samba: "Domain Users" helyett "users" van.

Fórumok

Sziasztok!

Debian 9.4, samba 4.5.12

Ha bejelentkezek windowsba, a [profiles] megosztáson létrejön egy rekettye.V2 mappa, az "users" csoportos lesz. Aztán rí, hogy nem tud bele írni, ideiglenes profil...

linuxban:

$ getent group users "domain users"
users:x:100:
domain users:*:513:
$ id rekettye
uid=1062(rekettye) gid=1079(tanoda) groups=1079(tanoda),513(domain users)

Windowsban elsődleges csoportja "Domain Users".

Linuxon sssd van.

Mi a bánatot csináljak – csak annyit, hogy működjön!?

Mit nem jól csináltam?

szaszi

Hozzászólások

Az egyik problémát nagy valószínűséggel az SSSD okozza, nálam az sssd telepítése, beállítása után 30 nappal jelentkezett ehhez hasonló probléma. Olvasd el az alábbi szálat: https://hup.hu/node/155076

A "/etc/sssd/sssd.conf" fájlban a megfelelő helyen szükség lesz az "ad_maximum_machine_account_password_age = 0" opcióra

...
[domain/...]
...
ad_maximum_machine_account_password_age = 0

Ezen kívül lényegében 3 parancsot kell kiadni: https://hup.hu/node/155076#comment-2134811 ebben van kettő és az alatta lévő bejegyzésemben a harmadik. Konkrétan ezeket:

# samba-tool domain exportkeytab --principal=SZERVER_NEVE$ /var/lib/samba/private/secrets.keytab
# samba-tool domain exportkeytab --principal=HOST/szerver_neve.teljes.fqdn /var/lib/samba/private/secrets.keytab
# samba-tool domain exportkeytab --principal=HOST/szerver_neve /var/lib/samba/private/secrets.keytab

Kis és nagybetű szerintem számít. Előtte ellenőrizd:

# klist -kte /etc/krb5.keytab
# klist -kte /var/lib/samba/private/secrets.keytab

A klist a krb5-user csomagban érhető el.

Még egy dolog eszembe jutott. Az Administrator felhasználónak 30 nap után lejár a jelszava, de talán a többi felhasználónak is.

# samba-tool domain passwordsettings show

majd szükség esetén:

# samba-tool domain passwordsettings set --max-pwd-age=0
# samba-tool user setexpiry --noexpiry administrator

A "--max-pwd-age" -nál a megadható maximális érték talán 999, vagy 0-val kikapcsolod.

Érdemes lehet még ezt is beállítani:

# chmod 1770 /eleresi/utvonal/profiles/

majd

# setfacl -R -m \
user::rwx,\
group::---,\
group:users:---,\
group:"Domain Users":rwx,\
mask::rwx,\
other::---,\
default:user::rwx,\
default:group::---,\
default:group:users:---,\
default:group:"Domain Users":rwx,\
default:mask::rwx,\
default:other::--- /eleresi/utvonal/profiles/

Felelősséget nem vállalok ezekért a parancsokért, a biztonság kedvéért előtte mentsd ki a meglévő beállításokat:

# getfacl -R /eleresi/utvonal/profiles/ > ~/profiles_acl.txt

De ha egy for ciklussal "listázod" azokat a felhasználókat, akiknek van már profiles mappájuk, akkor a setfacl-be megadható direktben is a felhasználó (user:$for_listaelem:rwx), nem csak a fájl, mappa tulajdonosa (user::rwx), és akár felhasználónként is tudod módosítani a profiles mappájuk ACL jogait (/eleresi/utvonal/profiles/$for_listaelem.V6)

RSAT-tal (vagy más módon) módosítottál a "Domain Users" csoport speciális attribútumain? Konkrétan, módosítottad az alábbiakat?:
gidNumber: 513
msSFU30NisDomain: ....
msSFU30Name: Domain Users