problema de autenticação samba para uma conta de usuário específica

1

Estou enfrentando um problema muito chato com o Samba. Aqui está minha configuração:

  • Windows Server 2003 + Active Directory (autenticação de usuários)
  • Servidor NAS (Ubuntu 12.04 + PBIS Open Broker para que este NAS seja registrado no AD + Samba 3.6.3)
  • Alguns grupos do AD no servidor do WS AD
  • Alguns compartilhamentos no NAS para os grupos do AD

Extrato do /etc/samba/smb.conf:

[boxes]
comment = Development boxes
valid users = @"DOMAIN\dev"
writable = yes
path = /media/raid/boxes
write list = @"DOMAIN\dev"

Esse compartilhamento "boxes" é permitido em leitura e escrita para o grupo DOMAIN \ dev. E funciona ... exceto por minha conta.

Com minha própria conta, posso acessar os compartilhamentos gerais (compartilhados com o grupo "usuários do domínio"), mas não os compartilhamentos mais específicos (neste último caso, sempre me perguntam com minhas credenciais com um "acesso negado" " mensagem). Eu tenho que dizer que não foi apenas o caso, isso tem funcionado perfeitamente por mais de um ano, e esse problema apareceu recentemente sem nenhuma mudança específica que eu possa lembrar.

Estou pedindo ajuda porque atualmente não sou bom o suficiente no Samba para investigar o que acontece. Eu passei pelos seguintes arquivos de log em / var / log / samba:

  • log.smbd: nada realmente significativo
  • log.nmbd: nada realmente significativo
  • log. # my PC name #: data de modificação muito antiga
  • log. # my PC IP #: data de modificação muito antiga
  • log. # meu login de domínio #: o arquivo está vazio

Também verifiquei se minha conta não está bloqueada, tentei alterar minha senha. Este problema acontece tanto na minha própria estação (Fedora) quanto em qualquer PC com Windows.

Então, como posso diagnosticar precisamente o que acontece para corrigir isso?

Obrigado.

EDIT1 : Como recomendado por @sam_pan_mariusz, verifiquei o seguinte comando

id #my login#
uid=76547207(#my login#) gid=76546561(domain^users) groups=76546561(domain^users),76548718(#a group#)

Obviamente, está longe de estar correto porque o meu próprio login é membro de 3 grupos e apenas 1 está listado aqui (quero dizer, grupos específicos não são "usuários do domínio").

Eu fiz outro teste, com o mesmo comando, eu vi meu chefe no grupo "dev" e codificação não é o trabalho dele. Então, no servidor do AD, eu o removi do grupo de desenvolvimento e executei:

id #my boss login#
uid=76547181(#my boss login#) gid=76546561(domain^users) groups=76546561(domain^users),76547165(#group 1#),76548718(#group 2#),76548790(#group 3#),76547162(dev)

Isso significa que os grupos e seus conteúdos não são bem atualizados no NAS.

EDIT2 : arquivo /etc/nsswitch.conf

passwd:         compat lsass
group:          compat lsass
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Não há winbind aqui, apenas lsass. Eu li em algum lugar PBis Open Broker e Winbind não são compatíveis.

EDIT3 : encontrou uma solução complicada

No nas, conectado por meio do SSH, eu corri:

su - #my login#

E saiu imediatamente, mas isso forçou a associação dos grupos a ser atualizada ... para o meu login. É ótimo, mas eu preciso que isso seja automático e para todos os usuários e grupos de domínio.

EDIT4 : a solução acima funcionou uma vez. Não funciona mais.

    
por romu 03.09.2015 / 15:34

0 respostas