Автономный сервер Samba с помощью LDAP для аутентификации: несоответствие SID

Question

Автономный сервер Samba с помощью LDAP для аутентификации: несоответствие SID

Я пытаюсь получить свой новый сервер самбы, работающий в течение многих дней теперь, и я начинаю сходить с ума по не выяснению, что я делаю неправильно. Вот моя установка:

Сервер OpenLDAP 2.4.21 с ~15 группами и> 100 пользователей, все имеющие Unix и пароль самбы сохранили в LDAP, а также Пользователе SID и Основную группу SID, присвоенный и сохраненный в LDAP, полученном из SID Сервера LDAP.

Теперь я хочу использовать несколько серверов самбы для использования сервера LDAP для аутентификации пользователей. Сервером самбы является Linux, настроенный с NSS/PAM использование ldap сервера. getent passwd/group возвращает всех пользователей и ssh к работам машины самбы для всех пользователей. Теперь вот smb.conf:

[global]
workgroup = XXXXX
security = user
passdb backend = ldapsam:ldap://myldapserver
ldap suffix = dc=mydomain,dc=com
ldap admin dn = cn=replicator,dc=mydomain,dc=com
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap ssl = start tls

ldap работы соединения, как pdbedit -L шоу

pm_process() returned Yes
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=SAMBAHOSTNAME))]
StartTLS issued: using a TLS connection
smbldap_open_connection: connection opened
ldap_connect_system: successful connection to the LDAP server
The LDAP server is successfully connected
smbldap_search_paged: base => [dc=mydomain,dc=com], filter => [(&(uid=*)(objectclass=sambaSamAccount))],scope => [2], pagesize => [1024]
smbldap_search_paged: search was successful
sid S-1-5-21-[LDAPSID]-5168 does not belong to our domain

и затем последнее сообщение повторяется для всего uids. Используя smbclient -L localhost -U someid файл журнала говорит:

check_ntlm_password:  Checking password for unmapped user [XXX]\[someid]@[SAMBAHOST] with the new password interface
check_ntlm_password:  mapped user is: [SAMBAHOST]\[someid]@[SAMBAHOST]
StartTLS issued: using a TLS connection
smbldap_open_connection: connection opened
ldap_connect_system: successful connection to the LDAP server
The LDAP server is successfully connected
init_sam_from_ldap: Entry found for user: someid
Home server: SAMBAHOST
Home server: SAMBAHOST
init_group_from_ldap: Entry found for group: 1011
init_group_from_ldap: Entry found for group: 1011
Primary group S-1-5-21-[LDAPSID]-1000 for user someid is a UNKNOWN and not a domain group
Forcing Primary Group to 'Domain Users' for someid
ntlm_password_check: Checking NTLMv2 password with domain [CIN]
sam_account_ok: Checking SMB password for user someid
The primary group domain sid(S-1-5-21-[LOCALSID]-513) does not match the domain sid(S-1-5-21-[LDAPSID]) for someid(S-1-5-21-[LDAPSID]-5708)
check_sam_security: make_server_info_sam() failed with 'NT_STATUS_UNSUCCESSFUL'
check_ntlm_password:  Authentication for user [someid] -> [someid] FAILED with error NT_STATUS_UNSUCCESSFUL

Что я вижу, вот то, что сервер самбы не распознает основную группу пользователя (который является существующей группой в LDAP), и для этого отображает основную группу на ее локальную группу "Пользователей домена", которая затем, очевидно, не соответствует domainSID идентификатора пользователя. Но почему сервер самбы не распознает группу? Или есть ли другая базовая проблема?

Что я попробовал до сих пор:

Изменение SID сервера самбы к SID сервера LDAP, но net setlocalsid S-... не изменил локальный SID. Никакое сообщение об ошибке, просто выполненное успешно, но getlocalsid, не возвратило старый SID.

Установка domainsid сервера самбы к SID ldap сервера. net setdomainsid S-... было успешно, но сервер самбы все еще отказывается аутентифицировать пользователей.

Испытанное добавление сервера к домену с net join XXX но ответ был просто "автономным сервером, не может присоединиться к домену".

Я пытался работать smbpasswd -a добавить пользователя к локальному дб самбы (даже при том, что это не было бы опцией для конечного решения, но это - то, что другие пользователи рекомендовали), но ошибку не изменилось.

Как я могу или сказать самбе игнорировать несоответствие домена SID или самбу силы, чтобы иметь тот же SID как LDAP? Или это вызвало бы другие проблемы, если ~10 Серверов Samba и LDAP в конце у всех есть тот же самый SID?

5

linux ldap authentication samba

задан Phil 13 June 2013 в 22:25

Ссылка

1 ответ


         
              



      
        Теги
        
         linux ldap authentication samba       

        Похожие вопросы
        
          
                          993 
 Как я могу отсортировать du-h произведенный размером - 29 October 2016 04:01 
                            586 
 scp может скопировать каталоги рекурсивно? - 10 July 2018 18:19 
                            435 
 Каково различие между двойными и единственными квадратными скобками в ударе? - 10 August 2009 00:11 
                            423 
 Что точно делает цвета в htop средних строках состояния? - 8 September 2014 22:03 
                            364 
 Кто-либо еще испытывающий высокие показатели сервера Linux разрушает во время прыжка второй день? - 4 July 2012 00:09 
                            316 
 Как выполнить сервер на порте 80 как обычный пользователь на Linux? - 14 August 2019 17:35 
                            313 
 Какие полномочия мои файлы/папки веб-сайта должны иметь на веб-сервере Linux? - 18 December 2013 21:41 
                            261 
 Как связать сервер MySQL больше чем с одним IP-адресом? - 24 February 2018 01:37 
                            261 
 Могу я nohup/screen уже запущенный процесс? - 12 June 2009 03:14 
                            252 
 Я могу автоматически добавить новый хост known_hosts? - 2 September 2015 00:40 
                            235 
 Показ общего прогресса rsync: действительно ли это возможно? - 5 January 2011 17:26 
                            233 
 Копирование большого дерева каталогов локально? CP или rsync? - 30 October 2014 16:15 
                            232 
 Переменные среды рабочего процесса на Unix? - 22 February 2016 22:22 
                            228 
 Почему мой crontab не работает, и как я могу диагностировать его? - 17 March 2017 09:55 
                            225 
 Перемещение уже рабочего процесса для Экранирования - 19 August 2009 04:48

score 3 · Answer 1 · 3 December 2019 в 01:51

У меня была аналогичная проблема. Что мне нужно было сделать, так это отредактировать записи sambaSID для домена, пользователя и группы в LDAP, чтобы они соответствовали тому, что было на моем сервере. В противном случае вы получите следующее сообщение об ошибке в журнале Samba на вашем сервере. Чтобы просмотреть этот журнал, убедитесь, что log level = 2 в вашем smb.conf .:

[2015/12/03 14:39:19.753690,  1] ../source3/auth/server_info.c:346(samu_to_SamInfo3)
  The primary group domain sid(S-1-5-21-748580849-194208185-3916830000-513) does not match the domain sid(S-1-5-21-2566626306-4294080665-3504248766) for someuser(S-1-5-21-2566626306-4294080665-3504248766-11678)
[2015/12/03 14:39:19.753733,  0] ../source3/auth/check_samsec.c:492(check_sam_security)
  check_sam_security: make_server_info_sam() failed with 'NT_STATUS_UNSUCCESSFUL'
[2015/12/03 14:39:19.753755,  2] ../source3/auth/auth.c:288(auth_check_ntlm_password)
  check_ntlm_password:  Authentication for user [someuser] -> [bbogaert] FAILED with error NT_STATUS_UNSUCCESSFUL
[2015/12/03 14:39:19.753777,  2] ../auth/gensec/spnego.c:743(gensec_spnego_server_negTokenTarg)
  SPNEGO login failed: NT_STATUS_UNSUCCESSFUL

На вашем сервере запустите net getdomainsid . Это вернет localsid и domainid . Эти значения должны соответствовать . Если они не запускают net setdomainsid со значением SID для локального компьютера .

root@TheWiggle:~# net getdomainsid
SID for local machine THEWIGGLE is: S-1-5-21-748580849-194208185-3916830000
SID for domain THISDOMAIN is: S-1-5-21-748580849-194208185-3916830000

Теперь на вашем сервере LDAP возьмите значение SID для домена и убедитесь, что это значение атрибута sambaSID для sambaDomainName = THISDOMAIN .

Также убедитесь, что sambaSID и sambaPrimaryGroupID] users ,и sambaSID группы состоят из SID для домена и уникального значения для атрибута.



 Например,  sambaSID  для  someuser  будет  S-1-5-21-748580849-194208185-3916830000-99999 , а их sambaPrimaryGroupID будет  S-1-5-21-748580849-194208185-3916830000-555 .   sambaSID  для группы будет  S-1-5-21-748580849-194208185-3916830000-77777 

 Надеюсь, это поможет !!!