[Samba-it] make_connection: connection to <share> denied due to security descriptor.
Marco Gaiarin
gaio at sv.lnf.it
Thu Sep 27 06:56:31 MDT 2007
Questa è una storia brutta. Mi sento tanto lucarelli, e spero tanto di
solleticare il buon simo...
Installazione con due server samba in configurazione PDC/BDC e backend
LDAP, testè aggiornati a debian etch, quindi a samba 3.0.24.
Per il deploy di software e configurazioni agli utenti utilizzo WPKG
(http://wpkg.org), e utilizzo per questo due share, uno che contiene il
sistema WPKG vero e proprio (su trinity, il file server nonchè BDC) e
le configurazioni, mentre l'altro contiene un repository di software da
installare (su invernomuto, PDC e database server).
I due share sono configurati come 'public access': non faccio deploy di
software con licenza, solo sw libero o equiparabile quindi non mi
interessa proteggere informazioni.
I due share hanno una configurazione del tutto simile:
# WPKG
#
[wpkg]
comment = WPKG Automated Software Deploying System
path = /etc/samba/wpkg
guest ok = Yes
browseable = No
share modes = No
writable = No
write list = SANVITO\root +SANVITO\domadms
# Software e drivers...
#
[Software]
comment = Software e Drivers
volume = Software
browseable = yes
path = /srv/software
read only = yes
guest ok = Yes
force create mode = 0664
force directory mode = 2775
force group = SANVITO\ced
write list = SANVITO\root +SANVITO\ced
WPKG funziona com servizio, e pur potendo scegliere ho lasciato
l'impostazione di base, ovvero che venga eseguito ed acceda agli share
con l'utente tipico dei servizi, l'utente SYSTEM.
Vado a ravanare su un client e scopro che ha la vecchia versione
dell'antivirus. Lo disinstallo, elimino il file di stato di WPKG
(wpkg.xml) e riavvio, il che forza la reinstallazione di tutto il sw
non presente.
La macchina si riavvia senza fare nulla, guardo nel registro eventi e
vedo che tutti i file che afferiscono a \\media\\software (\\media è un
netbios aliases di \\invernomuto per comodità) hanno dato un errore di
'impossibile accedere la file'. Orpo.
Guardo nei log di samba e vedo che è piendo dei fantomatici:
[2007/09/26 16:19:21, 0] smbd/service.c:make_connection_snum(782)
make_connection: connection to Software denied due to security descriptor.
Ora, siccome queste macchine sono in un dominio diverso, che è in trust
al dominio dove trintiy ed invernomuto stanno, come prima cosa
ricontrollo il trust senza venire a capo di nulla, tutto a posto.
Allora mi chiedo se è un caso:
root at invernomuto:/var/log/samba# zgrep "denied due to security descriptor" * | sort -u
log.ence: make_connection: connection to Software denied due to security descriptor.
log.miro: make_connection: connection to Software denied due to security descriptor.
log.monet: make_connection: connection to Software denied due to security descriptor.
log.pipino: make_connection: connection to Software denied due to security descriptor.
log.severus: make_connection: connection to Software denied due to security descriptor.
root at invernomuto:/var/log/samba#
root at trinity:/var/log/samba# zgrep "denied due to security descriptor" * | sort -u
root at trinity:/var/log/samba#
Mirò e Monet sono nel dominio in trust, ma le altre sono sul dominio
principale, e sono *mesi* che non le tocco...
Inoltre su trinity il problema non si presenta. mah.
Sparo il log a 5, vedi allegato.
Ma quello che mi fa letteralmente impazzire è che se facico la stessa
operazione (eseguire WPKG, od accedere a \\media\software) da utente
Administrator (quindi sempre un utente locale all'host come SYSTEM) il
tutto funziona perfettamente.
Ci esco pazzo, simo, please, aiutami tu...
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
-------------- next part --------------
A non-text attachment was scrubbed...
Name: monet.bz2
Type: application/octet-stream
Size: 5684 bytes
Desc: not available
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20070927/ea9d30c2/attachment.obj>
More information about the samba-it
mailing list