"intruder detection". Непонятно ПОЧЕМУ и ЧтоДелать

[Музалёв Николай]

Уважаемые коллеги!
Намедни проявилась проблема, корни которой мне не понятны.

Внешнее проявление: в течении последних 3-4х дней , в произвольное время , на консоли ОДНОГО из 2х серверов появляются следующие сообщения:

Код: Выделить всё

6-15-2006   8:40:37 am:    NMAS-2.65-146-15-2006   8:40:37 am:    NMAS-2.65-14
     NMAS.NLM intruder detection locked user account .DAV.DO.BGD.BGD_CO.

6-15-2006   8:40:37 am:    DS-10550.98-268
     Intruder lock-out on account .DAV.DO.BGD [BBBBBBBB:000000000001]
.......
6-15-2006   8:42:41 am:     .......
6-15-2006   8:42:44 am:     .......
6-15-2006   8:44:32 am      .......
6-15-2006   8:44:35 am      .......
6-15-2006   8:44:44 am:     .......
6-15-2006   8:44:47 am:     .......
6-15-2006   8:44:56 am:     .......
6-15-2006   8:44:59 am:     .......
6-15-2006   8:45:30 am:     .......
6-15-2006   8:45:33 am:     .......
6-15-2006   8:47:44 am:     .......
6-15-2006   8:47:47 am:     .......
6-15-2006   8:50:31 am:     .......
6-15-2006   8:50:34 am:     .......
6-15-2006   8:51:24 am:     .......
6-15-2006   8:51:27 am:     .......
6-15-2006   9:01:47 am:     .......
6-15-2006   9:02:26 am      .......
6-15-2006   9:03:09 am:     .......
.......
6-15-2006   9:14:34 am:    NMAS-2.65-14
     NMAS.NLM intruder detection locked user account .DAV.DO.BGD.BGD_CO.

Естественно, что в этот момент не только пользователь, попавший под раздачу, но и другие, достучаться до сети не могут. Работающие - продолжают работать.
На консоли второго сервера - тривиальный ф-сервер домашних каталогов, RW-реплика - таких сообщений нет.

Так же внезапно и без видимой внешней причины, этот шквал и прекращается. В прведенном логе видно, что сегодня вся канитель заняла минут 35...

Что характерно - все потерпевшие (тут был один, а в предыд. случ. - до 5-6ти) едят землю, что после того, как сеть их не пустила первый раз, больше попыток подлогиниться они не делают... но не исключено, что это - отражение попыток доступа в интернет через связку SQUID - NW_LDAP.

Платформа: проблемный сервер (5.1+6) несет M-реплику eDIR 8730, из сервисов - NDPS печать, DHCP-DNS сервер, LDAP-сервер. (LDAP сервер взаимодействует с пограничным LIN-сервером)
Синхро времени для NW сети внешнее - от пограничного LIN-сервера.

Количество NW-лицензий уже на краю: 155 лицензий при 130-140 полключенных в этот момент.

Сознательного вмешательства в работу системы я не делал, ничего неординарного (абенд, электрика, установка нового...) в обозримом прошлом не случалось.

Рутинная проверка Дерва никаких серьезных ошибок не дает: иногда выскакивает incorrect date stamp на 2-3х пользователях... тут же и корректируется.

Клиенты в подавляющем большинстве - по IP, версии ПО усоявшиеся - 4.83+2 и 3.32+2 .

Вопросы:
Во-первых - откуда растут ноги ошибки авторизации по NMAS?
и
во-вторых - какие идеи подскажите?

Спасибо.

[Vladimir Elnikov_]

NMAS.NLM intruder detection locked user account .DAV.DO.BGD.BGD_CO.
Intruder lock-out on account .DAV.DO.BGD [BBBBBBBB:000000000001]

.DAV.DO.BGD пользователь
[BBBBBBBB:000000000001] - с NW сервера с internal IPX number BBBBBBBB

т.е заблокированы попытки авторизации с сервера NW и аккаунтом .DAV.DO.BGD

осталось понять что это за сервер и пользователь

[Музалёв Николай]

попытки авторизации с сервера NW

Хм... или всё-таки НА сервере, в Дереве?
Вообще - кто подскажет - откуда вдруг появился этот NMAS?
И вообщ, про него, если кто знает: что он ловит и куда не пускает ... ну, и т.д... и чем его блокировка отличается от блокировки Дерева ( в данном случае - остальные сообщениея).

[Vladimir Elnikov_]

попытки авторизации с сервера NW

Хм... или всё-таки НА сервере, в Дереве?
Вообще - кто подскажет - откуда вдруг появился этот NMAS?
И вообщ, про него, если кто знает: что он ловит и куда не пускает ... ну, и т.д... и чем его блокировка отличается от блокировки Дерева ( в данном случае - остальные сообщениея).

Вопрос остается - что это за сервер? Какие реплики на нем, каких перестает пускать пользователей после появления такой надписи на другом сервере? Т.е. есть ли для контекста этих пользователей реплика на "блокируемом сервере" и какого она типа?

Путем телепатии пока можно лишь предположить, что этот сервер (с внетренним IPX номером BBBBBBBB) для тех пользователей является либо сервером по умолчанию, либо Zen WM к нему соединяется, получить данные о пользователе со своей реплики сервер не может и обращается к серверу с мастер репликой контекста пользователя.
(производится попытка аутентификации с именем пользователя с АДРЕСА СЕРВЕРА) по какой-то причине NMAS считает что призводится попытка "внедрения" (по-моему просто тупо считается количество НЕУДАЧНЫХ аутентификаций, необязательно по причине неправильного пароля, к примеру превышение количества доступных лицензий) и блокирует доступ "машине" с адресом BBBBBBBB:000000000001 т.е. серверу, после этого тот сервер не может получить НИКАКОЙ информации с мастер реплики на сервере заблокировавшем к себе доступ.

[Музалёв Николай]

что это за сервер?

Проблемный сервер несет на себе М-реплику рута. Других разделов в Дереве нет.
Контексты пользователей вниз от рута на 2 ступени: О + OU .
Сервер вполне может быть сервером по умолчанию, но это надо проверить для конкретных пользователей: у части этот атрибут установлен, у части - сброшен.
ЗЕНа в сети нет.

такой надписи на другом сервере

Сообщение об отказе в авторизации появляется ТОЛЬКО на одном сервере - на нём же.
Пускать в этот момент перестает всех, кто хотел бы войти.
Уже вошедшие до инцидента продолжают работать.

получить данные о пользователе со своей реплики сервер не может и обращается к серверу с мастер репликой контекста пользователя.

Не совсем ясно.

[Vladimir Elnikov_]

Проблемный сервер несет на себе М-реплику рута.
...
Сообщение об отказе в авторизации появляется ТОЛЬКО на одном сервере - на нём же.
Пускать в этот момент перестает всех, кто хотел бы войти.
Уже вошедшие до инцидента продолжают работать.

.DAV.DO.BGD - имя сервера? Т.е. DAV?

[capricious]

переименуй nmas.nlm и перезагрузи сервер

[Владимир Горяев]

Могу предположить, что nmas появился после установки eDIR на NW51. Могут вылезтьь и др. прблемы.

[Музалёв Николай]

DAV.DO.BGD - имя

Имя пользователя.

переименуй nmas.nlm

Т.е. БЕЗ этого модуля? Но его же ктото грузит? Пренебречь??

что nmas появился после установки eDIR на NW51.

По кр. мере эта проблема вылезла на eDIR, ранее я с таким не сталкивался...

[Владимир Горяев]

см. TID10090947
В состав NW51 NMAS не входил, мог ставится с eDIR или BM напр. Возможность ставить его с дистрибутива появилась с NW6.

[capricious]

переименуй nmas.nlm

Т.е. БЕЗ этого модуля? Но его же ктото грузит? Пренебречь??


я же уже решил у себя эту проблему именно таким образом, на новеле тид есть в котором так и говорится ввиду "природы" nmas его можно только грохнуть или переимновать и перегрузить потом сервер
но никак не "расконфигурировать"

[Музалёв Николай]

Уважаемые коллеги!
Проблема получила свое объяснение. Правда, решать ее (пока, по кр. мере) придедется административно.
Выяснено, что ситуация со спонтанной блокировкой пользователя и многократным повторением на консоли (см. первое сообщ.) у меня происходит в момент, когда пользователь сменил пароль в сети, НО НЕ СМЕНИЛ ПАРОЛЬ В почте (БАТ) .

В этом случае по началу работы с почтой, БАТ-клиент пытается авторизоваться ПО СТАРОМУ паролю, даже если новый ему ввели в поле запроса, которое он выбросит в случае неудачной авторизации первый раз!

Есть подозрение, что это проблема нашего купленого бата... возможно, в более свежих версиях эту проблему устранили.
А пока пользователю приходится заходить в свойства почтового ящика и в закладке ТРАНСПОРТ менять пароль ручками...

Эту тему можно закрыть.
Всем - спасибо!

[Vladimir Elnikov_]

Уважаемые коллеги!
Проблема получила свое объяснение.
БАТ-клиент пытается авторизоваться ПО СТАРОМУ паролю, даже если новый ему ввели в поле запроса, которое он выбросит в случае неудачной авторизации первый раз!

Всегда приятно спустя месяц узнать что существовал еще и почтовй сервер.

Наверняка есть еще и приложения сохраняющие пароль доступа к прокси серверу.

[Музалёв Николай]

спустя месяц...почтовй сервер

Нуу-у-у-у, коллега... на будущее ваше замечание я конечно учту и буду излагать тщательнЕе, но мне казалось, что указание на пограничный линукс-сервер достаточно. ( ИМНО: пограничный и означает, что используется как минимум "для Почты-Прокси-Ната-Вэба")