Оффлайн вход под доменными пользователями

[skytrain]

Ubuntu 14.04
Доброго времени суток.
У кого нормально работает оффлайн вход в систему под доменным пользователем?

У меня не работает. В чем дело?
Вот тема https://forum.ubuntu.ru/index.php?topic=163264.0
Не работает.

Максимум - это ответ "No logon servers"
Минимум - просто висяк на модуле pam_krb5. (предполагаю что на нем)

Где уменьшить задержку ожидания доступности сервера?

[skytrain]

Есть кстати сдвиги в этом направлении.

Вот цитата отсюда
http://smb-conf.ru/winbindd.html

Winbind решает ряд проблем, сохраняющихся при простом использовании Kerberos с помощью PAM. В частности, вместо жесткого кодирования контроллера домена для проверки подлинности PAM Winbind выбирает контроллер домена путем поиска по записям локатора DNS подобно тому, как это делает модуль DC LOCATOR Microsoft.

То есть krb5.conf приобрел вид
ladmin@logist2:~$ cat /etc/krb5.conf

(Нажмите, чтобы показать/скрыть)

[libdefaults]
        default_realm = UMO.LOCAL
        dns_lookup_realm = false
        dns_lookup_kdc = true

А так-же для наших версий ПО в ubuntu 14.04.2 нет возможности сделать так
https://wiki.samba.org/index.php/PAM_Offline_Authentication
А именно
smbcontrol winbind offline

И я вручную заставил винбинд кешировать учетку от имени пользователя командой
wbinfo --ccache-save UMO/user%password
, так как винбинд сам этого не делал хреново, несмотря на опцию
winbind offline logon = true в smb.conf

Итоговый вариант /etc/security/pam_winbind.conf
debug=no
debug_state=no
try_first_pass=yes
krb5_auth=no  # нет смысла, так как кэш уничтожается при перезагрузке
#krb5_cache_type=FILE   тоже нет смысла.   
cached_login=yes
silent=no
mkhomedir=yes

Итоговый вариант проверки модуля pam_winbind.so из  common-auth

Код: [Выделить]

auth    [success=1 default=ignore]      pam_winbind.so cached_login try_first_pas
И вошел....

Осталось это дело автоматизировать

[skytrain]

Собственно если все это дело не расписывать то конечным решением оказалось

(Нажмите, чтобы показать/скрыть)

winbind nss info = rfc2307
winbind separator = \\    << Вот тут вся уличная магия
winbind trusted domains only = no
winbind use default domain = yes    << Это тоже важно, чтоб домен в именах учеток не светился.
winbind enum users = true
winbind enum groups = true
winbind refresh tickets = true
# Возможность оффлайн-авторизации при недоступности доменконтроллера
winbind offline logon = true
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
  # Тут можно поставить побольше (минут 5-10-20 минут), если есть удаленные филлиалы и нет желания запариватся с BDC
   # Это к стати не имеет отношения к кэшированию пар логин\пароль... это интервал кэширования списка учеток
winbind cache time = 300

Дело в том, что sadms (тот что с помощью ГУЯ облегчает ввод ПК в домен) устанавливает winbind separator = /
Для samba4, по ходу дел это не катит. Вот на эти грабли я и наступил.

И если у вас нормально работет DNS то в krb5.conf оставьте только

(Нажмите, чтобы показать/скрыть)

[libdefaults]
        default_realm = ВАШ.ДОМЕН
        dns_lookup_realm = false
        dns_lookup_kdc = true

Кто является KDC, винбинд определит сам используя свой плагин-локатор, как и в винде. И вообще процесс связи с KDC сильно ускорится.

И еще.... Важный момент.
init скрипт винбинда запилен под новый NetworkManager, который в случае если сеть настроить нельзя, просто поднимает интерфейс без IP,
Но ifupdown скрипты не поднимают фейс вообще.....
То есть При описании фейсов в /etc/network/interfaces  и если в конфиге /etc/NetworkManager/NetworkManager.conf все установлено так

[ifupdown]
managed=false

Что сути это задает олдскульное поведение.
В итоге, при загрузке без сети винбинд не запустится вообще!!!!

Тогда в конфиге /etc/init/winbind.conf
Нужно изменить строку

start on (local-filesystems and net-device-up IFACE!=lo)

На

start on (local-filesystems)

Файл /etc/security/pam_winbind.conf и /etc/pam.d/common-auth Описаны в предыдущем посте.

И все у вас будет ништяк.