SSO com Samba4 Client e Samba3 Server sem o Active Directory

1

No escritório que estou trabalhando atualmente, é a seguinte configuração:

  • um servidor linux gerenciando as contas de logon único, compartilhamentos e impressoras. Isso será chamado de ' server129 ' e s não deve ser modificado . (se possível)
  • vários clientes do Windows XP que precisam ser substituídos. É possível fazer o login de um PC Cliente arbitrário e os arquivos e configurações estão automaticamente disponíveis (logon único).

Na primeira etapa, quero integrar um novo PC cliente à rede existente. Este novo cliente é um novo Linux Mint 18.3 e é chamado ' pc135 '. Eu tenho problemas para integrar o novo cliente na rede existente.

Eu não configurei as máquinas. A pessoa que fez isso não está mais disponível. Eu mesmo não sou especialista em unix e só tenho pouca experiência. Por isso, tento incluir o máximo possível de informações relevantes.

A seguir, uma descrição das configurações e testes já realizados.

Rede

Meu escritório faz parte de uma rede maior, mas eu consegui configurar o IP e o DNS. Do cliente 'pc135' eu posso pingar 'server129' pelo seu nome server129, por server129.subdomain.domain.com e por IP. Do server129 eu posso pingar o cliente pc135. Então eu suponho que a rede está bem.

Configuração do servidor

Este servidor é usado ativamente e deve permanecer intocado, se possível. Eu tenho direitos de sudo.

Tudo parece ser compartilhado pelo samba. Para os Clientes XP, alguém desconhecido escreveu dois scripts para adicionar usuários e novos clientes

novo cliente

useradd -s /bin/false $1\$
smbpasswd -a -m $1\$

novo usuário

useradd -s /bin/false $1\$
smbpasswd -a -m $1\$

Estou assumindo que tudo é gerenciado pelo samba. No servidor, o 'Samba versão 3.0.24' é instalado e o testparm resulta em

Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

[global]
    workgroup = MYWORKGROUP
    server string = %h server
    obey pam restrictions = Yes
    passdb backend = tdbsam
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
    syslog = 0
    log file = /var/log/samba/log.%m
    max log size = 1000
    name resolve order = lmhosts host wins bcast
    logon drive = H:
    domain logons = Yes
    os level = 200
    preferred master = Yes
    domain master = Yes
    dns proxy = No
    wins support = Yes
    panic action = /usr/share/samba/panic-action %d
    profile acls = Yes
    hide files = /desktop.ini/Desktop.ini/

[homes]
    comment = Home Directories
    valid users = %S
    read only = No
    create mask = 0700
    directory mask = 0700
    browseable = No

[netlogon]
    comment = Network Logon Service
    path = /home/samba/netlogon
    guest ok = Yes
    share modes = No

[profiles]
    comment = Users profiles
    path = /home/samba/profiles
    create mask = 0600
    directory mask = 0700
    browseable = No

[printers]
    comment = All Printers
    path = /var/spool/samba
    create mask = 0700
    printable = Yes
    browseable = No

[print$]
    comment = Printer Drivers
    path = /var/lib/samba/printers

Configuração do cliente

Após uma nova instalação, consegui que a rede funcionasse. Localmente, eu tenho uma conta com direitos de sudo. Versão: 'Samba versão 4.3.11-Ubuntu'

Eu testei por algum tempo com a configuração do samba e não consegui que o novo cliente ingressasse no domínio. Eu usei esta descrição.

Aqui está minha configuração do cliente samba, que é a versão mais promissora.

Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
WARNING: The "syslog" option is deprecated
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

# Global parameters
[global]
    workgroup = MYWORKGROUP
    server string = %h server (Samba, Ubuntu)
    server role = member server
    security = DOMAIN
    map to guest = Bad User
    obey pam restrictions = Yes
    pam password change = Yes
    passwd program = /usr/bin/passwd %u
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    unix password sync = Yes
    syslog = 0
    log file = /var/log/samba/log.%m
    max log size = 1000
    client signing = if_required
    server signing = if_required
    os level = 0
    preferred master = No
    local master = No
    domain master = No
    dns proxy = No
    wins server = server129
    usershare allow guests = Yes
    panic action = /usr/share/samba/panic-action %d
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    template homedir = /home/%U
    template shell = /bin/bash
    winbind separator = +
    winbind cache time = 10
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    client ipc signing = if_required
    idmap config * : range = 10000-20000
    idmap config * : backend = tdb


[printers]
    comment = All Printers
    path = /var/spool/samba
    create mask = 0700
    printable = Yes
    browseable = No


[print$]
    comment = Printer Drivers
    path = /var/lib/samba/printers

No começo, não consegui nenhuma conexão. Depois de googling eu adicionei

   client ipc signing = auto
   server signing = auto
   client signing = auto

e agora posso ver as informações do domínio.

net rpc info
Enter root's password:
Domain Name: MYWORKGROUP
Domain SID: S-1-5-21-2587772309-3456421220-248070441
Sequence number: 1516110814
Num users: 59
Num domain groups: 0
Num local groups: 0

Além disso, vejo os outros clientes no gerenciador de arquivos

Mas não consigo ver os usuários ou participar do domínio.

sudo net rpc user
Enter root's password: 
session setup failed: NT_STATUS_NO_LOGON_SERVERS

net rpc join
No realm has been specified! Do you really want to join an Active Directory server?
Enter root's password:
No realm has been specified! Do you really want to join an Active Directory server?
connect_to_domain_password_server: unable to open the domain client session to machine SERVER129. Flags[0x00000000] Error was : NT_STATUS_ACCESS_DENIED.
Failed to join domain: failed to verify domain membership after joining: Access denied

Os registros correspondentes

[2018/01/16 14:58:57.547800,  0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
  connect_to_domain_password_server: unable to open the domain client session to machine SERVER129. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2018/01/16 14:58:57.557704,  0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
  connect_to_domain_password_server: unable to open the domain client session to machine SERVER129. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2018/01/16 14:58:57.567853,  0] ../source3/auth/auth_domain.c:121(connect_to_domain_password_server)
  connect_to_domain_password_server: unable to open the domain client session to machine SERVER129. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2018/01/16 14:58:57.568229,  0] ../source3/auth/auth_domain.c:184(domain_client_validate)
  domain_client_validate: Domain password server not available.

Então, quais possibilidades eu tenho? A maioria dos guias são algo com o diretório ativo, o kerberus e muitas outras tecnologias / pacotes. Um primeiro passo seria especificar o que está sendo executado no servidor. Ou melhor, o que não está funcionando. Eu acho que não está executando o diretório ativo e ldap. Como posso confirmar isso?

    
por Jan K. 16.01.2018 / 15:20

0 respostas