[Samba-it] Vampire mode e dominio impiccione...

Mon Jun 6 15:09:02 MDT 2005

Allora, sono nella fase avanzata di migrazione dei miei server NT, ma
ho incontrato un problema che non riesco a risolvere, e di cui non
trovo documentazione.

Come da HOWTO e manuali vari, ho configurato il server samba in
security=user e con workgroup=PASIAN (il dominio in questione),
ovviamente con domain master = no.
Sto lavorando con samba ``spento'', come consiglia la stessa
documentazione.

Ovviamente ho aggiunto in server manager il server samba radagast come
backup domain controller server.

La sequenza di comandi (pp1 è l'attuale pdc nt4):

 radagast:/var/lib/samba# smbpasswd -w nontelado
 Setting stored password for "cn=admin,dc=pp,dc=lnf,dc=it" in secrets.tdb
 radagast:/var/lib/samba# net rpc join -S pp1 -W PASIAN -U Administrator
 Password:
 Joined domain PASIAN.
 radagast:/var/lib/samba# net rpc getsid -S pp1 -W PASIAN
 Storing SID S-1-5-21-1877950314-1337216723-1819828000 for Domain PASIAN in secrets.tdb
 radagast:/var/lib/samba# net rpc vampire -S pp1
 Cannot import users from PASIAN at this time, as the current domain:
        RADAGAST: S-1-5-21-3874335896-2026355859-3794917407
 conflicts with the remote domain
        PASIAN: S-1-5-21-1877950314-1337216723-1819828000
 Perhaps you need to set:

        security=user
        workgroup=PASIAN

 in your smb.conf?

Ho provato a verificare (con tdbdump) ed eliminare tutti i file .tdb
(in particolare secrets.tdb) che mi pareva avesero a che fare con il
problema, ma nulla.

Il SID di radagast S-1-5-21-3874335896-2026355859-3794917407 cambia
ogni volta, quindi evidentemente non viene salvato da qualche parte, ma
semplicemente lo ricrea.

Ho anche provato a settare manualmente il SID:

 radagast:/var/lib/samba# net setlocalsid S-1-5-21-1877950314-1337216723-1819828000

ma a questo punto risponde:

 radagast:/var/lib/samba# net rpc vampire -S pp1
 Fetching DOMAIN database
 Failed to fetch domain database: NT_STATUS_ACCESS_DENIED

e google mi dice:

	http://lists.samba.org/archive/samba/2003-August/073184.html

che è esattamente quello che sto cercando di fare. ;(

Che cosa sbaglio? Grazie infinite.

PS: ho notate che se faccio un net getlocalsid viene creato in ldap
l'ou SambaDomainName=PASIAN, ma credo che sia normale e non spia del
problema.

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

	Per favore, aiutate gli Stati Uniti a salvarsi dai brevetti sul
		 software, salvando innanzitutto voi stessi.
		http://punto-informatico.it/p.asp?i=52786&p=2

#
# File di configurazione di samba per una macchina workstation in un dominio
# NT, con account e gruppi su ldap.

# Impostazioni Globali
#
[global]

  # Impostazioni del dominio
  #
  workgroup = PASIAN
  server string = %h server (Samba %v)
  security = user
  #password server = pp1
  os level = 19
  domain master = no
  local master = No
  preferred master = No

  # Servizi aggiuntivi, wins e time server...
  #
  wins support = no
  wins server = 10.5.1.2
  dns proxy = no
  time server = yes

  # Autenticazione e ID
  #
  encrypt passwords = true
  passdb backend = ldapsam:ldap://localhost
  #idmap backend = ldap:ldap://localhost
  guest account = guest
  invalid users = 
  admin users = @ced
  unix password sync = no
  ldap passwd sync = Yes
  passwd program = /usr/sbin/smbldap-passwd %u
  passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
  # passwd program = /usr/bin/passwd %u
  # passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
  pam password change = no
  obey pam restrictions = no

  # LDAP
  #
  ldap suffix = dc=pp,dc=lnf,dc=it
  ldap machine suffix = ou=Hosts
  ldap user suffix = ou=People
  ldap group suffix = ou=Group
  ldap idmap suffix = ou=Idmap
  ldap admin dn = cn=admin,dc=pp,dc=lnf,dc=it
  ldap ssl = no
  ldap passwd sync = Yes
  add user script = /usr/sbin/smbldap-useradd -m "%u"
  ldap delete dn = No
  #delete user script = /usr/sbin/smbldap-userdel "%u"
  add machine script = /usr/sbin/smbldap-useradd -w "%u"
  add group script = /usr/sbin/smbldap-groupadd -p "%g"
  #delete group script = /usr/sbin/smbldap-groupdel "%g"
  add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
  #delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
  #set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

  # WinBind
  #
  # https://bugzilla.samba.org/show_bug.cgi?id=1215
  winbind trusted domains only = yes
  idmap uid = 60000-60001
  idmap gid = 60000-60001

  # LOG
  #
  log level = 0
  log file = /var/log/samba/log.%m
  max log size = 10000
  syslog = 0
  panic action = /usr/share/samba/panic-action %d

  # Stampanti
  #
  load printers = no
  printing = cups
  printcap name = cups
  cups options = "raw"

  # Files...
  #
  unix charset = ISO-8859-15
  dos charset = CP850

  # Performance
  #
  socket options = TCP_NODELAY

--- StripMime Report -- processed MIME parts ---
multipart/mixed
  text/plain (text body -- kept)
  text/plain (text body -- kept)
---