Регистрация Войти
Рейтинг:1
codeskipper avatar Server

Проблема аутентификации члена домена Samba/Winbind

флаг mx
codeskipper

При настройке нового файлового сервера Linux Samba в качестве члена AD я постоянно сталкиваюсь с проблемой аутентификации.

Похоже, что это вызвано запуском selinux в режиме Enforcing после присоединения к AD, но это не исчезнет, ​​если я отключу selinux с помощью 0 или перезагрузиться с SELINUX=разрешительный в конфигурации selinux - по крайней мере, не на час или около того.

На первой тестовой виртуальной машине, которую я установил с тем же дистрибутивом, этапами настройки и обновлениями, она работала нормально, но сейчас я периодически сталкиваюсь с этой проблемой аутентификации на сервере, который я настраиваю для производственного использования.

Это на Rocky Linux 8.5 и Samba 4.14.5.

smb.conf в основном имеет настройки по умолчанию в [global], и я устанавливаю общедоступный [testshare]

[Глобальный]
безопасность = реклама

        Серверная часть passdb = tdbsam

        печать = чашки
        название printcap = чашки
        загружать принтеры = нет
        варианты чашек = сырье
метод kerberos = секреты и keytab
домашний каталог шаблона = /home/%U@%D
оболочка шаблона = /bin/bash
idmap config ADOMAIN: диапазон = 2000000-2999999
idmap config ADOMAIN : backend = rid
Конфигурация idmap *: диапазон = 10000-999999
Конфигурация idmap * : backend = tdb
winbind использовать домен по умолчанию = да
билеты обновления winbind = да
автономный вход в систему winbind = да

# Разрешить гостевой доступ к общему ресурсу без пароля
сопоставление с гостем = плохой пользователь

# они должны быть установлены на no для использования в продукте
группы enum winbind = да
winbind перечисление пользователей = да

   # Настройки Mac для ACL
   карта acl наследовать = Да
   хранить атрибуты DOS = Да

   # Настройки Mac для вилок Apple Resource
   объекты vfs = фрукты streams_xattr
   фрукты: аапл = да
   фрукты:машина времени = нет
   фрукты:ресурс = xattr
   фрукты: nfs_aces = нет
   фрукты: модель = MacSamba
рабочая группа = ADOMAIN
область = ADOMAIN.LAN

   [тестовый ресурс]
   путь = /mnt/data01/smb/testshare
   просматриваемый = да
   запись = да
   гость хорошо = да
   только чтение = нет

присоединение к домену было выполнено с помощью

 присоединение к области --membership-software=samba --client-software=winbind adomain.lan

Аутентификация Kerberos продолжает работать нормально

wbinfo -K пользователь

Этот тоже работает

получить пароль ADOMAIN\пользователь

Но следующее терпит неудачу

smbclient -L локальный хост -U гость%

wbinfo - пользователь

smbclient -d 3 //localhost/testshare -U пользователь

Последний выдает это:

lp_load_ex: параметры обновления
Инициализация глобальных параметров
rlimit_max: увеличение rlimit_max (1024) до минимального предела Windows (16384)
Раздел обработки "[глобальный]"
добавлен интерфейс ens192 ip=10.18.100.102 bcast=10.18.103.255 маска сети=255.255.252.0
Клиент запущен (версия 4.14.5).
resolve_lmhosts: попытка поиска lmhosts по имени localhost<0x20>
Подключение к 127.0.0.1 через порт 445
Введите ADOMAIN\пароль пользователя:
Серверная часть GENSEC 'gssapi_spnego' зарегистрирована
Серверная часть GENSEC 'gssapi_krb5' зарегистрирована
Серверная часть GENSEC 'gssapi_krb5_sasl' зарегистрирована
Серверная часть GENSEC 'spnego' зарегистрирована
Серверная часть GENSEC 'schannel' зарегистрирована
Серверная часть GENSEC «naclrpc_as_system» зарегистрирована
Серверная часть GENSEC sasl-EXTERNAL зарегистрирована
Серверная часть GENSEC ntlmssp зарегистрирована
Серверная часть GENSEC 'ntlmssp_resume_ccache' зарегистрирована
Серверная часть GENSEC 'http_basic' зарегистрирована
Серверная часть GENSEC 'http_ntlm' зарегистрирована
Серверная часть GENSEC 'http_negotiate' зарегистрирована
GSE для «localhost» не имеет смысла
Получил флаги вызова:
Получил NTLMSSP neg_flags=0x62898215
NTLMSSP: Установите окончательные флаги:
Получил NTLMSSP neg_flags=0x62088215
Знак/печать NTLMSSP — инициализация с флагами:
Получил NTLMSSP neg_flags=0x62088215
Ошибка входа в систему SPNEGO: {Отказано в доступе} Процесс запросил доступ к объекту, но ему не были предоставлены эти права доступа.
ошибка установки сеанса: NT_STATUS_ACCESS_DENIED

В журнале аудита обычно не отображаются ошибки отказа в AVC.Я попытался отключить правила dontaudit и разрешить появление сообщений об отказе AVC, но это не помогло.

Нужно ли мне отказываться от selinux, чтобы получить эту стабильную версию? Любые другие советы?

383
0 + 0
флаг jp
Rowland Penny
Вероятно, это не имеет ничего общего с selinux.
0
Ответить
флаг jp
Rowland Penny
ГЛУПАЯ СИСТЕМА позволяет редактировать только короткое время, поэтому попробуйте два: это, вероятно, не имеет ничего общего с selinux. Что именно находится в глобальной части вашего smb.conf. Как вы подключились к домену? Вы создали пользователя с именем «гость»? показывает ли «getent passwd guest» этого пользователя? Почему вы используете диапазоны, установленные в smb.conf?
0
Ответить
codeskipper avatar
флаг mx
codeskipper
Спасибо за ваш вклад, Роуленд, я обновил вопрос, чтобы показать весь раздел [global] и то, как домен был присоединен.
0
Ответить
codeskipper avatar
флаг mx
codeskipper
@Rowland Penny, диапазоны idmap, установленные в глобальном разделе, являются значениями по умолчанию, у меня не было причин их менять. После всех проверок, которые я сделал, я согласен, что selinux не является основной причиной, но, похоже, он вызывает проблему. Гость не был создан мной, как я понял, это способ проверить анонимный доступ без пароля, эта часть также работает нормально до того, как проблема сработает.
0
Ответить
codeskipper avatar
флаг mx
codeskipper
@RowlandPenny - только что обнаружил, что мне не хватает «карты для гостя = плохого пользователя» в глобальном разделе - снова редактирую вопрос. Одна переустановка слишком много. Это не меняет проблему, только теперь Mac или Windows снова могут использовать гостя.
0
Ответить
флаг jp
Rowland Penny
Что касается диапазонов, это, вероятно, еще одно «красное» «по умолчанию», они, вероятно, должны работать, но немного неэлегантны, вы можете прочитать это: https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member# Файл Setting_up_a_Basic_smb.conf . Вы использовали realmd для присоединения, я бы использовал «net ads join». Samba использует «никто» в качестве гостевого пользователя по умолчанию.
0
Ответить
Jiri B avatar
флаг tg
Jiri B
Может ли ваш гость (никто) и ваш пользователь AD получить доступ ко всем компонентам пути `/mnt/data01/smb/testshare`? В любом случае, `debug level = 10` и смотрите журнал smbd.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.