[Samba-it] samba con doppia personalita' ;-)
Sandro Doro
samba at dorogroup.com
Thu Dec 8 21:16:01 MST 2005
Ciao
ho cambiato il subject perche' ho avuto dei problemi
sul thread precedente e infatti si vede un po' di
confusione anche guardando l'Archive della mailing list.
Per prima cosa ringrazio Simo Sorce per le continue e
ripetute risposte alle mie domande. Anzi siccome sto'
tentando di scrivere un relazione sull'esperimento
che sto' conducendo, chiedo a Simo se posso includere
i ringraziamenti nel documento stesso (lo scheletro si trova
su http://www.tic.fdns.net/tic/html/uml-dualSamba.html)
Purtroppo c'e' ancora qualcosa che non va. L'obiettivo
e' sempre quello di costruire HA-cluster in modalita'
active-active. Il NAS e' "implementato" da due blocchi
DRBD (uno in rw per nodo e solo in caso di fault entrambi in
rw nel nodo superstite). Ogni blocco contiene i dati di
istanza di samba (ad esempio il blk0 contiene i *tdb
del PDC e il blk1 contiene i *tdb di HOME).
Un nodo e' PDC mentre l'altro e' Domain Member ed
e' IL file server. Ho seguito il consiglio di non adottare
i roaming profiles e infatti tutto funziona (o sembra
funzionare).
La configurazione in test ovviamente non analizza
il problema del clustering ma solo il funzionamento
di samba su uno/due nodi. (E' gia' abbastanza incasinato!)
Il malfunzionamento che ho rilevato riguarda la risoluzione
dei SID: Windows XP SP2 riesce a fare il join e poi
riesco a fare il login nel dominio ma se vado a controllare
le proprieta' dei file dell'utente (che sono sul Domain Member)
scopro che non vengono tradotti in "user" o altro
ma rimangono SID-numeracci. Invece se controllo
all'interno di samba questi hanno proprietari
corretti e permission corrette (via nss_ldap).
Non uso Winbind.
Se dallo stesso client XP vado invece a controllare
share del PDC i vari SID sono "tradotti" correttamente
quali [NetkitWG\utest] o [NetkitWG\Domain Users].
Quindi sembra quasi come se il Domain Server fosse in un
altro dominio. Ma non e' cosi': ho fatto il join
e controllando l'albero LDAP si vedono le due macchine
PDC e HOME e in seguito anche la macchina XP.
Infatti se costruisco un nuovo file nella home dell'utente
questo viene visto da samba correttamente con
tutto ok ma controllando da XP attraverso
proprieta' e poi protezione "vedo" il SID, anche se
corretto.
Anche per il Domain Member ho deciso alla file di adottare
come backend il server LDAP (anche se non ho intenzione
di costruirvi utenti).
Allo stato attuale uso due nodi distinti dove
girano le due distinte e specifiche istanze di Samba.
Quando le cose andranno meglio passero' a prove su un
singolo nodo. (nel Domain member a volte non lancio
samba in ascolto sull'interfaccia loopback ma ho visto
che non e' influente).
Per la configurazione seguo Samba3-by-Example: il capitolo
"Making Users Happy" e il capito "Adding Domain Member".
I vari getent {passwd,group} funzionano correttamente.
Includo la traccia di pdbedit:
PDC# pdbedit -Lv utest
Unix username: utest
NT username: utest
Account Flags: [U ]
User SID: S-1-5-21-3840722988-1065274203-713729200-5002
Primary Group SID: S-1-5-21-3840722988-1065274203-713729200-513
Full Name: Test user
Home Directory: \\HOME\utest
HomeDir Drive: N:
Logon Script: logon.bat
Profile Path: \\HOME\profiles\foo
Domain: NETKITWG
Account desc: Test user
Workstations:
Munged dial:
Logon time: 0
[...]
HOMES# pdbeditHome -s /etc/samba/smbHome.conf -Lv utest
Unix username: utest
NT username: utest
Account Flags: [U ]
User SID: S-1-5-21-3840722988-1065274203-713729200-5002
Primary Group SID: S-1-5-21-3840722988-1065274203-713729200-513
Full Name: Test user
Home Directory: \\HOME\utest
HomeDir Drive: N:
Logon Script: logon.bat
Profile Path: \\HOME\profiles\foo
Domain: HOME
Account desc: Test user
Workstations:
Munged dial:
Logon time: 0
[...]
La cosa che mi lascia un po' perplesso e' la dicitura
Domain: HOME anche se e' stato fatto il join al dominio NETKITWG.
Qualche idea sulla mancata "traduzione" dei SID sul Domain Member ?
Saluti e grazie,
Sandro
--
Sandro Doro
e-mail: sandro.doro AT istruzione.it
More information about the samba-it
mailing list