* [Sysadmins] samba 4.9.13 и файлсервер @ 2019-11-11 17:02 solic 2019-11-11 21:30 ` solic 2019-11-11 23:56 ` Evgeny Sinelnikov 0 siblings, 2 replies; 5+ messages in thread From: solic @ 2019-11-11 17:02 UTC (permalink / raw) To: Sysadmins Коллеги, я столкнулся с таким явлением при обновлении файл-сервера до версии 4.9.13: он стал стребовать winbindd. === check_winbind_security: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS ==== В документе https://www.samba.org/samba/history/samba-4.8.0.html написано что теперь так: Domain member setups require winbindd ------------------------------------- Setups with "security = domain" or "security = ads" require a running 'winbindd' now. The fallback that smbd directly contacts domain controllers is gone. ------------------- Сервер был доменконтролером в режиме NT, затем контроллер через classikupgrade перекочевал на другую машину. А этот остался файл сервером. Был введён в домен по инструкции на wiki.altlinux.org. Наблюдаю непонятное поведение uid пользователей - getent passwd <user> выдаёт то локальные(старый), то доменные и системы не вижу. Пробовал запустить winbindd Получил -- add_trusted_domain: SID [S-1-5-21-3013211783-2101623650-2255371279] already used by domain [SHPLDC2012], expected [SHPL] --- Где SHPLDC2012 - имя сервера Наверное это остатки старого -но что где чистить - не знаю. Вообще я несколько не понимаю с чем теперь жить с sssd, winbindd или оба? ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] samba 4.9.13 и файлсервер 2019-11-11 17:02 [Sysadmins] samba 4.9.13 и файлсервер solic @ 2019-11-11 21:30 ` solic 2019-11-11 21:42 ` solic 2019-11-11 23:56 ` Evgeny Sinelnikov 1 sibling, 1 reply; 5+ messages in thread From: solic @ 2019-11-11 21:30 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Возможно, что это наследие classicupgrade === #net getdomainsid SID for local machine SHPLDC2012 is: S-1-5-21-3013211783-2101623650-2255371279 SID for domain SHPL is: S-1-5-21-3013211783-2101623650-2255371279 === И выбирается случайно... и клиент идетифицируется на хосте или в домене Не как стереть\заменить? solic@shpl.ru писал 2019-11-11 20:02: > Коллеги, я столкнулся с таким явлением при обновлении файл-сервера до > версии 4.9.13: > он стал стребовать winbindd. > === > > check_winbind_security: winbindd not running - but required as domain > member: NT_STATUS_NO_LOGON_SERVERS > > ==== > В документе https://www.samba.org/samba/history/samba-4.8.0.html > написано что теперь так: > Domain member setups require winbindd > ------------------------------------- > > Setups with "security = domain" or "security = ads" require a > running 'winbindd' now. The fallback that smbd directly contacts > domain controllers is gone. > ------------------- > > Сервер был доменконтролером в режиме NT, затем контроллер через > classikupgrade перекочевал на другую машину. А этот остался файл > сервером. > Был введён в домен по инструкции на wiki.altlinux.org. > > Наблюдаю непонятное поведение uid пользователей - getent passwd > <user> выдаёт то локальные(старый), то доменные и системы не вижу. > > Пробовал запустить winbindd > Получил > -- > add_trusted_domain: SID [S-1-5-21-3013211783-2101623650-2255371279] > already used by domain [SHPLDC2012], expected [SHPL] > --- > Где SHPLDC2012 - имя сервера > > Наверное это остатки старого -но что где чистить - не знаю. > Вообще я несколько не понимаю с чем теперь жить с sssd, winbindd или > оба? > > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] samba 4.9.13 и файлсервер 2019-11-11 21:30 ` solic @ 2019-11-11 21:42 ` solic 0 siblings, 0 replies; 5+ messages in thread From: solic @ 2019-11-11 21:42 UTC (permalink / raw) To: ALT Linux sysadmins' discussion solic@shpl.ru писал 2019-11-12 00:30: > Возможно, что это наследие classicupgrade > === > #net getdomainsid > SID for local machine SHPLDC2012 is: > S-1-5-21-3013211783-2101623650-2255371279 > SID for domain SHPL is: S-1-5-21-3013211783-2101623650-2255371279 > === > И выбирается случайно... и клиент идетифицируется на хосте или в домене > Не как стереть\заменить? Нет, логично чо совпадают. Rid разный... Спать пора... > solic@shpl.ru писал 2019-11-11 20:02: >> Коллеги, я столкнулся с таким явлением при обновлении файл-сервера до >> версии 4.9.13: >> он стал стребовать winbindd. >> === >> >> check_winbind_security: winbindd not running - but required as domain >> member: NT_STATUS_NO_LOGON_SERVERS >> >> ==== >> В документе https://www.samba.org/samba/history/samba-4.8.0.html >> написано что теперь так: >> Domain member setups require winbindd >> ------------------------------------- >> >> Setups with "security = domain" or "security = ads" require a >> running 'winbindd' now. The fallback that smbd directly contacts >> domain controllers is gone. >> ------------------- >> >> Сервер был доменконтролером в режиме NT, затем контроллер через >> classikupgrade перекочевал на другую машину. А этот остался файл >> сервером. >> Был введён в домен по инструкции на wiki.altlinux.org. >> >> Наблюдаю непонятное поведение uid пользователей - getent passwd >> <user> выдаёт то локальные(старый), то доменные и системы не вижу. >> >> Пробовал запустить winbindd >> Получил >> -- >> add_trusted_domain: SID [S-1-5-21-3013211783-2101623650-2255371279] >> already used by domain [SHPLDC2012], expected [SHPL] >> --- >> Где SHPLDC2012 - имя сервера >> >> Наверное это остатки старого -но что где чистить - не знаю. >> Вообще я несколько не понимаю с чем теперь жить с sssd, winbindd или >> оба? >> >> _______________________________________________ >> Sysadmins mailing list >> Sysadmins@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/sysadmins > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] samba 4.9.13 и файлсервер 2019-11-11 17:02 [Sysadmins] samba 4.9.13 и файлсервер solic 2019-11-11 21:30 ` solic @ 2019-11-11 23:56 ` Evgeny Sinelnikov 2019-11-12 7:23 ` Сергей 1 sibling, 1 reply; 5+ messages in thread From: Evgeny Sinelnikov @ 2019-11-11 23:56 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Cc: Igor Chudov, Georgy Bystrenin, Андрей Черепанов, Valery Sinelnikov Здравствуйте, пн, 11 нояб. 2019 г. в 21:03, <solic@shpl.ru>: > > Коллеги, я столкнулся с таким явлением при обновлении файл-сервера до > версии 4.9.13: > он стал стребовать winbindd. > === > > check_winbind_security: winbindd not running - but required as domain > member: NT_STATUS_NO_LOGON_SERVERS > > ==== > В документе https://www.samba.org/samba/history/samba-4.8.0.html > написано что теперь так: > Domain member setups require winbindd > ------------------------------------- > > Setups with "security = domain" or "security = ads" require a > running 'winbindd' now. The fallback that smbd directly contacts > domain controllers is gone. > ------------------- > > Сервер был доменконтролером в режиме NT, затем контроллер через > classikupgrade перекочевал на другую машину. А этот остался файл > сервером. > Был введён в домен по инструкции на wiki.altlinux.org. Там их много. Я уже перестал понимать какие из них имеются в виду. По умолчанию для клиента предлагается использовать sssd. Чтобы в этом убедиться, нужно выдать: # grep sss /etc/nsswitch.conf # grep provider /etc/sssd/sssd.conf # cat /etc/pam.d/system-auth Ну, и сама samba: # cat /etc/samba/smb.conf # testparm И это настройки простого клиента. В данном случае (файловый сервер с winbind'ом) - это тоже клиент к домену, но несколько более сложный, поскольку сам ещё и сервер. Этому клиенту, если установлен sssd, нужно "видеть" мапинг sid'ов на uid'ы также, как и в nss-модулях, которые обслуживает sssd. Для этого в /etc/samba/smb.conf нужно задать соответствующий мапинг (пакет libsss_nss_idmap): idmap config * : backend = sss (при этом idmap config * : range я, вообще, сначала закомментировал - нужно проверять) В итоге у меня так выглядит на таком сложном клиенте поправленный конфиг smb.conf: # Global parameters [global] kerberos method = system keytab realm = DOMAIN.ALT security = ADS template shell = /bin/bash winbind use default domain = Yes workgroup = DOMAIN idmap config * : range = 200000-2000200000 idmap config * : backend = sss acl group control = Yes # это не обязательно Кроме того, у нас имеется специальный вариант библиотеки libwbclient-sssd, для работы клиентов не через winbind, а через sssd. Его нужно установить: # apt-get install libwbclient-sssd Ещё можно задать winbind use default domain = true, если sssd так настроен. > Наблюдаю непонятное поведение uid пользователей - getent passwd <user> > выдаёт то локальные(старый), то доменные и системы не вижу. > > Пробовал запустить winbindd > Получил > -- > add_trusted_domain: SID [S-1-5-21-3013211783-2101623650-2255371279] > already used by domain [SHPLDC2012], expected [SHPL] > --- > Где SHPLDC2012 - имя сервера > > Наверное это остатки старого -но что где чистить - не знаю. > Вообще я несколько не понимаю с чем теперь жить с sssd, winbindd или > оба? Да, запускать нужно оба. Но у winbind'а свои функции - его стоит рассматривать как часть samba. Перезапуск с полной чисткой кеша выглядит так (/var/lib/samba/private не трогаем): rm -f /var/lib/samba/*.tdb /var/lib/samba/group_mapping.ldb /var/cache/samba/*.tdb && service winbind restart && service smb restart Перед этим на продакшине я бы всё забекапил (хотя бы для дальнейшего анализа и отладки в старом состоянии): tar -cf /var/lib/samba-backup.tar /var/lib/samba /var/cache/samba /var/log/samba /etc/samba -- Sin (Sinelnikov Evgeny) ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] samba 4.9.13 и файлсервер 2019-11-11 23:56 ` Evgeny Sinelnikov @ 2019-11-12 7:23 ` Сергей 0 siblings, 0 replies; 5+ messages in thread From: Сергей @ 2019-11-12 7:23 UTC (permalink / raw) To: ALT Linux sysadmins' discussion, Evgeny Sinelnikov Cc: Igor Chudov, Georgy Bystrenin, Андрей Черепанов, Valery Sinelnikov Уважаемые коллеги! 12.11.2019 2:56, Evgeny Sinelnikov пишет: > Для этого в /etc/samba/smb.conf нужно задать соответствующий мапинг > (пакет libsss_nss_idmap): > idmap config * : backend = sss > (при этом idmap config * : range я, вообще, сначала закомментировал - > нужно проверять) Это не проходит testparm : ERROR: Do not use the 'SSS' backend as the default idmap backend! И несмотря на ]# service winbind status winbindd is running в логе check_winbind_security: winbindd not running - but required as domain member: NT_STATUS_NO_LOGON_SERVERS Сейчас соберу конфиги и перешлю ^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2019-11-12 7:23 UTC | newest] Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2019-11-11 17:02 [Sysadmins] samba 4.9.13 и файлсервер solic 2019-11-11 21:30 ` solic 2019-11-11 21:42 ` solic 2019-11-11 23:56 ` Evgeny Sinelnikov 2019-11-12 7:23 ` Сергей
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git