LINUX.ORG.RU

winbind в samba 4.4.2 выдает только группы

 , ,


0

2

Здаров, господа.
Не знаю, в каком направлении уже смотреть. wbinfo показывает мне все, кроме списка пользователей. Просто после попытки обновиться до samba4 из стандартных репозиториев centos 6.7 он перестал это делать. Гугл рассказал про заговор с 4й самбой и libnss_winbind.so,который мне неоткуда было взять. Снес пакеты samba-*, взял оф. мануал и в результате.. так никуда и не продвинулся.

Дело было так..

./configure --sysconfdir=/etc/samba --sbindir=/sbin
make && make install
ln -s /usr/local/samba/lib/libnss_winbind.so.2 /lib64/
ln -s /lib64/libnss_winbind.so.2 /lib64/libnss_winbind.so
/usr/local/samba/bin/net ads join -U admin -D DOMAIN.COM

Основано на конфигах:

/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = false
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = pdc.domain.com:88
admin_server = pdc.domain.com:749
}
[domain_realm]
domain.com = DOMAIN.COM
.domain.com = DOMAIN.COM


/etc/nsswitch.conf
passwd:     files       winbind
shadow:     files
group:      files       winbind

hosts:      files dns


/etc/samba/smb.conf
[global]
netbios name = media
security = ADS
workgroup = DOMAIN
realm = DOMAIN.COM
log file = /var/log/samba/%m.log
log level = 1
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab

winbind refresh tickets = yes
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users  = yes
winbind enum groups = yes
idmap config *:backend = tdb
idmap config *:range = 10000-20000
idmap config DOMAIN:backend = rid
idmap config DOMAIN:range = 100000-199000

ldap timeout = 120
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
vfs objects = acl_xattr
map acl inherit = Yes
store dos attributes = Yes

[Media]
path = /terrabyte/samba
valid users = @«%D\domain users»
write list = @«%D\domain admins»
admin users = @«%D\domain admins»
read only = no
public = yes
create mask = 0660
directory mask = 0770
printable = no
locking = no

И вот что я вижу:

wbinfo -p
Ping to winbindd succeeded

wbinfo -P
checking the NETLOGON for domain[DOMAIN] dc connection to «PDC.domain.com» succeeded

wbinfo -t
checking the trust secret for domain DOMAIN via RPC calls succeeded

wbinfo -n admin
S-1-5-21-609812317-161033014-4089905066-1116 SID_USER (1)

wbinfo -a admin%adminpassword
plaintext password authentication succeeded
challenge/response password authentication succeeded

wbinfo -u

wbinfo -g
компьютеры домена
контроллеры домена
администраторы схемы
администраторы предприятия
.....

cat /var/log/samba/log.wb-DOMAIN
[2016/04/15 16:14:58.972538,  1] ../auth/gensec/spnego.c:664(gensec_spnego_create_negTokenInit)
  Failed to setup SPNEGO negTokenInit request: NT_STATUS_INTERNAL_ERROR
[2016/04/15 16:14:59.279035,  1] ../source3/libads/ldap_utils.c:93(ads_do_search_retry_internal)
  Reducing LDAP page size from 1000 to 500 due to IO_TIMEOUT
[2016/04/15 16:15:02.404998,  1] ../source3/libads/ldap_utils.c:93(ads_do_search_retry_internal)
  Reducing LDAP page size from 500 to 250 due to IO_TIMEOUT
[2016/04/15 16:15:05.506164,  1] ../source3/libads/ldap_utils.c:137(ads_do_search_retry_internal)
  ads reopen failed after error Time limit exceeded
[2016/04/15 16:15:05.506281,  1] ../source3/winbindd/winbindd_ads.c:320(query_user_list)
  query_user_list ads_search: Time limit exceeded
Пользователей в АД включая отключенных менее 300. Я не хочу делать на папки chmod 777, а без списка юзеров далеко не уехать. Где то я что то очевидное упускаю, подскажите если заметите.
getent с группами отрабатывает.

Samba 4.3.8 AD-DC отвалился /sysvol

Прилетело (19.04.2016) обновление для самбы, утром благополучно отказались работать все групповые политики. ни /SYSVOL, ни одна из шар не дает себя просматривать. При попытках выдает такую шляпу: NT_STATUS_OBJECT_NAME_NOT_FOUND Заходит. Пользователей видит (у меня samba-internal dnsserver). https://bugzilla.samba.org/show_bug.cgi?id=11869 Ждем.

nicolas_ukt40 ()

mrPresident, Я бы даже сказал, что в твоем случае лучше было бы попробовать использовать samba-internal DNS. И при этом лучше экспериментировать на втором (подопытном) компьютере, взяв его либо через remastersys, либо просто сконфигурировав аналогично твоему.

Надо тестить пакеты, пакеты похоже дико сырые либо что-то не то. dist-upgrade во всяком случае не помогает.

nicolas_ukt40 ()

https://www.linux.org.ru/forum/general/12519833

client ldap sasl wrapping = plain спасет отца русской демократии :)

anonymous ()
Ответ на: https://www.linux.org.ru/forum/general/12519833 от anonymous

Re: https://www.linux.org.ru/forum/general/12519833

спасибо, добрый человек! как начинающим догадаться влепить эту настройку по данному логу? в руководствах по добавлению линуксовой машины в виндовый домен упоминания о ней нету о_О

anonymous ()
Ответ на: Re: https://www.linux.org.ru/forum/general/12519833 от anonymous

Re: https://www.linux.org.ru/forum/general/12519833

Никак. Только поиском по форумам. поиск в гугле по «failed to setup spnego negtokeninit request: nt_status_internal_error» выводит на http://www.spinics.net/lists/samba/msg133518.html и для справки: из релиза Samba 4.2.0: ...Для обеспечения целостности соединений с LDAP теперь применяется настройка 'client ldap sasl wrapping', для отключения которой следует указать 'client ldap sasl wrapping = plain';

так что остается использовать на свой страх и риск и ждать нового релиза с исправлениями.

anonymous ()
Ответ на: https://www.linux.org.ru/forum/general/12519833 от anonymous

Samba 4.3.8 19 апреля: deadline

как я понял, это в smb.conf [global] ?

Нет возможности использовать хотя бы sha5/md5 шифрование паролей? Меня это вполне устраивало

2й вопрос - почему при этом юзеры логинятся в AD? Не работают только шары sysvol и остальные?

nicolas_ukt40 ()
Ответ на: Samba 4.3.8 19 апреля: deadline от nicolas_ukt40

Re: Samba 4.3.8 19 апреля: deadline

В новых версиях самбы (4.2.12, 4.3.9) wbinfo -u правильно отрабатывает и без строки: client ldap sasl wrapping = plain Ставьте и пробуйте. :)

anonymous ()
Ответ на: Re: Samba 4.3.8 19 апреля: deadline от anonymous

У меня samba internal dns и пользователи видятся системой, и без строки, и без deadline. Я вместо dir /sysvol получаю NT_STATUS_OBJECT_NAME_NOT_FOUND listing \*, в 4.3.9. Печально, но пока живем без AD, с одним лишь только LDAPом.

nicolas_ukt40 ()
Ответ на: Re: Samba 4.3.8 19 апреля: deadline от anonymous

Забавно, wbinfo -u в новых версиях отрабатывает, но теперь оно не видит связи между юзерами и группами. Хз, видимо я один такой, потому что нигде не нашел подобной проблемы: getent group вываливает мне список групп с gid, но без юзеров, в них состоящих. В результате, настроить acl на работу с группами элементарно невозможно. Я уже забил на это и смастерил гигантский такой костыль из php и perl.

mrPresedent ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.