From: Evgeny Sinelnikov <sin@altlinux.org>
To: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
Cc: "Igor Chudov" <nir@basealt.ru>,
"Georgy Bystrenin" <gkot@basealt.ru>,
"Андрей Черепанов" <cas@basealt.ru>,
"Valery Sinelnikov" <greh@basealt.ru>
Subject: Re: [Sysadmins] samba 4.9.13 и файлсервер
Date: Tue, 12 Nov 2019 03:56:35 +0400
Message-ID: <CAK42-GqGPGd82qauxDjkBAikpGNAjQYRXO6yismMuoZfKR0SHQ@mail.gmail.com> (raw)
In-Reply-To: <11501219590f9d44ae06da1d4f11ef9d@shpl.ru>
Здравствуйте,
пн, 11 нояб. 2019 г. в 21:03, <solic@shpl.ru>:
>
> Коллеги, я столкнулся с таким явлением при обновлении файл-сервера до
> версии 4.9.13:
> он стал стребовать winbindd.
> ===
>
> check_winbind_security: winbindd not running - but required as domain
> member: NT_STATUS_NO_LOGON_SERVERS
>
> ====
> В документе https://www.samba.org/samba/history/samba-4.8.0.html
> написано что теперь так:
> Domain member setups require winbindd
> -------------------------------------
>
> Setups with "security = domain" or "security = ads" require a
> running 'winbindd' now. The fallback that smbd directly contacts
> domain controllers is gone.
> -------------------
>
> Сервер был доменконтролером в режиме NT, затем контроллер через
> classikupgrade перекочевал на другую машину. А этот остался файл
> сервером.
> Был введён в домен по инструкции на wiki.altlinux.org.
Там их много. Я уже перестал понимать какие из них имеются в виду.
По умолчанию для клиента предлагается использовать sssd. Чтобы в этом
убедиться, нужно выдать:
# grep sss /etc/nsswitch.conf
# grep provider /etc/sssd/sssd.conf
# cat /etc/pam.d/system-auth
Ну, и сама samba:
# cat /etc/samba/smb.conf
# testparm
И это настройки простого клиента. В данном случае (файловый сервер с
winbind'ом) - это тоже клиент к домену, но несколько более сложный,
поскольку сам ещё и сервер. Этому клиенту, если установлен sssd, нужно
"видеть" мапинг sid'ов на uid'ы также, как и в nss-модулях, которые
обслуживает sssd.
Для этого в /etc/samba/smb.conf нужно задать соответствующий мапинг
(пакет libsss_nss_idmap):
idmap config * : backend = sss
(при этом idmap config * : range я, вообще, сначала закомментировал -
нужно проверять)
В итоге у меня так выглядит на таком сложном клиенте поправленный
конфиг smb.conf:
# Global parameters
[global]
kerberos method = system keytab
realm = DOMAIN.ALT
security = ADS
template shell = /bin/bash
winbind use default domain = Yes
workgroup = DOMAIN
idmap config * : range = 200000-2000200000
idmap config * : backend = sss
acl group control = Yes # это не обязательно
Кроме того, у нас имеется специальный вариант библиотеки
libwbclient-sssd, для работы клиентов не через winbind, а через sssd.
Его нужно установить:
# apt-get install libwbclient-sssd
Ещё можно задать winbind use default domain = true, если sssd так настроен.
> Наблюдаю непонятное поведение uid пользователей - getent passwd <user>
> выдаёт то локальные(старый), то доменные и системы не вижу.
>
> Пробовал запустить winbindd
> Получил
> --
> add_trusted_domain: SID [S-1-5-21-3013211783-2101623650-2255371279]
> already used by domain [SHPLDC2012], expected [SHPL]
> ---
> Где SHPLDC2012 - имя сервера
>
> Наверное это остатки старого -но что где чистить - не знаю.
> Вообще я несколько не понимаю с чем теперь жить с sssd, winbindd или
> оба?
Да, запускать нужно оба. Но у winbind'а свои функции - его стоит
рассматривать как часть samba.
Перезапуск с полной чисткой кеша выглядит так (/var/lib/samba/private
не трогаем):
rm -f /var/lib/samba/*.tdb /var/lib/samba/group_mapping.ldb
/var/cache/samba/*.tdb && service winbind restart && service smb
restart
Перед этим на продакшине я бы всё забекапил (хотя бы для дальнейшего
анализа и отладки в старом состоянии):
tar -cf /var/lib/samba-backup.tar /var/lib/samba /var/cache/samba
/var/log/samba /etc/samba
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2019-11-11 23:56 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-11-11 17:02 solic
2019-11-11 21:30 ` solic
2019-11-11 21:42 ` solic
2019-11-11 23:56 ` Evgeny Sinelnikov [this message]
2019-11-12 7:23 ` Сергей
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CAK42-GqGPGd82qauxDjkBAikpGNAjQYRXO6yismMuoZfKR0SHQ@mail.gmail.com \
--to=sin@altlinux.org \
--cc=cas@basealt.ru \
--cc=gkot@basealt.ru \
--cc=greh@basealt.ru \
--cc=nir@basealt.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git