[Samba-it] join win2k fallito - vecchio problema parziale soluzione: perché?

Tue Mar 31 15:57:26 MDT 2009

Salve,

 da tempo ho/abbiamo sollevato in lista un problema( un fallito join
che affligge curiosamente SOLO client WIN2K, non XP ), per il quale,
scoperta di oggi, il cambio del NETBIOS NAME sembra essere una
soluzione( almeno per tutti casi finora da me verificati ).

Sebbene sia arrivato all'aggiramento del problema, non ne ho ancora
compreso la natura e chiedo quindi il vostro aiuto per arrivare a capire
come porvi rimedio.

Il problema
-----------

Dopo aver migrato un vecchio PDC ``SAMBA + backend Ldapsam`` da Debian
Etch all'ultima Debian Lenny, mi sono ritrovato nella seguente
situazione :
- Tutti i client Win2000 falliscono il join lamentando : ``nome utente
 sconosciuto o password non valida``.
- Tutti I client WinXP riescono *sempre* ad effettuare il join.

Dopo diversi giorni spesi a tentare di debuggare il problema, oggi
sono finalmente riuscito a circoscriverlo ed "aggirarlo". Ho
verificato infatti che il Join della macchina win2k torna a funzionare
correttamente non appena viene sostituito il ``netbios name`` in uso
sulla macchina che dà problemi con un altro differente.

Premetto che il PDC lenny problematico, inizialmente era stato
configurato con propri:
- nome di dominio
- nome netbios
- hostname
- password ldap
- SID

Cambiati poi per rispecchiare la configurazione del vecchio dominio.

Riproduzione del problema
-------------------------

+ Per riprodurre il problema, ho creato una PDC di test (sempre Debian
 lenny, stessi pacchetti e stessa versione[1] ) dalla seguente
 configurazione :

   DOMINIO........: ITIS-RIVA-TEST
   NOME NETBIOS...: srv-riva-test
   SID DOMINIO....: S-1-5-21-4016790378-2532221804-3105978180
   SID LOCALE.....: S-1-5-21-4277451539-3343852378-4234858843
   PWD LDAP.......: password1

+ Dopo aver appurato che il join della macchina win2k funzionasse ed
 aver rimosso l'account macchina inserito, ho modificato la
 configurazione del PDC come segue :

   DOMINIO........: ITIS-RIVA
   NOME NETBIOS...: srv-riva
   SID DOMINIO....: S-1-5-21-3089752279-4172385320-2533004763
   SID LOCALE.....: S-1-5-21-4277451539-3343852378-4234858843
   PWD LDAP.......: password2

 Da questo momento in poi:
 - il join della sola macchina win2k( riprovato più volte) fallisce
  *sempre* con: ``nome utente sconosciuto o password non valida``
 - il join dei client XP funziona sempre.

+ Applico quindi il workaround trovato (modifico il "netbios name"
 attuale con un altro diverso).

 Cambio dunque in ``/etc/samba/smb.conf``
   netbios name = srv-riva
 Con:
   netbios name = srv-riva2

 Restarto  SAMBA e ritento il join della macchina win2k
 virtualizzata( dopo averne fatto il Revert dello stato):
 - Il client win2k si joina perfettamente al dominio !!!

Il workaround è stato provato poi anche sulla macchina reale, con un
client win2k reale, portando alla medesima conclusione.

Domande
-------

Augurandomi di essere stato sufficientemente dettagliato, vi propongo le
domande a cui cerco di dar risposta:

1. C'è un criterio particolare con cui scegliere  il  ``Netbios name``
  di un PDC ? Perchè mai il cambiare nome da ``srv-riva`` a ``srv-riva2``
  dovrebbe riportare ad una situazione funzionante?

2. Per quale motivo i client XP non sono colpiti dal problema? Quale
  differenza li "grazia" in fase di join?

Note
----

[1] Le versioni dei pacchetti in uso sulla Debian lenny sono i seguenti :
     samba 2:3.2.5-4
     samba-common 2:3.2.5-4
     libcrypt-smbhash-perl 0.12-2
     slapd 2.4.11-1
     ldap-utils 2.4.11-1
     libldap-2.4-2 2.4.11-1
     smbldap-tools 0.9.4-1

Grazie a tutti per l'aiuto,

 Simone

ps.
 Qualora dovesse essere necessario, ho "targizzato" delle due
 situazioni(funzionante e non) i seguenti file e directory :

  /etc/samba/*
  /etc/smbldap-tools/*
  /etc/*secret*
  /etc/libnss-*conf
  /etc/hostname
  /etc/passwd
  /etc/shadow
  /etc/group
  /etc/gshadow
  /var/lib/ldap/*
  /var/lib/samba/*
  /usr/local/sbin/*