У меня есть freeradius 2.1.12, работающий под Ubuntu 14.04, с аутентификацией на контроллере Windows 2012 Active Directory. Хотя в большинстве случаев приложение работает нормально, через несколько дней работы может случиться так, что действительные пользователи вдруг не смогут аутентифицироваться. Затем журнал может отображать такие вещи, как
Login incorrect (mschap: External script says ): [john.doe] (from client myclient port 0 via TLS tunnel)
Login incorrect: [john.doe] (from client myclient port 1 cli 20-E4-A2-67-8D-4A)
Обратите внимание, что «действительно» неправильный вход в систему будет иметь какое-то объяснение, например (mschap: External script says Logon failure (0xc000006d))
. Перезапуск службы freeradius помогает, но почему это вообще происходит?
РЕДАКТИРОВАТЬ: При более внимательном изучении общих событий выясняется, что сбой начинает происходить (если вообще возникает) утром сразу после первой попытки входа в систему после ежедневного SIGHUP:
08:04:33 2016 : Info: HUP - loading modules
08:04:33 2016 : Info: Module: Reloaded module "attr_filter.access_reject"
08:04:33 2016 : Info: Module: Reloaded module "attr_filter.accounting_response"
08:04:33 2016 : Info: Module: Reloaded module "pap"
08:04:34 2016 : Info: Module: Reloaded module "radutmp"
08:04:34 2016 : Info: Module: Reloaded module "suffix"
08:04:34 2016 : Info: Module: Reloaded module "files"
08:04:34 2016 : Info: Module: Reloaded module "detail"
08:04:34 2016 : Info: Module: Reloaded module "mschap"
08:04:34 2016 : Info: Loaded virtual server <default>
08:04:34 2016 : Info: Loaded virtual server inner-tunnel
10:39:00 2016 : Error: [ldap] ldap_search() failed: LDAP connection lost.
10:39:00 2016 : Info: [ldap] Attempting reconnect
10:39:01 2016 : Auth: Login incorrect (mschap: External script says ): [someusername] (from client astaro port 0 via TLS tunnel)
10:39:01 2016 : Auth: Login incorrect: [someusername] (from client astaro port 1 cli 20-E4-B8-78-8E-32)
Однако ошибка ldap кажется «нормальной» для ежедневной процедуры HUP, и вполне может случиться так, что следующая запись в журнале после «Попытка повторного подключения» будет «Вход в систему ОК». Кроме того, я не вижу намека на то, что попытка повторного подключения могла быть неудачной (в этом случае я ожидал хотя бы предупреждения). Я не вижу ничего особенного на сервере AD.