:08:05 2015) [[sdd [ldap_child [22284]]]] [sss_child_krb5_trace_cb] (0x4000): [22284] 1446412085.70394: a resposta era do mestre KDC

    
por 01.11.2015 / 22:09