我们目前有一个NAC服务器设置为使用ntlm_auth实用程序对Samba4 AD进行身份validation,并希望使其更容忍networking中断。
目前,当NAC失去与Samba4 Active Directory的连接时,每个login尝试都失败。 这种情况曾经是可以接受的,但现在我们的networking拓扑结构已经发生了变化,问题变得更加严重
根据Samba文档,我在NAC的smb.conf和Samba4 AD中添加了“winbind offline logon = true”。
为了testing脱机身份validation,我添加了两个iptables规则,将所有stream量都删除到Samba4 Active Directory服务器。
当我尝试使用winbind进行身份validation时,它按预期工作:
16:52:11-root@hq-networkserv@- /var/log/samba: wbinfo -K COMPANY\\super-user%superpassword plaintext kerberos password authentication for [COMPANY\super-user%superpassword] succeeded (requesting cctype: FILE) user_flgs: NETLOGON_CACHED_ACCOUNT credentials were put in: FILE:/tmp/krb5cc_0 另一方面,如果我使用以下选项尝试使用ntlm_auth,则失败:
16:52:35-root@hq-networkserv@- /var/log/samba: ntlm_auth --use-cached-creds --username=super-user --password=superpassword --domain= COMPANY NT_STATUS_NO_LOGON_SERVERS: No logon servers (0xc000005e)
NAC服务器连接到Samba4域,只要保持连接,一切都可以正常工作。 我明白,这个build议的解决scheme只允许authentication以前authentication的客户端,但这已经是一个很大的改进。
有没有什么办法可以让ntlm_auth在无法连接到AD的期间成功进行身份validation,因为winbind能够做到这一点?