Eltünt a Samba 4 AD administratorom

 ( jenkara | 2019. július 22., hétfő - 10:51 )

Eljött a nap a mikor témát indítok, mert ilyet meg nem láttam!

Adott egy alap telepítésű Debian 9. Rajta egy samba4 AD, SSSD-vel kiegészítve (minden csomagból). Egy linuxot oktató videoportál ;-) anyagainak felhasználásával készült minden. Annyi extra van benne, hogy a Kopano schema kiegészítése is rákerült. (De ezt is az anyagok és a manuálok alapján műveltem)
Még szerencsére nem éles a rendszer, mert különben nagy bajban lennék!

A jelenség: Két hónappal korábban még minden működött (AD-ba userek felvétele, gépek beléptetése a domainbe, authentikál a kopano...Tehát minden.). Ha visszateszem a virtuális gépeket abba az állapotba, akkor működik is. De csak egy darabig!!!
Amit tapasztalok: A beléptetett gépekre a már létező felhasználókkal be tudok lépni. Gyanítom, csak valami cache miatt, mert új felhasználót létrehozni, vagy új gépet beléptetni nem tudok. A visszaállítás után egy darabig, minden jól megy (új user, új gép...), de egy idő után a domain-be léptetett gépekről sem érhető el RSAT alkalmazásokkal se az AD se annak DNS-e.

...es most jön az amitől végleg padlót fogtam!
Egyszer csak eltűnik a getent passwd -ből az AD Administrator felhasználója!! Először azt hittem, a szemem káprázik, mert a többi objektum ott volt. Pár perc különbséggel kiadott parancsok esetén a korábbiban még megvolt, később meg már nem szerepelt a listában... És nem töröltem le, nem frissítettem csomagokat! Ha ldbsearch-el nézem, akkor megvan az admin, de gyakorlatilag hasznalhatatlan az AD!

Ha valakinek bármilyen ötlete lenne, nagyon megköszönném.
Kezdek kifogyni az ötletekből és a kugli kulcsszavakból.

Először a Win10 1903-as frissítését gyanúsítottam, de az Administrator elvesztése után már nem tudom hova tenni a dolgot. :-(

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Első tippre: az SSSD és a Samba is a rendszer keytab-ot (/etc/krb5.keytab) használja, aztán ahogy kell, az SSSD felülcsapta az X nap elteltével. Helyrehozás és későbbi ugyanilyen elhárítása: https://hup.hu/node/155076?comments_per_page=9999#comment-2134811

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Köszönöm!

Ismertem a szalat, de most elejétől a végéig ismét végigrágtam.
A /etc/krb5.keytab és a /var/lib/samba/private/secrets.keytab állományom lényegesen különbözött. ...és csodák csodája az administrator hiányzott a /etc/krb5.conf-ból. Valóban az történhetett amit hogy az sssd felülírhatta.
Leállítottam a samba-ad-dc-t és az sssd-t is. Kiadtam ismét a 'samba-tool domain exportkeytab /etc/krb5.keytab-ot. majd egy systemctl daemon-reload -ot végül vissza a szolgáltatásokat. Megjött az administrator és helyreáll a világbéke. Minden működik.

Még az sssd.conf-ban beleműtöm azt az egy sort...

Lehet, új szálat kellene nyitnom, de inkább így melegében megkérdezem: Esetleg van-e már tapasztalata valakinek stretch -> buster dist-upgrade-ről? Ott is várnak majd meglepetések?

Egyelőre nem csináltam meg a dist-upgrade-t, a Samba környékén nagyon jelentős (mármint: külső interface szempontjából) nem volt időközben. De amint megcsináltam az upgrade-t, beszámolok :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)