samba: "Domain Users" helyett "users" van.

Debian GNU/Linux

Sziasztok!

Debian 9.4, samba 4.5.12

Ha bejelentkezek windowsba, a [profiles] megosztáson létrejön egy rekettye.V2 mappa, az "users" csoportos lesz. Aztán rí, hogy nem tud bele írni, ideiglenes profil...

linuxban: 

$ getent group users "domain users"
users:x:100:
domain users:*:513:
$ id rekettye
uid=1062(rekettye) gid=1079(tanoda) groups=1079(tanoda),513(domain users)

Windowsban elsődleges csoportja "Domain Users".

Linuxon sssd van.

Mi a bánatot csináljak – csak annyit, hogy működjön!?

Mit nem jól csináltam?

szaszi

  • 932 megtekintés

( veresh | 2018. 03. 20., k – 09:52 )

Az egyik problémát nagy valószínűséggel az SSSD okozza, nálam az sssd telepítése, beállítása után 30 nappal jelentkezett ehhez hasonló probléma. Olvasd el az alábbi szálat: https://hup.hu/node/155076

A "/etc/sssd/sssd.conf" fájlban a megfelelő helyen szükség lesz az "ad_maximum_machine_account_password_age = 0" opcióra

...
[domain/...]
...
ad_maximum_machine_account_password_age = 0

Ezen kívül lényegében 3 parancsot kell kiadni: https://hup.hu/node/155076#comment-2134811 ebben van kettő és az alatta lévő bejegyzésemben a harmadik. Konkrétan ezeket:

# samba-tool domain exportkeytab --principal=SZERVER_NEVE$ /var/lib/samba/private/secrets.keytab
# samba-tool domain exportkeytab --principal=HOST/szerver_neve.teljes.fqdn /var/lib/samba/private/secrets.keytab
# samba-tool domain exportkeytab --principal=HOST/szerver_neve /var/lib/samba/private/secrets.keytab

Kis és nagybetű szerintem számít. Előtte ellenőrizd:

# klist -kte /etc/krb5.keytab
# klist -kte /var/lib/samba/private/secrets.keytab

A klist a krb5-user csomagban érhető el.

( veresh | 2018. 03. 20., k – 09:48 )

Még egy dolog eszembe jutott. Az Administrator felhasználónak 30 nap után lejár a jelszava, de talán a többi felhasználónak is.

# samba-tool domain passwordsettings show

majd szükség esetén:

# samba-tool domain passwordsettings set --max-pwd-age=0
# samba-tool user setexpiry --noexpiry administrator

A "--max-pwd-age" -nál a megadható maximális érték talán 999, vagy 0-val kikapcsolod.

( veresh | 2018. 03. 20., k – 10:25 )

Érdemes lehet még ezt is beállítani:

# chmod 1770 /eleresi/utvonal/profiles/

majd

# setfacl -R -m \
user::rwx,\
group::---,\
group:users:---,\
group:"Domain Users":rwx,\
mask::rwx,\
other::---,\
default:user::rwx,\
default:group::---,\
default:group:users:---,\
default:group:"Domain Users":rwx,\
default:mask::rwx,\
default:other::--- /eleresi/utvonal/profiles/

Felelősséget nem vállalok ezekért a parancsokért, a biztonság kedvéért előtte mentsd ki a meglévő beállításokat:

# getfacl -R /eleresi/utvonal/profiles/ > ~/profiles_acl.txt

De ha egy for ciklussal "listázod" azokat a felhasználókat, akiknek van már profiles mappájuk, akkor a setfacl-be megadható direktben is a felhasználó (user:$for_listaelem:rwx), nem csak a fájl, mappa tulajdonosa (user::rwx), és akár felhasználónként is tudod módosítani a profiles mappájuk ACL jogait (/eleresi/utvonal/profiles/$for_listaelem.V6)

( veresh | 2018. 03. 20., k – 10:49 )

RSAT-tal (vagy más módon) módosítottál a "Domain Users" csoport speciális attribútumain? Konkrétan, módosítottad az alábbiakat?:
gidNumber: 513
msSFU30NisDomain: ....
msSFU30Name: Domain Users