Рейтинг:-1

Сервер Samba со скопированным SID не монтируется с STATUS_INVALID_SID

флаг fr

В моей инфраструктуре на базе Linux я использую MIT Kerberos и LDAP для аутентификации. Для очень немногих клиентов виртуальных машин Windows я использую автономный файловый сервер Samba. Его учетные записи также хранятся в LDAP. Инфраструктуре уже несколько десятков лет, и она является остатком домена NT.

Теперь у меня есть второй сайт. Я клонировал свой файловый сервер и настроил новый сервер Samba. Я последовал за эта почта или же эта почта в прошлом, и у меня просто были автономные серверы с одним и тем же SID, поскольку в противном случае серверы не могут аутентифицировать пользователей.

Итак, я скопировал SID для своей рабочей группы в новую запись sambaDomainName, созданную моим новым сервером. Так же, как я сделал пару лет назад для старого сервера.

Хотя я все еще могу смонтировать общие ресурсы моего старого сервера, попытка смонтировать общие ресурсы с нового сервера приводит к ОШИБКА_INVALID_SID от Вин10. Точно так же монтирование CIFS дает

[247902.830949] CIFS: попытка монтирования //new_server/public
[247902.994871] CIFS: возвращен код состояния 0xc0000078 STATUS_INVALID_SID
[247902.994889] CIFS: VFS: \new_server Ошибка отправки в SessSetup = -5
[247902.994925] CIFS: VFS: ошибка cifs_mount с кодом возврата = -5

Любая идея, почему SID недействителен? Я не вижу никакой разницы с другим SID; ни по сеть getlocalsid, ни по ldapsearch или же ApacheDirectoryStudio.

Я знаю, что это хакерское решение. Переход на AD не вариант. Поскольку я слышал, что домены NT могут вскоре быть удалены Microsoft, я не хочу устанавливать еще одну систему PDC/BDC. На самом деле, решение для копирования SID было обходным путем в то время, когда в Samba была известная ошибка с сетевое соединение.

Есть ли другой способ иметь несколько серверов samba, использующих один и тот же ldapsam?

Рейтинг:2
флаг cn

Почему запуск Samba в качестве AD DC невозможен? Я спрашиваю об этом, потому что это, скорее всего, ваш ответ. Microsoft отказалась от доменов NT около 15 лет назад. именно Samba работает над удалением доменов в стиле NT4, поэтому я бы не рекомендовал создавать новый.

флаг fr
Моя инфраструктура на 95% состоит из Linux.У меня была эта затея некоторое время назад. Первый шок, нет инструмента администрирования на базе Linux. Мне пришлось купить Win7 Ultimate, чтобы поддерживать свою систему. С Kerberos, LDAP, Bind9 службы изолированы, и я могу систематически устранять неполадки.
user1686 avatar
флаг fr
@LarsHanke: _ldapmodify_ - это ваш инструмент администрирования, но Samba поставляется с `samba-tool` для большинства распространенных задач управления (в любом случае, настолько, насколько вы могли бы управлять доменом в стиле NT из Linux).
Рейтинг:0
флаг fr

Проблема исчезла после перезагрузки файлового сервера из-за паники ядра, не связанной с Samba. Теперь я могу монтировать все ресурсы из Win10 или через Linux CIFS. Я даже могу одновременно монтировать ресурсы с обоих серверов, хотя они используют один и тот же SID!

Я не знаю, изменил ли я что-то между ними. Но возможно перезапуск службы nmbd и служба smbd перезапуск было недостаточно, чтобы некоторые изменения вступили в силу.

В моей особой среде я все еще думаю, что этот хак является разумным решением.Пожалуйста, используйте AD, если вам необходимо поддерживать клиентов Windows для общего использования или если серверы Samba играют какую-либо роль в вашей концепции безопасности.

Спасибо Роуленду, что связался со мной здесь.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.