samba classicupgrade

Linux-haladó

Sziasztok!

Van működő Samba hálózatunk Samba 4.2.10-zel Debian Jessie-n. Van egy PDC, és két BDC. Szeretnék AD-re váltani. Virtuális gépre másoltam a PDC-t, és tesztelem a dolgot. A classicupgrade lefutott, de nem tökéletes még a dolog. 


getent passwd felhasznalonev

és 


chown "felhasznalonev:Domain Users" teszt.txt

nem működött a következő nsswitch.conf-al: 


passwd: files ldap
group: files ldap
shadow: files ldap

úgyhogy átírtam az ldap-okat winbindre. Így a két fenti parancs működik, de a helyi bejelentkezés sokat vár (ldap-al nem volt ilyen gond). Bejelentkezés után úgy tűnik, minden rendben van. Melyik nss beállítás jobb: az ldap-os, vagy a winbindes? Én jól ellennék az eddigi ldapos beállítással, ha működne rendesen. Az ldapnak más gondja is van egyébként, az ldapsearch nem megy a classicupgrade óta: 


ldapsearch -xLL -H ldap://localhost:389 -D "cn=Administrator,dc=Users,dc=our,dc=site" -b "dc=our,dc=site"
ldap_bind: Strong(er) authentication required(8)
       additional info: BindSimple: transport encryption required.

smb.conf: 


[global]
workgroup = OUR
realm = our.site
interfaces = lo eth0
bind interfaces only = yes
server role = active directory domain controller
passdb backend = samba_dsdb
winbind enum users = yes
winbind enum groups = yes
winbind use default domain =yes
dns forwarder = 208.67.222.222
rpc_server:tcpip = no
rpc_daemon:spoolssd = enabled
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:default = external
winbindd:use external pipes = true
idmap config our : range = 10000-100000
idmap config our : backend = ad
idmap config * : range = 1000000-1999999
idmap_ldb:use rfc2307 = yes
idmap config * : backend = tdb
map archive = no
map readonly = no
store dos attributes = yes
vfs objects = dfs_samba4 acl_xattr

[netlogon]
path= /var/lib/samba/sysvol/perczelmor.site/scripts
read only = no

[sysvol]
path= /var/lib/samba/sysvol
read only =  no

/etc/ldap/ldap.conf: 


host 127.0.0.1
base dc=our,dc=site
logdir /var/lib/ldap/log
TLS_REQCERT hard
TLS_CACERT /etc/ssl/certs/cacert.pem

Próbáltam beállítani a winbind logint a pam-ba ez alapján: https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto de nem működött.

  • 1583 megtekintés

( Zsugabubus | 2016. 08. 12., p – 14:58 )

-Z-t add hozzá az ldapsearchez, TLS nélkül nem megy az AD.

Ami azt illeti, a TLS felett is kétesélyes, az egyik CVE után (https://www.samba.org/samba/security/CVE-2016-2112.html) ebezettek egy "ldap server require strong auth" konfig direktívát, yes default értékkel (simple bind mehet TLS felett, SASL nem), ha valami extrább auth-ot használsz (pl. Kerberos sign/seal nélkül - úgy rémlik az ldapsearch ezt csinálja [bár ldbsearch-öt szoktam használni], de az Apache-féle Java-s LDAP lib biztosan), ahhoz kell a allow_sasl_over_tls beállítás.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Előrehaladás: az "ldap server require strong auth"-ot no-ra állítva ment az ldapsearch. Gondoltam jobb lenne eredeti értékén hagyni ezt a paramétert, úgyhogy megoldottam a -Y GSSAPI paraméterrel az ldapsearch működését (és persze előtte egy kinit). Kellett hozzá a libsasl2-modules-gssapi-mit csomag.
Az nslcd-vel van még gondom. A https://wiki.samba.org/index.php/Nslcd Method 2 alapján próbáltam beállítani. Nem megy. Debug logolást beállítva a következő hibát találtam:
do_sasl_interact(): were asked for sasl_authzid but we don't have any
Rákereste a neten a hibaüzenetre, de nem lettem okosabb tőle.

( SzBlackY | 2016. 08. 13., szo – 22:46 )

Próbáltam beállítani a winbind logint a pam-ba ez alapján: https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto de nem működött.

A DC-n vagy member serveren próbáltad belőni?

Jessie DC-n elég egy 


apt-get install libpam-winbind winbind
systemctl enable winbind.service 
systemctl start winbind.service
pam-auth-update --package

Amire figyelj, hogy tényleg legyenek ott az rfc2307 attribok az LDAP-ban, különban - úgy rémlik - a template shell-t kapod, ami default a /bin/false.

Az enum users/groups-ra biztosan szükséges van? Szintén emlékezetből írom, de mintha ilyenkor a winbind indulásakor nekiállna behúzni az összes user adatait, és addig nem válaszolna kérésekre, amíg ezzel nem végez (userszámtól függ, hogy ez mennyire sok idő). Ami nálam még előfordult, hogy egy-két hetenként elhasalt a winbind, elkezdett a pam kéréseire nem válaszolni (névfeloldás és minden más ment tökéletesen, csak az nem) - azon az segített, hogy bekapcsoltam a cachelt belépést, amitől a winbind elkezd pontosan egy DC-kapcsolattal dolgozni (azóta, lekopogom, működik). [ha használnád is az offline logont, arra figyelj, hogy nem elég bekapcsolnod az smb.conf-ban, utána még a pam modul beállításainál is engedélyezned kell: https://wiki.samba.org/index.php/PAM_Offline_Authentication]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A libpam-winbind fent volt, a pam-auth-update --package a --force kapcsolóval futott le, mert volt egyéni módosításom.
No-ra állítottam az enum users-t és groups-t, rebootolam, de semmi változás.
Annyit pontosítanék, hogy csak bootolás utáni első login lassú, utána pillanat műve.

Annyit pontosítanék, hogy csak bootolás utáni első login lassú, utána pillanat műve.

Told fel az smb.conf-ban a log level-t 5 körülire, aztán indítsd újra. Ha csak az első a lassú, akkor gyanús, hogy a winbind először, amikor keresgéli a DC-ket, belefut valami névfeloldási problémába/tűzfal problémába, aztán fallbackel másik DC-re/másik protokollra. (pl. próbálkozik egy nem futó DC-n ldap, aztán azon a DC-n RPC, aztán másik DC ldap, amit mondjuk egy tűzfal megfog, aztán másik DC-n RPC - az utóbbi működik, úgyhogy onnantól használja azt)

A dns forwarders alapján gondolom az internal DNS szervert használod, ami úgy rémlik, hogy nem tud rendesen round robin dns-t (minden lekérdezésnél ugyanabban a sorrendben adja vissza), lehet, hogy érdemes lenne átállnod a Bind DLZ-re - amíg internal-lal ment, a logok alapján nálam minden szerver azt a gépet használta preferred DC-nek [winbind azt kérdezgette], amelyiken provision-öltem a DC-t (gondolom ez nálad az lesz, amelyiken a classicupgrade-t futtattad).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)