[samba-jp:22433] Re: sambaの認証エラーについて

Kasai, Kiyoshi kasai.kiyoshi @ jp.fujitsu.com
2015年 2月 12日 (木) 06:30:24 JST 

高橋 様

葛西@fipです。早速、アドバイスをいただき、ありがとうございます。

>PAM_AUTHINFO_UNAVAIL ということは、内部的に NT_STATUS_LOGON_FAILURE
>が発生していると思いますが、これだけではそれ以上のことはわからない
>ですね。

→ NT_STATUS_LOGON_FAILURE というログはありませんでした。
  当メールの一番下に、エラーが発生した部分を切り出したログを貼り付けました。
  ご確認いただければ幸いです。

>ドメインコントローラのイベントログをみると、何らか対応するエラーが
>発生しているかもしれません。

→ エラーは発生していませんでした。また、sambaのサーバに通信上のエラーが発生して
  いれば、messagesに記録されているはずですが、そのような記録はありませんでした。

>発生した際に、一時的に Samba の log level を上げた上で事象を
>再現させて Samba のログを取得することで、何らか事象の手がかりと
>なる情報が取得できるかもしれません。

→ これは、やってみようと考えてました。ありがとうございます。

−−−secureの一部を抜粋−
Feb  3 21:13:04 mmmm auth: pam_winbind(dovecot:auth): user 'zzzzzzzz' granted access
Feb  3 21:13:04 mmmm auth: pam_winbind(dovecot:account): user 'zzzzzzzz' granted access
Feb  3 21:13:05 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:05 mmmm auth: pam_winbind(dovecot:auth): user 'zzzzzzzz' granted access
Feb  3 21:13:05 mmmm auth: pam_winbind(dovecot:account): user 'zzzzzzzz' granted access
Feb  3 21:13:19 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:19 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'aaaaaa')
Feb  3 21:13:19 mmmm auth: pam_winbind(dovecot:account): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Feb  3 21:13:26 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:26 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'bbbbbbb')
Feb  3 21:13:26 mmmm auth: pam_unix(dovecot:auth): check pass; user unknown
Feb  3 21:13:26 mmmm auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=bbbbbbb rhost=xxx.xxx.x.xx
Feb  3 21:13:26 mmmm auth: pam_succeed_if(dovecot:auth): error retrieving information about user bbbbbbb
Feb  3 21:13:42 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:42 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'cccccc')
Feb  3 21:13:42 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:42 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'dddddd')
Feb  3 21:13:42 mmmm auth: pam_winbind(dovecot:account): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Feb  3 21:13:42 mmmm auth: pam_winbind(dovecot:account): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Feb  3 21:13:45 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:45 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'eeeeee')
Feb  3 21:13:45 mmmm auth: pam_unix(dovecot:auth): check pass; user unknown
Feb  3 21:13:45 mmmm auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=eeeeee rhost=xxx.xxx.x.xx
Feb  3 21:13:45 mmmm auth: pam_succeed_if(dovecot:auth): error retrieving information about user eeeeee
Feb  3 21:13:46 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:46 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'ffffff')
Feb  3 21:13:46 mmmm auth: pam_unix(dovecot:auth): check pass; user unknown
Feb  3 21:13:46 mmmm auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=ffffff rhost=xxx.xxx.x.xx
Feb  3 21:13:46 mmmm auth: pam_succeed_if(dovecot:auth): error retrieving information about user ffffff
Feb  3 21:13:57 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:13:57 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'zzzzzzzz')
Feb  3 21:13:57 mmmm auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=zzzzzzzz rhost=xxx.xxx.x.xx  user=zzzzzzzz
Feb  3 21:14:02 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:14:02 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'gggggg')
Feb  3 21:14:02 mmmm auth: pam_unix(dovecot:auth): check pass; user unknown
Feb  3 21:14:02 mmmm auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=gggggg rhost=xxx.xxx.x.xx
Feb  3 21:14:02 mmmm auth: pam_succeed_if(dovecot:auth): error retrieving information about user gggggg
Feb  3 21:14:15 mmmm auth: pam_winbind(dovecot:auth): getting password (0x00000000)
Feb  3 21:14:15 mmmm auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'hhhhhh')
Feb  3 21:14:15 mmmm auth: pam_unix(dovecot:auth): check pass; user unknown
Feb  3 21:14:15 mmmm auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=hhhhhh rhost=xxx.xxx.x.xx

−−−−−ここまで−−−−−
あたまの6行目までは、認証ができた正常なログですが、興味深いのは、認証okとなっている、
User = zzzzzzzz が下の方の別タイミング(21:13:57)では認証エラーになっている、ということです。

よろしくお願いします。

以上


-----Original Message-----
From: TAKAHASHI Motonobu/高橋 基信 [mailto:monyo @ monyo.com] 
Sent: Wednesday, February 11, 2015 7:31 PM
To: Sambaについての様々な質疑応答用
Subject: [samba-jp:22432] Re: sambaの認証エラーについて

たかはしもとのぶです。

>   auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'xxxxxx')

PAM_AUTHINFO_UNAVAIL ということは、内部的に NT_STATUS_LOGON_FAILURE
が発生していると思いますが、これだけではそれ以上のことはわからない
ですね。

再起動すると直ったとのことで、ユーザが存在しないといった定常的な
問題ではないので、Samba のバグも含め、何らかの原因でドメイン
コントローラとの通信に問題が発生したのではないかと思います。

ドメインコントローラのイベントログをみると、何らか対応するエラーが
発生しているかもしれません。

既に事象が発生しなくなっているとのことですので、次回事象が
発生した際に、一時的に Samba の log level を上げた上で事象を
再現させて Samba のログを取得することで、何らか事象の手がかりと
なる情報が取得できるかもしれません。

ただ、問題の根本対処は難しいと思いますので、以下のような
暫定対処でしのぐのが現実的だと思います。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
      @damemonyo / facebook.com/takahashi.motonobu

-----Original Message-----
From: "Kasai, Kiyoshi" <kasai.kiyoshi @ jp.fujitsu.com>
Sent: Tue, 10 Feb 2015 06:21:15 +0000
To: "samba-jp @ samba.gr.jp" <samba-jp @ samba.gr.jp>
Cc: 
Subject: [samba-jp:22431] sambaの認証エラーについて

初めまして。葛西@fipと申します。

Samba(Winbind)の認証エラーについて、ご教示をお願いします。

システム構成は、下記のとおりです。


1、Linuxサーバ

Redhat 4.4.4-13 (Kernel 2.6.32-71.el6.i686)

samba-3.5.4-68.el6.i686

2、認証先のサーバ
  Windows 2008 Server


3、エラーの状況

本稼働後3ケ月間、なんの問題もなく、動いておりましたが、急に、下記のようなエラーメッセージがでて
認証ができなくなりました。(var/log/secure)

  auth: pam_winbind(dovecot:auth): internal module error (retval = PAM_AUTHINFO_UNAVAIL(9), user = 'xxxxxx')

samba等の関連メッセージを再起動したところ、エラーは解消しました。
後でログを見ると、上記のエラーメッセージが続けてでておりました。(ただし、’xxxxxx’は異なります。)

4、調査状況

Redhatのサイトで、PAM_AUTHINFO_UNAVAIL(9)のキーワードで検索したところ、1件ヒットしましたが、

原因は、ユーザが登録されていない、パスワードが異なる、ユーザアカウントがロックされている等の理由で

今回の事例には該当しませんでした。なぜなら、サービスの再起動で解消しているからです。

ほか、meeagesログやsamba関係のログには、エラーが見当たりませんでした。

5、暫定対策

いつまた、このような現象が起きるかわからないので、上記のエラーメッセージを検知したら、自動的に

関連サービスを再起動する仕組みを導入する予定です。


上記のような状況なので、原因と対処方法を教えていただきたく、よろしくお願いします。

以上

葛西 清志@富士通エフ・アイ・ピー

samba-jp メーリングリストの案内