Кэш билетов Kerberos

[skytrain]

Ubuntu 14.04

Доброго времени суток.
Выяснилось что кэширование тикетов kerberos не работает. Точнее работает, но не так как нужно.
Суть в чем:
По дефолту (только в UBUNTU), кэш - это файл в /tmp под именем krb5cc_ID_XXXXX.
Где ХХХХХ сессионные (т-е всегда разные). То есть после перезагрузки идентификатор будет отличаться.

По идее при недоступности DC, модуль pam_winbind читает кэш из файла /tmp/krb5cc_ID
И для работы pam_winbind необходим либо идентификатор старой сессии (что-бы дополнить имя читаемого файла кеша этими рандомными XXXXX), либо сессионно - независимый файл с кэшем, в формате описанном тут http://web.mit.edu/kerberos/krb5-1.12/doc/mitK5defaults.html#paths
То есть в формате FILE:/tmp/krb5cc_%{uid}

Сказано - сделано.
Нашелся материал для примера
http://diswww.mit.edu:8008/menelaus.mit.edu/kerberos/36692

И ничего.... Имя как было с идентификатором сессии, так и осталось.
Кеширование в полурабочем состоянии.
Я в ужасе.

Заранее спасибо.
Пользователь решил продолжить мысль 21 Апреля 2015, 13:24:27:По умолчанию, кэш билетов сохраняется в каталог /tmp.
Что там может сохраниться после перезагрузки?
Выдержка из мануала http://manpages.ubuntu.com/manpages/dapper/man5/pam_krb5.5.html

(Нажмите, чтобы показать/скрыть)

ccache=<name>
              Use <name> as the credentials cache.  <name> must be in the form
              type:residual (where type is optional if a file cache is  used).
              The special tokens %u, to designate the decimal uid of the user,
              and %p, to designate the current process  id,  can  be  used  in
              <name>.   If  <name>  ends  with  the literal string XXXXXX (six
              X’s),  that  string  will  be  replaced  by  randomly  generated
              characters  and  the  ticket  cache opened via mkstemp.  This is
              strongly  recommended  if  <name>  points  to  a  world-writable
              directory.

       ccache_dir=<dir>
              Put  the  ticket  cache in <dir> instead of the default of /tmp.
              Ignored if ccache is also set.

Я буду очень рад если найдутся те, кому не все равно....
Документация про оффлайн логин
https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows
 уже не актуальна.

[skytrain]

Вроде решил, но думаю что не до конца.
Создал папку /krb5

Добавил в /etc/krb5.conf это

Код: [Выделить]

[appdefaults]
                pam = {
                ccache = FILE:/krb5/krb5cc_%u
          }Ну и /etc/security/pam_winbind.conf

Код: [Выделить]

#[global]
# turn on debugging
debug = yes
# request a cached login if possible
# (needs «winbind offline logon = yes» in smb.conf)
cached_login = yes
# authenticate using kerberos
krb5_auth = yes
# when using kerberos, request a «FILE» krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
krb5_ccache_type = FILE:/krb5/krb5cc_%u
# make successful authentication dependend on membership of one SID
# (can also take a name)
silent = no
Вот тут
https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1165461
советуют добавить в smb.conf
winbind offline logon = yes
lock directory = /var/cache/samba/

Из минусов - огромное время ожидания доступности DC.
Надо допиливать. Не поверю, что все будет гладко...
Тему пока оставляю открытой, так как не знаю как будет работать.
Пользователь решил продолжить мысль 22 Апреля 2015, 12:12:13:Работает вроде, но не стабильно.
После оффлайн входа, если включить сеть, то при подключении к шарам требует пароль.
Новых билетов не получает и не обновляет.