Samba+AD - MEGOLDÓDOTT

Web, mail, IRC, IM, hálózatok

Adott egy AD forest, illetve egy Linuxos fileserver.
Anno volt egy ugyanilyen felállás, a fileserver ment a kukába, lett helyette egy új, az adatok megvannak a régiről.
A régi gépen Ubuntu 11.10 volt, az újra 14.04 került.

A Samba össze lett lőve az AD-vel, getent hozza szépen a csoportokat/usereket, a régi adatok jogosultságai rendben vannak, az idmap azonos a régivel.

Két problémám van, amit nem értek, logok nem segítenek sokat, de még a gugli sem.

1. pam_mkhomedir.so
Be van állítva, de az új user mappája nem jön létre - logokban egy mukk sincs. Ennek ellenére az egyik AD member hostnak a 'DOMAIN__' mappája létrejött, ezt utólag vettem észre.
De ez a kisebbik gond.

2. valid user = @[DOMAIN\\]<AD_Group>
Ez egyáltalán nem működik, az ilyen megosztásokba nem lehet belépni.

A régi vason Samba 3.5.11 volt, az újon 4.1.6
A konfigokban túl nagy eltérés nincs, csak amit a verzióváltás megkövetelt (szerintem, de ebben lehet hiba).

Van egy másik régi vas, amin ugyanaz a disztro van, mint a régin, azon van egy kisebb megosztás, az hibátlanul működik még most is a valid users beállításokkal.

Mit nézzek meg, milyen logot küldjek?
Lehet, hogy a probléma megoldása itt van az orrom előtt, de nem látom :(

  • 2750 megtekintés

( SzBlackY | 2014. 07. 22., k – 17:08 )

valid user = @[DOMAIN\\]

Ez mi akar lenni? (mmint. kik lennének a valid userek)

A log level milyen szintre van állítva? Tedd fel mondjuk 3-ra, utána próbálj csatlakozni, hátha akkor látszik majd valami a logokban. testparm / samba-tool testparm nem sikítozik a konfigra?

---

szerk.: a pam config hogy néz ki? Eljut az mkhomedir-ig? Nincs valami MAC, ami bezavarhat (AppArmor, SELinux)?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Pl.
valid user = @users @MASIKDOM\\administrators

Azaz a forest tetején az users group és a MASIKDOM aldomain adminisztrátorai (ezért volt zárójelben, mert a szerver a domain tetején van, így az a default).

A loglevelt megemelem, és kipróbálom, de már csak otthonról. Thx

UI: apparmor/selinux kiirtva. A konfigot is küldöm hamarosan.

--
PtY - www.onlinedemo.hu, www.westeros.hu

A kapcsos zárójel és a "csak domaint adunk meg" zavar benne (mondjuk testparm nem mond rá semmit). 3-as loglevellel írja, hogy a @[FOOBAR\\]-t nem tudja SID-re képezni, és ACCESS_DENIED.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ja, most néztem, hogy ami rel. jelek között volt, azt megette a parser - javítottam.
:)

Testparm:

Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[allshare]"
Processing section "[allshare2]"
Processing section "[homes]"
Processing section "[testshare]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

samba-tool testparm meg csak az utolsó sort írja...

/etc/pam.d/common-session[-noninteractive]

session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session optional pam_umask.so
session required pam_unix.so
session optional pam_winbind.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

Loglevelt még nem emeltem, most jön.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Így azért már barátságosabb :)

Tudom, hogy hülye kérdés, de én egy hete egy órát bámultam miatta a legváltozatosabb konfig fájlokat: érvényes home-t és shell-t ad vissza a winbind? Egy debug opciót ha adsz neki, nem ír valami hasznosíthatót a logokba?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

getent passad-ben teljesen értelmeset.

Van az mkhomedir-nek debug opciója? Manban nem láttam, de kipróbálom.
Ellenben a /etc/security-ben van egy pam_winbind.conf-om evvel:

[global]
debug = yes
;debug_state = no
cached_login = yes
krb5_auth = yes
;krb5_ccache_type =
;require_membership_of =
warn_pwd_expire = 14
;silent = no
mkhomedir = yes

Ennek hatására a home létrejön, de a skel-is kéne (az kéne igazán) - ha meg ez nincs, akkor home sem jön létre.
A debugot most tettem yes-re, tesztelem.
--
PtY - www.onlinedemo.hu, www.westeros.hu

( gerendas | 2014. 07. 22., k – 18:39 )

valid user már nem használt (használható) a samba 4.x -ben
helyette az acl használható.

Ha nem DC, akkor használható (https://wiki.samba.org/index.php/Setup_and_configure_file_shares_with_P…), ráadásul DC-n is próbáld vele valamit kezdeni a logok alapján [leginkább SID-ként feloldani...] (fentebb néztem jó ideig a log level 3-at, aztán utána esett le, hogy ezt nem feltétlenül egy DC-n kéne, csak per pill. domain member samba4-em nincs a környéken)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A tippet azért kösz, valóban nem DC, mint az előző testparm értékből is látszik.
Azért kipróbálom ACL-lel is.

-- szerk:

Az ACL tipp jó, avval működik, ahogy kell. Nem értem, hogy a valid users miért nem jó, de így már igazából mindegy is.
A 2-es pont kihúzva, már csak az mkhomedir probléma maradt.
--
PtY - www.onlinedemo.hu, www.westeros.hu