From: Evgeny Sinelnikov <sin@altlinux.org> To: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org> Cc: "Igor Chudov" <nir@basealt.ru>, "Georgy Bystrenin" <gkot@basealt.ru>, "Андрей Черепанов" <cas@basealt.ru>, "Valery Sinelnikov" <greh@basealt.ru> Subject: Re: [Sysadmins] samba 4.9.13 и файлсервер Date: Tue, 12 Nov 2019 03:56:35 +0400 Message-ID: <CAK42-GqGPGd82qauxDjkBAikpGNAjQYRXO6yismMuoZfKR0SHQ@mail.gmail.com> (raw) In-Reply-To: <11501219590f9d44ae06da1d4f11ef9d@shpl.ru> Здравствуйте, пн, 11 нояб. 2019 г. в 21:03, <solic@shpl.ru>: > > Коллеги, я столкнулся с таким явлением при обновлении файл-сервера до > версии 4.9.13: > он стал стребовать winbindd. > === > > check_winbind_security: winbindd not running - but required as domain > member: NT_STATUS_NO_LOGON_SERVERS > > ==== > В документе https://www.samba.org/samba/history/samba-4.8.0.html > написано что теперь так: > Domain member setups require winbindd > ------------------------------------- > > Setups with "security = domain" or "security = ads" require a > running 'winbindd' now. The fallback that smbd directly contacts > domain controllers is gone. > ------------------- > > Сервер был доменконтролером в режиме NT, затем контроллер через > classikupgrade перекочевал на другую машину. А этот остался файл > сервером. > Был введён в домен по инструкции на wiki.altlinux.org. Там их много. Я уже перестал понимать какие из них имеются в виду. По умолчанию для клиента предлагается использовать sssd. Чтобы в этом убедиться, нужно выдать: # grep sss /etc/nsswitch.conf # grep provider /etc/sssd/sssd.conf # cat /etc/pam.d/system-auth Ну, и сама samba: # cat /etc/samba/smb.conf # testparm И это настройки простого клиента. В данном случае (файловый сервер с winbind'ом) - это тоже клиент к домену, но несколько более сложный, поскольку сам ещё и сервер. Этому клиенту, если установлен sssd, нужно "видеть" мапинг sid'ов на uid'ы также, как и в nss-модулях, которые обслуживает sssd. Для этого в /etc/samba/smb.conf нужно задать соответствующий мапинг (пакет libsss_nss_idmap): idmap config * : backend = sss (при этом idmap config * : range я, вообще, сначала закомментировал - нужно проверять) В итоге у меня так выглядит на таком сложном клиенте поправленный конфиг smb.conf: # Global parameters [global] kerberos method = system keytab realm = DOMAIN.ALT security = ADS template shell = /bin/bash winbind use default domain = Yes workgroup = DOMAIN idmap config * : range = 200000-2000200000 idmap config * : backend = sss acl group control = Yes # это не обязательно Кроме того, у нас имеется специальный вариант библиотеки libwbclient-sssd, для работы клиентов не через winbind, а через sssd. Его нужно установить: # apt-get install libwbclient-sssd Ещё можно задать winbind use default domain = true, если sssd так настроен. > Наблюдаю непонятное поведение uid пользователей - getent passwd <user> > выдаёт то локальные(старый), то доменные и системы не вижу. > > Пробовал запустить winbindd > Получил > -- > add_trusted_domain: SID [S-1-5-21-3013211783-2101623650-2255371279] > already used by domain [SHPLDC2012], expected [SHPL] > --- > Где SHPLDC2012 - имя сервера > > Наверное это остатки старого -но что где чистить - не знаю. > Вообще я несколько не понимаю с чем теперь жить с sssd, winbindd или > оба? Да, запускать нужно оба. Но у winbind'а свои функции - его стоит рассматривать как часть samba. Перезапуск с полной чисткой кеша выглядит так (/var/lib/samba/private не трогаем): rm -f /var/lib/samba/*.tdb /var/lib/samba/group_mapping.ldb /var/cache/samba/*.tdb && service winbind restart && service smb restart Перед этим на продакшине я бы всё забекапил (хотя бы для дальнейшего анализа и отладки в старом состоянии): tar -cf /var/lib/samba-backup.tar /var/lib/samba /var/cache/samba /var/log/samba /etc/samba -- Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2019-11-11 23:56 UTC|newest] Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top 2019-11-11 17:02 solic 2019-11-11 21:30 ` solic 2019-11-11 21:42 ` solic 2019-11-11 23:56 ` Evgeny Sinelnikov [this message] 2019-11-12 7:23 ` Сергей
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=CAK42-GqGPGd82qauxDjkBAikpGNAjQYRXO6yismMuoZfKR0SHQ@mail.gmail.com \ --to=sin@altlinux.org \ --cc=cas@basealt.ru \ --cc=gkot@basealt.ru \ --cc=greh@basealt.ru \ --cc=nir@basealt.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git