Re: Fallo en autenticación sobre SAMBA. [SOLUCIONADO]

To: debian-user-spanish <debian-user-spanish@lists.debian.org>
Subject: Re: Fallo en autenticación sobre SAMBA. [SOLUCIONADO]
From: JAP <javier.debian.bb.ar@gmail.com>
Date: Thu, 01 Mar 2012 18:24:42 -0300
Message-id: <[🔎] 1330637082.5400.10.camel@ibbaw250.rina.armada>
In-reply-to: <jij5hj$4vb$15@dough.gmane.org>
References: <1330257801.4140.14.camel@ibbaw250.rina.armada> <jidrs2$69j$31@dough.gmane.org> <CAG0od5fA-deU1iQ9+Qe336ocaeicUQjWwmRQ3dFc4tv1qB0pDg@mail.gmail.com> <jij5hj$4vb$15@dough.gmane.org>

El mar, 28-02-2012 a las 18:14 +0000, Camaleón escribió:

El Tue, 28 Feb 2012 14:58:32 -0300, Javier Argentina escribió:

(ese html...)

> El 26 de febrero de 2012 14:58, Camaleón <noelamac@gmail.com> escribió:

>> Mmm, ¿qué se ha caído, el servidor que permite a los usuarios
>> autentificarse e iniciar sesión o tu samba?
>>
> El servidor PDC de Win2010 que permite a los usuarios identificarse en
> la red.

¿Pero en qué afecta eso a tu samba? Si no le afectara en nada no se 
quedaría colgado ¿no crees?

Simple, no puedo iniciar mi sesión KDE porque intentaba autenticar primero contra winbind.

La solución fue cambiar el orden de autenticación como detallo a continuación:

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules. See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
auth [success=3 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=2 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config

Invertí el original

auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=2 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth [success=1 default=ignore] pam_unix.so nullok_secure try_first_pass

por

auth [success=3 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=2 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass

De esta manera, primero intenta la autenticación con clave unix, y si no tiene suerte, después lo hace contra krb5 y winbind.

> > La solución fue arrancar en modo recuperación y eliminar (apt-get
>> > remove samba winbind) esos paquetes y los que tiene asociados, por lo
>> > que estoy trabajando en modo local.
>>
>> Qué radical... a ver, ¿no podías iniciar en modo seguro (init 1)? Esto
>> lo puedes forzar desde el menú de arranque de GRUB, entras en modo de
>> edición (e) y añades "1" en la línea del kernel, "F10" para continuar
>> con el proceso de arranque. Así no iniciará la red ni samba ni ná, pero
>> al menos podrás acceder al sistema... siempre y cuando no necesites
>> tirar del PDC para iniciar la sesión local, claro.
>>
> Lo he iniciado en modo seguro y arranca bien, pero si no elimino samba
> y winbind, cuando doy la orden de continuar  el proceso de carga, se
> vuelve a colgar, pues no encuentran al maldito servidor de claves.

A ver... ¿necesitas samba en ese equipo?

¿Qué sucede con las estaciones windows cuando las inicias y el PDC está 
parado? Pues lo mismo le pasa al samba :-)

Si lo necesitas tendrás que configurarlo adecuadamente para que cuando el 
el PDC no esté accesible se inicie sin problemas.

La solución que puse, lo hizo.

> Hombre, si lo necesitas para autentificar tu servidor, es normal :-?
>>
>>
> Justamente, lo que quiero es que esos tres demonio NO se cuelguen. Si no
> me autentican, no me molesta, lo que molesta es que se cuelgan. Por
> ejemplo, cuando mi clave de dominio está cancelada (Evolution a veces
> tiene algunas malas manías y me bloquea la cuenta al tercer intento de
> clave errónea), el sistema carga sin problemas y accedo con una clave
> local. Es decir, SI el demonio está corriendo, aunque NO tenga acceso al
> PDC, le pasa la posta al login normal, de manera que puedo ingresar.
> Ahora bien, si NO puede acceder al PDC AL MOMENTO DEL ARRANQUE, se
> cuelgan los demonios.

Pues tendrás que ver por qué se cuelga. Para evitar dejarte el sistema 
parado, haz una prueba una vez que haya cargado el sistema, apaga el 
equipo del PDC (obviamente cuando no haya nadie en la oficina) y reinicia 
samba a ver qué te escupe en los registros.

>> Puedes desactivarlos para que no se inicien al arrancar el equipo e
>> iniciarlos manualmente pero me parece un poco cutre :-)
>>
> Justamente, nada cutre.

No sé qué decirte... si algún cliente de la red necesita acceder a tu 
samba y éste está detenido, vas a recibir llamadas cada dos por tres :-)

Lo suyo es determinar por qué se queda pillado y darle una solución para 
que independientemente de que el PDC esté o no accesible, samba trabaje 
sin problemas.

> Me llama la ateción que los demonios se cuelgan si no acceden al PDC.
> Que no me habilite el ingreso, es lógico, pero que se cuelgue el
> sistema, no me cierra.

Quizá no se cuelgue del todo sino que se tira más tiempo intentando 
levantarlo y le cuesta más iniciar el sistema.

Y sí, no era un cuelgue definitivo, pero se toma como 20 minutos en decidir que no puede arrancar.
Y mi paciencia no da para tanto.


> Es como si un un sistema no se iniciara y se quedara colgado porque no
> tiene un monitor enchufado; si no necesito el monitor, porque accedo en
> forma remota, ese demonio debería ser lo bastante inteligente para decir
> "No tengo tengo acceso al PDC, por lo tanto, no me necesita, así que me
> apagaré y enviaré un mensaje de error". En vez de lo que hace ahora, que
> es quedarse colgado por los siglos de los siglos.

Cuando no tengo salida a Internet el sistema se eterniza al arrancar, es 
decir, todos los demonios que necesitan tirar de la red (ntp, servidor de 
correo, apache, etc...) les cuesta un riñón y parte del otro iniciarse.

Es eso lo que pasa.

Saludos,

-- 
Camaleón

Muchas gracias a todos.

JAP

Reply to:

Prev by Date: Re: Duda con lspci [Solucionado]
Next by Date: No me reconoce Pendrive
Previous by thread: Re: Principiante en Debian+PDC Zentyal
Next by thread: No me reconoce Pendrive
Index(es):
- Date
- Thread