[Samba-it] make_connection: connection to <share> denied due to security descriptor.

Marco Gaiarin gaio at sv.lnf.it
Thu Sep 27 06:56:31 MDT 2007 

Questa è una storia brutta. Mi sento tanto lucarelli, e spero tanto di
solleticare il buon simo...

Installazione con due server samba in configurazione PDC/BDC e backend
LDAP, testè aggiornati a debian etch, quindi a samba 3.0.24.

Per il deploy di software e configurazioni agli utenti utilizzo WPKG
(http://wpkg.org), e utilizzo per questo due share, uno che contiene il
sistema WPKG vero e proprio (su trinity, il file server nonchè BDC) e
le configurazioni, mentre l'altro contiene un repository di software da
installare (su invernomuto, PDC e database server).

I due share sono configurati come 'public access': non faccio deploy di
software con licenza, solo sw libero o equiparabile quindi non mi
interessa proteggere informazioni.
I due share hanno una configurazione del tutto simile:

 # WPKG
 #
 [wpkg]
        comment = WPKG Automated Software Deploying System
        path = /etc/samba/wpkg
        guest ok = Yes
        browseable = No
        share modes = No
        writable = No
        write list = SANVITO\root +SANVITO\domadms

 # Software e drivers...
 #
 [Software]
        comment = Software e Drivers
        volume = Software
        browseable = yes
        path = /srv/software
        read only = yes
        guest ok = Yes
        force create mode = 0664
        force directory mode = 2775
        force group = SANVITO\ced
        write list = SANVITO\root +SANVITO\ced

WPKG funziona com servizio, e pur potendo scegliere ho lasciato
l'impostazione di base, ovvero che venga eseguito ed acceda agli share
con l'utente tipico dei servizi, l'utente SYSTEM.


Vado a ravanare su un client e scopro che ha la vecchia versione
dell'antivirus. Lo disinstallo, elimino il file di stato di WPKG
(wpkg.xml) e riavvio, il che forza la reinstallazione di tutto il sw
non presente.
La macchina si riavvia senza fare nulla, guardo nel registro eventi e
vedo che tutti i file che afferiscono a \\media\\software (\\media è un
netbios aliases di \\invernomuto per comodità) hanno dato un errore di
'impossibile accedere la file'. Orpo.

Guardo nei log di samba e vedo che è piendo dei fantomatici:

  [2007/09/26 16:19:21, 0] smbd/service.c:make_connection_snum(782)
    make_connection: connection to Software denied due to security descriptor.


Ora, siccome queste macchine sono in un dominio diverso, che è in trust
al dominio dove trintiy ed invernomuto stanno, come prima cosa
ricontrollo il trust senza venire a capo di nulla, tutto a posto.

Allora mi chiedo se è un caso:

 root at invernomuto:/var/log/samba# zgrep "denied due to security descriptor" * | sort -u
 log.ence:  make_connection: connection to Software denied due to security descriptor.
 log.miro:  make_connection: connection to Software denied due to security descriptor.
 log.monet:  make_connection: connection to Software denied due to security descriptor.
 log.pipino:  make_connection: connection to Software denied due to security descriptor.
 log.severus:  make_connection: connection to Software denied due to security descriptor.
 root at invernomuto:/var/log/samba#

 root at trinity:/var/log/samba# zgrep "denied due to security descriptor" * | sort -u
 root at trinity:/var/log/samba# 

Mirò e Monet sono nel dominio in trust, ma le altre sono sul dominio
principale, e sono *mesi* che non le tocco...
Inoltre su trinity il problema non si presenta. mah.


Sparo il log a 5, vedi allegato.


Ma quello che mi fa letteralmente impazzire è che se facico la stessa
operazione (eseguire WPKG, od accedere a \\media\software) da utente
Administrator (quindi sempre un utente locale all'host come SYSTEM) il
tutto funziona perfettamente.


Ci esco pazzo, simo, please, aiutami tu...

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  marco.gaiarin(at)sv.lnf.it	  tel +39-0434-842711  fax +39-0434-842797
-------------- next part --------------
A non-text attachment was scrubbed...
Name: monet.bz2
Type: application/octet-stream
Size: 5684 bytes
Desc: not available
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20070927/ea9d30c2/attachment.obj>

More information about the samba-it mailing list