Recentemente, atualizamos nosso servidor Zentyal 3.3 para 5.1 Foi um processo de atualização através do menu de atualizações de software. A versão do samba era 4.1.3 e agora é 4.6.7
Após a atualização, notei que ninguém pode acessar os compartilhamentos de samba no Windows. Ele tem um papel DC, mas também muitos compartilhamentos de arquivos são configurados pelos usuários finais. O compartilhamento sysvol está funcionando bem, os usuários podem se autenticar, os GPOs também estão funcionando, mas os compartilhamentos não estão. A mensagem de erro é acesso negado. A única maneira de acessá-los é se eu definir os "usuários admin" em smb.conf para o grupo de desejos ou usuário . Mas isso me traz um novo problema, porque cada usuário poderá acessar todas as pastas, mesmo que elas não tenham acesso a elas.
Finalmente, encontrei uma nova "solução": Se eu definir um usuário do AD para acessar o compartilhamento, ele está funcionando corretamente. Mas se eu definir um grupo do AD, ele está falhando. Os grupos do AD são existentes e verifiquei isso com vários comandos. Os membros do grupo também estão corretos, então eu posso ver perfeitamente que sou membro desses grupos.
Outra coisa, que pode ou não ser importante: A pasta em que os usuários escrevem é montada por meio de iSCSI em outra pasta e, em seguida, vincula-se ao diretório / home. Anteriormente, os dados estavam diretamente lá, mas através do processo de atualização Zentyal, nós movemos os dados para outro lugar (500 GB)
Eu procurei por solução por mais de um dia, mas até agora sem sorte. De acordo com o samba.log quando tento acessar os compartilhamentos e usando permissões de grupo:
[2018/11/02 20:22:57.348766, 3, pid=2560, effective(0, 0), real(0, 0)] ../libcli/security/dom_sid.c:210(dom_sid_parse_endp) string_to_sid: SID @Domain Users is not in a valid format
[2018/11/02 23:23:55.424532, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/home/samba/shares/iktato_uj) failed, reason: Permission denied [2018/11/02 23:23:55.424574, 3] ../source3/smbd/smb2_server.c:3097(smbd_smb2_request_error_ex)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_ACCESS_DENIED] || at ../source3/smbd/smb2_server.c:2449 [2018/11/02 23:23:55.427243, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/home/samba/shares/iktato_uj) failed, reason: Permission denied
Um exemplo do share.conf para um compartilhamento que estou tentando acessar:
[Iktato_uj]
comment = Iktato_uj
path = /home/samba/shares/iktato_uj
browseable = yes
force create mode = 0660
force directory mode = 0660
valid users = @"Iktato", "molehand"
read list =
write list = @"Iktato", "molehand"
admin users =
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
Aqui está a saída do testparm samba-tool
# Global parameters [global]
bind interfaces only = Yes
interfaces = lo ens36
netbios name = GAMESZSRV2
realm = BVDOM.LOCAL
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
server string = Zentyal Server
workgroup = BVDOM
log file = /var/log/samba/samba.log
log level = 3
max log size = 100000
map to guest = Bad User
server role = active directory domain controller
server signing = if_required
template homedir = /home/%U
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
idmap_ldb:use rfc2307 = yes
drs:max object sync = 1200
dsdb:schema update allowed = yes
server role check:inhibit = yes
comment =
include = /etc/samba/shares.conf
[homes]
comment = Saját könyvtárak
path = /home/%S
browseable = No
create mask = 0611
directory mask = 0711
read only = No
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
full_audit:success = connect opendir disconnect unlink mkdir rmdir open rename
[Vendeg]
comment = Vendeg
path = /home/samba/shares/vendeg
admin users = "@All domain users" "@Domain Admins"
force create mode = 0660
force directory mode = 0660
valid users = "@All domain users" "@Domain Admins" "@All domain users" "@Domain Admins"
write list = "@All domain users" "@Domain Admins"
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[muszak]
comment = Muszak
path = /home/samba/shares/muszak
admin users = @Muszak
force create mode = 0660
force directory mode = 0660
valid users = @Muszak @Muszak
write list = @Muszak
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Vezetes]
comment = Vezetés
path = /home/samba/shares/vezetes
admin users = @Vezetes
force create mode = 0660
force directory mode = 0660
valid users = @Vezetes @Vezetes
write list = @Vezetes
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Domain users]
comment = Domain users
path = /home/samba/shares/users
admin users = "@Domain Userek"
force create mode = 0660
force directory mode = 0660
valid users = "@Domain Userek" "@Domain Userek"
write list = "@Domain Userek"
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Berlemeny]
comment = Bérlemény
path = /home/samba/shares/berlemeny
admin users = @Berlemeny
force create mode = 0660
force directory mode = 0660
valid users = @Berlemeny @Berlemeny
write list = @Berlemeny
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Szamvitel]
comment = Számvitel
path = /home/samba/shares/szamvitel
admin users = @Szamvitel
force create mode = 0660
force directory mode = 0660
valid users = @Szamvitel @Szamvitel
write list = @Szamvitel
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Iktato]
comment = Iktató
path = /home/samba/shares/iktato
admin users = @Iktato
force create mode = 0660
force directory mode = 0660
valid users = @Iktato @Iktato
write list = @Iktato
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[HR]
comment = HR
path = /home/samba/shares/hr
admin users = @hr1
force create mode = 0660
force directory mode = 0660
valid users = @hr1 @hr1
write list = @hr1
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[intezmenyi]
comment = intézmények abevjava
path = /home/samba/shares/intezmenyi
admin users = @anyk
force create mode = 0660
force directory mode = 0660
valid users = @anyk @anyk
write list = @anyk
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Próba]
comment = teszt
path = /home/samba/shares/proba
force create mode = 0660
force directory mode = 0660
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Iktato_uj]
comment = Iktato_uj
path = /home/samba/shares/iktato_uj
force create mode = 0660
force directory mode = 0660
valid users = @Iktato molehand
write list = @Iktato molehand
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[netlogon]
path = /var/lib/samba/sysvol/bvdom.local/scripts
browseable = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
saída do smb.conf
[global]
workgroup = bvdom
realm = BVDOM.LOCAL
netbios name = gameszsrv2
server string = Zentyal Server
server role = dc
server role check:inhibit = yes
server services = -dns
server signing = auto
dsdb:schema update allowed = yes
ldap server require strong auth = no
drs:max object sync = 1200
idmap_ldb:use rfc2307 = yes
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
template homedir = /home/%U
interfaces = lo,ens36
bind interfaces only = yes
map to guest = Bad User
log level = 3
log file = /var/log/samba/samba.log
max log size = 100000
include = /etc/samba/shares.conf
[netlogon]
path = /var/lib/samba/sysvol/bvdom.local/scripts
browseable = no
read only = yes
[sysvol]
path = /var/lib/samba/sysvol
read only = no
Eu também tentei alguns métodos com permissões unix, stb, mas sem sorte. Parece-me que não é capaz de reconhecer os grupos do AD, quando quero usá-los para acessar compartilhamentos.
Então, para resumir:
A ACL do usuário está funcionando, o grupo não
UPDATE: Eu tentei criar um novo compartilhamento para outra pasta, então o acesso iscsi e smb montado funcionou perfeitamente. Então, verifiquei novamente as permissões do unix e modifiquei uma da montagem iscsi. Depois que eu modifiquei o acl e me tornei o proprietário de uma pasta, consegui acessá-lo da rede e modificar a ACL das janelas. Então, parece que é um problema de permissão do sistema de arquivos simples, nada mais. Espero que eu possa fazer o trabalho para os outros compartilhamentos também
Eu aprecio qualquer solução ou dica. Obrigado.