Ubuntu 20.04 LTS — автоматическое обновление Samba сломало нашу установку

Мы используем Ubuntu 20.04 LTS на некоторых серверах, включая контроллер домена Samba Active Directory и файловый сервер Samba, использующий аутентификацию winbind.

12 ноября в результате автоматического обновления (связанного с USN-5142-1) наша Samba 4.11.6 была обновлена ​​до 4.13.14 на этих серверах, что доставило нам массу неприятностей.

1/ параметры vfs_full_audit изменены ( https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1950803 ) Некоторые параметры аудита больше не действительны, и аудит начал регистрировать все ... наш / var мгновенно взорвался. Это было исправлено путем изменения параметров vfs_audit в smb.conf.

2/ Пользователи AD с атрибутом Unix uidnumber < 1000 больше не могли получить доступ к файловым ресурсам Samba. Огромная проблема, так как большинство наших пользователей не работали почти день. Вероятно, это связано с глобальным параметром «min domain uid», который по умолчанию установлен на 1000. В спешке мы исправили проблему, изменив uidnumber всех наших пользователей на значения выше 1000. Как ни странно, пользователи AD по-прежнему могли использовать SSH на сервере, используя аутентификацию winbind и unix uid < 1000.

3/ Проблемы с монтированием CIFS и конфигурациями SMB принтеров до обновления устройства монтирования и принтеры CIFS использовали свое имя пользователя для аутентификации на файловом сервере Samba. После обновления кажется обязательным указывать доменное имя (добавьте опцию domain=MYDOMAIN для mount.cifs и установите имя пользователя MYDOMAIN\user для принтеров) Этот префикс домена раньше был неявным благодаря опции «winbind use default domain = yes».

Если кто-нибудь знает, как это исправить, нам будет очень интересно!

4/ Встроенная в AD учетная запись «Администратор» больше не может получить доступ к файловому серверу Samba.Эта учетная запись сопоставляется с «root» на файловом сервере. Сообщение об ошибке связано с каким-то неверным токеном данных, как и у пользователей, которым было отказано в 2/. У этой учетной записи нет атрибутов Unix, но она всегда так работала. Я не уверен, что мне следует добавить это. Я не люблю менять встроенные аккаунты.

В настоящее время мы все еще проводим расследование, и ваша помощь будет очень кстати!

В общем, я должен сказать, что это был довольно травмирующий опыт автоматических обновлений, и теперь мы делаем все возможное, чтобы вернуться к нашей настройке.

Спасибо за прочтение.

использованная литература https://ubuntu.com/security/notices/USN-5142-1

Добавляю к этому свой опыт, особенно для smb-печати. Опубликовать обновление самбы до 4.13.14 /var/журнал/чашки/журнал_ошибок сообщает следующее при попытке печати:

[Клиент 1234567] Пользователь "foo" не существует

Обходной путь на этом этапе состоит в том, чтобы получить пароль | грэп "фу" чтобы сгенерировать запись passwd и вставить в /etc/passwd с использованием VIPW. Это не идеально в массовом масштабе, как можно было бы себе представить.

Я убежден, что это проблема конфигурации, если я только знаю, что настраивать. Все наши конфиги CUPS, samba, winbind и т. д. установлены настолько правильно, насколько я знаю, но это все до 4.13.14. Глядя на историю изменений 4.13.14, «исправлено» множество проблем с AD/kerberos, и я подозреваю, что на некоторые из них непреднамеренно полагались, чтобы этот материал работал.