Alt linux и домен AD

Dmitriy Romanov написал(а) к All в Feb 24 08:42:04 по местному времени:


Приветики, All!

В общем сабж. Имеем Alt server 10.1, проапгрейженный из репы до 10.2. Штатными средствами прикрутили его к мелкомягкому
домену. На домашней площадке проблем не возникало. А вот в продакшене вылезла проблема. Там не простой домен, а целый
лес, в котором к несчастью есть домены, которые либо не работают, либо все их ресурсы от нас где-то скрыты фаерволами.
Беда заключается в том, что при попытке сделать к примеру id user - оно долго тупит. Судя по логам - оно пытается
достучаться во все домены, которые смогло увидеть. Потом на второй раз, когда отдуплится, уже видимо из кэша берет
нормально.
Когда я делал то же самое на 7 центосе, то такой проблемы не возникало - все работало как надо.
Как можно ему урезать лазилку в другие домены? Особенно неприятен сей косяк при расшаривании чего-нибудь через самбу,
когда юзер вынужден ждать, пока его пустит.

Логи и конфиги я решил пока без предупреждения не кидать, а то там большая портянка получится.

На сем разрешите письмо закончить. Elec (RA2FDR)
--- NoSFeRaTU's GoldED+/W32-MINGW 1.1.5-b20090603

Eugene Grosbein написал(а) к Dmitriy Romanov в Feb 24 21:02:54 по местному времени:

22 февр. 2024, четверг, в 08:42 NOVT, Dmitriy Romanov написал(а):

DR> лес, в котором к несчастью есть домены, которые либо не работают, либо все их
DR> ресурсы от нас где-то скрыты фаерволами.
DR> Беда заключается в том, что при попытке сделать к примеру id user - оно долго
DR> тупит.

Долго тупит - значит, дожидается таймаута, не получая никакого ответа.

DR> Как можно ему урезать лазилку в другие домены? Особенно неприятен сей косяк при
DR> расшаривании чего-нибудь через самбу,
DR> когда юзер вынужден ждать, пока его пустит.

Всегда есть возможность настроить со своей стороны файрвол, который
не тупо фильтрует пакеты до недоступных IP-адресов, а генерирует ответный
ICMP host unreachable (или ICMP port unreachable), получив который,
система моментально отреагирует и не будет долго ждать.

Eugene
--- slrn/1.0.3 (FreeBSD)

Dmitriy Romanov написал(а) к Eugene Grosbein в Feb 24 21:22:58 по местному времени:


Приветики, Eugene!


Писал как-то Eugene Grosbein к Dmitriy Romanov примерно 22 Фев 24 в 21:02
А я смотрю и фигею.

DR>> лес, в котором к несчастью есть домены, которые либо не работают,
DR>> либо
DR>> все их ресурсы от нас где-то скрыты фаерволами. Беда заключается в том,
DR>> что при попытке сделать к примеру id user - оно долго тупит.
EG> Долго тупит - значит, дожидается таймаута, не получая никакого ответа.
Логично.

DR>> Как можно ему урезать лазилку в другие домены? Особенно неприятен сей
DR>> косяк при расшаривании чего-нибудь через самбу, когда юзер вынужден
DR>> ждать, пока его пустит.

EG> Всегда есть возможность настроить со своей стороны файрвол, который
EG> не тупо фильтрует пакеты до недоступных IP-адресов, а генерирует ответный
EG> ICMP host unreachable (или ICMP port unreachable), получив который,
EG> система моментально отреагирует и не будет долго ждать.
У меня задача сделать так, чтобы оно не стучалось туда, куда не надо.

На сем разрешите письмо закончить. Elec (RA2FDR)
--- NoSFeRaTU's GoldED+/W32-MINGW 1.1.5-b20090603