[Samba-it] [Samba] Samba AD domain member con SSSD: Le ACL non funzionano
Dario Lesca
d.lesca at solinos.it
Wed Feb 15 10:55:44 UTC 2017
Il giorno mar, 14/02/2017 alle 19.02 +0100, Dario Lesca ha scritto:
> Certo che è una bella rogna sta storia! non so più dove guardare,
> credo che a questo punto mi creerò una nuova macchina e proverò a
> usare winbind....
Alla fine ho fatto così, ho usato winbind, e adesso le ACLs funzionano.
Mi he però comparso un altro problema: accedo correttamente al server
samba (server-dati) solo da se stesso (smbclient -Uadministrator -L
server-dati) e dal server Windows AD DC.
Se provo ad accedere da un PC Windows nel dominio non mi collego e mi
chiede utente e password.
Se provo accedere da un altro PC con Linux non joinato usando
smbclient, accedo solo se specifico il dominio+utente
(smbclient -Usrl\\administrator -L server-dati)
mentre non accede se specifico solo l'utente senza dominio (prima con
sssd lo faceva) visualizzando il seguente errore finale (opzione -d4):
> SPNEGO login failed: Logon failure
> session setup failed: NT_STATUS_LOGON_FAILURE
Questa la sezione [global] di smb.conf (testparm)
> # Global parameters
> [global]
> realm = SRL.LOCAL
> workgroup = SRL
> domain master = No
> local master = No
> preferred master = No
> log file = /var/log/samba/log.%m
> max log size = 50
> load printers = No
> printcap name = /dev/null
> client signing = if_required
> password server = tx150s8.srl.local
> security = ADS
> template homedir = /u/samba/home/%U
> template shell = /sbin/nologin
> winbind use default domain = Yes
> idmap config srl:schema_mode = rfc2307
> idmap config srl:range = 100000-199999
> idmap config srl:backend = tdb
> idmap config * : range = 10000-99999
> idmap config * : backend = tdb
> store dos attributes = Yes
> cups options = raw
> acl allow execute always = Yes
> map acl inherit = Yes
> hosts allow = 127. 192.168.1.
> vfs objects = acl_xattr
>
Questo il file /etc/krb5.conf
> # Configuration snippets may be placed in this directory as well
> #includedir /etc/krb5.conf.d/
>
> #includedir /var/lib/sss/pubconf/krb5.include.d/
> [logging]
> default = FILE:/var/log/krb5libs.log
> kdc = FILE:/var/log/krb5kdc.log
> admin_server = FILE:/var/log/kadmind.log
>
> [libdefaults]
> dns_lookup_realm = false
> ticket_lifetime = 24h
> renew_lifetime = 7d
> forwardable = true
> rdns = false
> default_ccache_name = KEYRING:persistent:%{uid}
>
> default_realm = SRL.LOCAL
> # dns_lookup_kdc = false
> [realms]
> SRL.LOCAL = {
> # kdc = tx150s8.srl.local
> # admin_server = tx150s8.srl.local
> }
>
> [domain_realm]
> srl.local = SRL.LOCAL
> .srl.local = SRL.LOCAL
>
Se avete suggerimenti fatemi sapere
Grazie Tante.
--
Dario Lesca
(inviato dal mio Linux Fedora 25 Workstation)
More information about the samba-it
mailing list