Обновление Zentyal 3.3 до 5.1. Невозможно получить доступ к общим ресурсам самбы из windows
Недавно мы обновили наш сервер Zentyal 3.3 до 5.1. Это был процесс обновления через меню обновлений программного обеспечения. Версия samba была 4.1.3, а теперь - 4.6.7.
После обновления я заметил, что никто не может получить доступ к общим ресурсам Samba из Windows. Он имеет роль DC, но также многие файловые ресурсы настраиваются для конечных пользователей. Общий ресурс sysvol работает нормально, пользователи могут проходить аутентификацию, GPO тоже работают, но общие ресурсы не работают. Сообщение об ошибке "Отказано в доступе". Единственный способ получить к ним доступ, если я установлю "пользователей-администраторов" в smb.conf для группы желаний или пользователей. Но это приносит мне новую проблему, потому что каждый пользователь сможет получить доступ к каждой папке, даже если у него нет доступа к нему.
Наконец, я нашел новое "решение": если я назначил пользователя AD для доступа к общему ресурсу, то он работает правильно. Но если я установлю группу AD, то это не удастся. Группы AD существуют, и я проверил это несколькими командами. Членство в группах также правильно, поэтому я прекрасно вижу, что я являюсь членом этих групп.
Еще одна вещь, которая может или не может быть важной: папка, в которую пишут пользователи, монтируется через iSCSI в другую папку, затем жесткая ссылка на каталог / home. Ранее это были данные непосредственно там, но через процесс обновления Zentyal мы переместили данные в другое место (500 ГБ)
Я искал решение более дня, но пока не повезло. Согласно samba.log, когда я пытаюсь получить доступ к общим ресурсам и используя групповые разрешения:
[2018/11/02 20: 22: 57.348766, 3, pid = 2560, эффективный (0, 0), реальный (0, 0)] ../libcli/security/dom_sid.c:210(dom_sid_parse_endp) string_to_sid: SID Пользователь @Domain не в правильном формате
[2018/11/02 23:23:55.424532, 3] ../source3/smbd/service.c:102(set_current_service) Ошибка chdir (/home/samba/shares/iktato_uj), причина: в доступе отказано [2018/11 / 02 23: 23: 55.424574, 3]../source3/smbd/smb2_server.c:3097(smbd_smb2_request_error_ex)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx [1] status [NT_STATUS_ACCESS_DENIED] || по адресу../source3/smbd/smb2_server.c:2449 [2018/11/02 23:23:55.427243, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/home/samba/shares) / iktato_uj) не удалось, причина: в доступе отказано
Пример из share.conf в акцию, которую я пытаюсь получить:
[Iktato_uj]
comment = Iktato_uj
path = /home/samba/shares/iktato_uj
browseable = yes
force create mode = 0660
force directory mode = 0660
valid users = @"Iktato", "molehand"
read list =
write list = @"Iktato", "molehand"
admin users =
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
Вот вывод из samba-tool testparm
# Global parameters [global]
bind interfaces only = Yes
interfaces = lo ens36
netbios name = GAMESZSRV2
realm = BVDOM.LOCAL
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
server string = Zentyal Server
workgroup = BVDOM
log file = /var/log/samba/samba.log
log level = 3
max log size = 100000
map to guest = Bad User
server role = active directory domain controller
server signing = if_required
template homedir = /home/%U
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
idmap_ldb:use rfc2307 = yes
drs:max object sync = 1200
dsdb:schema update allowed = yes
server role check:inhibit = yes
comment =
include = /etc/samba/shares.conf
[homes]
comment = Saját könyvtárak
path = /home/%S
browseable = No
create mask = 0611
directory mask = 0711
read only = No
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
full_audit:success = connect opendir disconnect unlink mkdir rmdir open rename
[Vendeg]
comment = Vendeg
path = /home/samba/shares/vendeg
admin users = "@All domain users" "@Domain Admins"
force create mode = 0660
force directory mode = 0660
valid users = "@All domain users" "@Domain Admins" "@All domain users" "@Domain Admins"
write list = "@All domain users" "@Domain Admins"
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[muszak]
comment = Muszak
path = /home/samba/shares/muszak
admin users = @Muszak
force create mode = 0660
force directory mode = 0660
valid users = @Muszak @Muszak
write list = @Muszak
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Vezetes]
comment = Vezetés
path = /home/samba/shares/vezetes
admin users = @Vezetes
force create mode = 0660
force directory mode = 0660
valid users = @Vezetes @Vezetes
write list = @Vezetes
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Domain users]
comment = Domain users
path = /home/samba/shares/users
admin users = "@Domain Userek"
force create mode = 0660
force directory mode = 0660
valid users = "@Domain Userek" "@Domain Userek"
write list = "@Domain Userek"
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Berlemeny]
comment = Bérlemény
path = /home/samba/shares/berlemeny
admin users = @Berlemeny
force create mode = 0660
force directory mode = 0660
valid users = @Berlemeny @Berlemeny
write list = @Berlemeny
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Szamvitel]
comment = Számvitel
path = /home/samba/shares/szamvitel
admin users = @Szamvitel
force create mode = 0660
force directory mode = 0660
valid users = @Szamvitel @Szamvitel
write list = @Szamvitel
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Iktato]
comment = Iktató
path = /home/samba/shares/iktato
admin users = @Iktato
force create mode = 0660
force directory mode = 0660
valid users = @Iktato @Iktato
write list = @Iktato
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[HR]
comment = HR
path = /home/samba/shares/hr
admin users = @hr1
force create mode = 0660
force directory mode = 0660
valid users = @hr1 @hr1
write list = @hr1
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[intezmenyi]
comment = intézmények abevjava
path = /home/samba/shares/intezmenyi
admin users = @anyk
force create mode = 0660
force directory mode = 0660
valid users = @anyk @anyk
write list = @anyk
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Próba]
comment = teszt
path = /home/samba/shares/proba
force create mode = 0660
force directory mode = 0660
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Iktato_uj]
comment = Iktato_uj
path = /home/samba/shares/iktato_uj
force create mode = 0660
force directory mode = 0660
valid users = @Iktato molehand
write list = @Iktato molehand
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[netlogon]
path = /var/lib/samba/sysvol/bvdom.local/scripts
browseable = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
вывод smb.conf
[global]
workgroup = bvdom
realm = BVDOM.LOCAL
netbios name = gameszsrv2
server string = Zentyal Server
server role = dc
server role check:inhibit = yes
server services = -dns
server signing = auto
dsdb:schema update allowed = yes
ldap server require strong auth = no
drs:max object sync = 1200
idmap_ldb:use rfc2307 = yes
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
template homedir = /home/%U
interfaces = lo,ens36
bind interfaces only = yes
map to guest = Bad User
log level = 3
log file = /var/log/samba/samba.log
max log size = 100000
include = /etc/samba/shares.conf
[netlogon]
path = /var/lib/samba/sysvol/bvdom.local/scripts
browseable = no
read only = yes
[sysvol]
path = /var/lib/samba/sysvol
read only = no
Я также попробовал несколько методов с разрешениями Unix, но не повезло. Мне кажется, что он не может распознавать группы AD, когда я хочу использовать их для доступа к общим ресурсам.
Итак, подведем итог:
Пользовательский ACL работает, группа не работает
ОБНОВЛЕНИЕ: Я попытался создать новый общий ресурс в другую папку, тогда монтированный доступ iscsi и smb работал отлично. Поэтому я снова проверил разрешения unix и изменил одно из монтирования iscsi. После того, как я изменил ACL и стал владельцем папки, я смог получить к ней доступ из сети и изменить ACL из Windows. Так что, похоже, это простая проблема с правами доступа к файловой системе, не более того. Я надеюсь, что смогу заставить это работать и для других акций
Я ценю любое решение или совет. Спасибо.
0 ответов
Обновление, вероятно, нарушило групповое сопоставление для группы "Пользователи домена". Это случилось и с нами. Посмотрите на этот ответ для решения: https://superuser.com/a/1310572/704830