[Samba-it] [Samba] Samba AD domain member con SSSD: Le ACL non funzionano

Dario Lesca d.lesca at solinos.it
Wed Feb 15 10:55:44 UTC 2017


Il giorno mar, 14/02/2017 alle 19.02 +0100, Dario Lesca ha scritto:
> Certo che è una bella rogna sta storia! non so più dove guardare,
> credo che a questo punto mi creerò una nuova macchina e proverò a
> usare winbind....

Alla fine ho fatto così, ho usato winbind, e adesso le ACLs funzionano.

Mi he però comparso un altro problema: accedo correttamente al server
samba (server-dati) solo da se stesso (smbclient -Uadministrator -L
server-dati) e dal server Windows AD DC.

Se provo ad accedere da un PC Windows nel dominio non mi collego e mi
chiede utente e password.

Se provo accedere da un altro PC con Linux non joinato usando
smbclient, accedo solo se specifico il dominio+utente

 (smbclient -Usrl\\administrator -L server-dati)

mentre non accede se specifico solo l'utente senza dominio (prima con
sssd lo faceva) visualizzando il seguente errore finale (opzione -d4):
> SPNEGO login failed: Logon failure
> session setup failed: NT_STATUS_LOGON_FAILURE

Questa la sezione [global] di smb.conf (testparm)
> # Global parameters
> [global]
>         realm = SRL.LOCAL
>         workgroup = SRL
>         domain master = No
>         local master = No
>         preferred master = No
>         log file = /var/log/samba/log.%m
>         max log size = 50
>         load printers = No
>         printcap name = /dev/null
>         client signing = if_required
>         password server = tx150s8.srl.local
>         security = ADS
>         template homedir = /u/samba/home/%U
>         template shell = /sbin/nologin
>         winbind use default domain = Yes
>         idmap config srl:schema_mode = rfc2307
>         idmap config srl:range = 100000-199999
>         idmap config srl:backend = tdb
>         idmap config * : range = 10000-99999
>         idmap config * : backend = tdb
>         store dos attributes = Yes
>         cups options = raw
>         acl allow execute always = Yes
>         map acl inherit = Yes
>         hosts allow = 127. 192.168.1.
>         vfs objects = acl_xattr
> 

Questo il file /etc/krb5.conf
> # Configuration snippets may be placed in this directory as well
> #includedir /etc/krb5.conf.d/
> 
> #includedir /var/lib/sss/pubconf/krb5.include.d/
> [logging]
>  default = FILE:/var/log/krb5libs.log
>  kdc = FILE:/var/log/krb5kdc.log
>  admin_server = FILE:/var/log/kadmind.log
> 
> [libdefaults]
>  dns_lookup_realm = false
>  ticket_lifetime = 24h
>  renew_lifetime = 7d
>  forwardable = true
>  rdns = false
>  default_ccache_name = KEYRING:persistent:%{uid}
> 
>  default_realm = SRL.LOCAL
>  # dns_lookup_kdc = false
> [realms]
>  SRL.LOCAL = {
>  # kdc = tx150s8.srl.local
>  # admin_server = tx150s8.srl.local
>  }
> 
> [domain_realm]
>  srl.local = SRL.LOCAL
>  .srl.local = SRL.LOCAL
> 

Se avete suggerimenti fatemi sapere

Grazie Tante.

-- 
Dario Lesca
(inviato dal mio Linux Fedora 25 Workstation)



More information about the samba-it mailing list