[Samba-it] samba configurato come domain member
marco pirola
mapirola81 at gmail.com
Thu Feb 14 09:20:38 UTC 2019
nei log ottengo questo:
root at dc:/var/log/samba# tail -f log.wb-ROBINOOD
[2019/02/14 09:54:50.256496, 1] ../source3/libads/ldap.c:553(ads_find_dc)
ads_find_dc: name resolution for realm 'ROBINOOD.TST' (domain
'ROBINOOD') failed: NT_STATUS_NO_LOGON_SERVERS
[2019/02/14 09:54:51.258851, 1]
../source3/winbindd/winbindd_ads.c:138(ads_cached_connection_connect)
ads_connect for domain ROBINOOD failed: No logon servers
[2019/02/14 09:54:52.261741, 1] ../source3/libads/ldap.c:553(ads_find_dc)
ads_find_dc: name resolution for realm 'ROBINOOD.TST' (domain
'ROBINOOD') failed: NT_STATUS_NO_LOGON_SERVERS
[2019/02/14 09:54:54.266864, 1] ../source3/libads/ldap.c:553(ads_find_dc)
ads_find_dc: name resolution for realm 'ROBINOOD.TST' (domain
'ROBINOOD') failed: NT_STATUS_NO_LOGON_SERVERS
[2019/02/14 09:54:55.269175, 1]
../source3/winbindd/winbindd_ads.c:138(ads_cached_connection_connect)
ads_connect for domain ROBINOOD failed: No logon servers
Il 30/01/2019 07:37, Marco Pirola ha scritto:
> Funziona tutto a parte quando devo settare i permessi da rsat sul dc.
> Ho mandato messaggi alla lista internazionale ma non ci sto' capendo
> nulla (tra l'altro conosco l'inglese a livello basa). Qualcuno puo'
> aiutarmi?
>
> Vi allego i file del mio member domain
>
> Il 09/01/2019 11:36, Marco Gaiarin ha scritto:
>> Mandi! marco pirola
>> In chel di` si favelave...
>>
>>> configurarla come domain member di domino. Mi potreste aiutare a
>>> scrivere un
>>> smb.conf e il relativo krb5.conf per poterla fare joinare con la
>>> macchina
>> 'krb5.conf' è parecchio standard, contiene:
>>
>> [libdefaults]
>> default_realm = AD.FVG.LNF.IT
>> dns_lookup_kdc = true
>> dns_lookup_realm = false
>> forwardable = true
>> proxiable = true
>>
>> ; A note: This is not used for nfs4 but cifs uses it.
>> ; for Windows 2003
>> ; default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
>> ; default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
>> ; permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
>> ;
>> ; for Windows 2008 with AES
>> default_tgs_enctypes = aes256-cts-hmac-sha1-96
>> aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
>> default_tkt_enctypes = aes256-cts-hmac-sha1-96
>> aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
>> permitted_enctypes = aes256-cts-hmac-sha1-96
>> aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
>>
>>
>> Mentre il file smb.conf è qui sotto, uso come backend 'ad':
>>
>> #
>> # smb.conf per Domain Member LNF
>> # (c) Marco Gaiarin (gaio at sv.lnf.it) under GNU GPL Licence 2.0 or newer
>>
>> # Il file vuole essere una raccolta dei parametri standard, cercando di
>> # essere un buon punto di partenza per la realizzazione di un file per
>> # la particolare installazione.
>> # Leggere con attenzione i commenti e la manpage di smb.conf.
>>
>> # CHANGELOG
>> # (Fri Nov 24 15:43:53 CET 2017)
>> # + prima versione, a partire dall'equivalente file per dominii NT
>> # (Thu Apr 19 09:12:47 CEST 2018)
>> # + cambiata l'architettura di default per i driver di stampa a
>> 64bit (come per samba 4.7+)
>> # (Fri Apr 27 12:43:58 CEST 2018)
>> # + 'users', come le vecchie 'homes' deve avere 'store dos
>> attributes = yes'
>> # + %m -> %M, visto che '%m' (NetBIOS Name) non c'è più...
>> # (Fri May 25 17:23:50 CEST 2018)
>> # + abilito l'auditing sugli share pubblici multiutenza.
>> # (Mon May 28 10:04:23 CEST 2018)
>> # + disabilitati gli usershare, forse risolto
>> https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=772154
>> # (Wed Sep 5 16:23:25 CEST 2018)
>> # + sistemati i parametri idmap per la 5.8+
>> # (Thu Oct 25 10:55:18 CEST 2018)
>> # + aggiunta la gestione dei ticket kerberos.
>> # (Tue Nov 20 11:07:27 CET 2018)
>> # + aggiunta l'acl per IP su WPKG, in AD tutto è raggiungibile e non
>> ha senso l'aggiornamento in rete remota.
>>
>> # Parametri globali
>> #
>> [global]
>> # Definizioni del dominio.
>> #
>> security = ADS
>> workgroup = LNFFVG
>> realm = AD.FVG.LNF.IT
>>
>> # Alias. In modo AD posso definire degli Alias per i DM, ma
>> l'alias in questione NON deve avere un account macchina creato
>> # (ergo, se devo fare aliasing di un precedente server, devo
>> rimovere il domain account)
>> # Gli alias in AD si ''registrano'' come CNAME nel DNS
>> (http://dps.sv.lnf.it/wiki/SambaAD#Alias_dell.27host)
>> #
>> # Resta da verificare se è (anche? In che condizioni?) necessario
>> ''registrare'' questi alias come ServicePrincipalName di modo che
>> Kerberos funzioni, ad esempio con:
>> # samba-tool spn add HOST/filesv.ad.fvg.lnf.it vdmsv1$
>> # samba-tool spn add HOST/FILESV vdmsv1$
>> # Oltre ovviamente a decommentare le relative righe qui sotto.
>> #
>> #netbios aliases = CUPSSV FILESV HOMESV
>> #wins support = yes
>>
>> # Configurazione di Winbind/IDMap.
>> #
>> # Default idmap config for local BUILTIN accounts and groups
>> # Sembra che ora questo sia obbligatorio, si veda:
>> # https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=909465
>> idmap config * : backend = tdb
>> idmap config * : range = 5000-9999
>> # The domain
>> idmap config LNFFVG : backend = ad
>> idmap config LNFFVG : range = 10000-49999
>> # Uso dei dati POSIX/rfc2307 (Samba 4.6+)
>> idmap config LNFFVG : schema_mode = rfc2307
>> idmap config LNFFVG : unix_nss_info = yes
>> #idmap config LNFFVG : unix_primary_group = yes
>> # Uso dei dati POSIX/rfc2307 (Samba 4.5-)
>> #winbind nss info = rfc2307
>> # Se si usa 'winbind use default domain = yes' è necessario
>> sincerarsi che i nomi utente non siano ''overlapping''
>> # (ovvero utenti definiti nel dominio *e* in /etc/passwd) pena
>> ''confusione'' nella definizione dei gruppi/responsabilità.
>> winbind use default domain = yes
>> # Opzionalmente posso voler abilitare le ''cached credentials'';
>> oltre ad abilitare questa opzione, occorre anche abilitarne l'uso
>> # in winbind. Si veda:
>> https://wiki.samba.org/index.php/PAM_Offline_Authentication
>> winbind offline logon = yes
>>
>> # Se necessario, è possibile abilitare l'autenticazione Kerberos con
>> # ticket.
>> #
>> #kerberos method = secrets and keytab
>> #winbind refresh tickets = yes
>>
>> # Se devo connettere un client MSCHAPv2 devo riabilitare NTLMv1,
>> ho due opzioni:
>> # Samba 4.7+ (in ntlm_auth devo usare anche l'opzione
>> --allow-mschapv2)
>> #ntlm auth = mschapv2-and-ntlmv2-only
>> # Samba 4.6+
>> #ntlm auth = yes
>>
>> # Utenti speciali e permessi
>> # Disabilitazione di qualche account, e definizione dell'account
>> guest (il default è già 'nobody').
>> # Tutti gli utenti non conosciuti vengono mappati su guest.
>> #
>> #invalid users =
>> #guest account = nobody
>> map to guest = Bad User
>> #
>> # Per un DM manteniamo una mappa esplicita locale per alcuni
>> utenti, per default solo Administrator (su root)
>> #
>> username map = /etc/samba/user.map
>>
>> ## Se necessario, ascolto solo sulle interfacce necessarie.
>> ##
>> #bind interfaces only = yes
>> #interfaces = lo eth0 tun99
>>
>> # Stampanti...
>> #
>> load printers = yes
>> printing = cups
>> printcap name = cups
>> # Per gestire più efficentemente la stampa (si veda
>> https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Print_Server#Enabling_the_spoolssd_Service)
>> rpc_server:spoolss = external
>> rpc_daemon:spoolssd = fork
>> # Per avere come architettura di default i 64bit, si veda
>> https://wiki.samba.org/index.php/Setting_up_Automatic_Printer_Driver_Downloads_for_Windows_Clients#Uploading_Only_64-bit_Drivers_to_a_Samba_Print_Server
>> spoolss: architecture = Windows x64
>> # Se invece si vuole DISABILITARE la stampa occorre essere un
>> pelo cattivi, vista l'integrazione Samba/CUPS:
>> #load printers = no
>> #printing = bsd
>> #printcap name = /dev/null
>> #disable spoolss = yes
>>
>> # Disabilito le estensioni CIFS UNIX, per permettere i link
>> simbolici;
>> # Sinceramente non credo che siano mai state utilizzate, ad ogni
>> modo si veda:
>> # http://wiki.samba.org/index.php/UNIX_Extensions
>> # ATTENZIONE che se serve pam_mount per montare le HOME, le unix
>> extensions sono NECESSARIE
>> # e quindi tocca fare a meno dei link simbolici (esterni). ;-)
>> #
>> unix extensions = no
>>
>> # Disabilito gli 'usershare', il default sembra essere 100 per
>> debian. Vedi:
>> # https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=900396
>> #
>> usershare max shares = 0
>>
>> # LOG
>> #
>> log level = 0
>> syslog = 0
>> log file = /var/log/samba/log.%M
>> max log size = 5000
>> panic action = /usr/share/samba/panic-action %d
>>
>> # Creando degli appositi file posso forzare diversi default
>> # per certi host...
>> #
>> include = /etc/samba/smb.conf.%M
>>
>>
>> ##
>> ## Share di 'sistema': Stampa, Point'n'Print, Netlogon, Home utente
>> ## (sono share con permessi organizzati in maniera particolare)
>> ##
>>
>> # Share stampanti, si veda
>> https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Print_Server
>> #
>> [printers]
>> comment = All Printers
>> browseable = no
>> path = /var/spool/samba
>> printable = yes
>> writable = no
>> create mask = 0700
>> guest ok = yes
>>
>> # Point'n'Print, si veda
>> https://wiki.samba.org/index.php/Setting_up_Automatic_Printer_Driver_Downloads_for_Windows_Clients
>> #
>> [print$]
>> comment = Printer Drivers
>> path = /var/lib/samba/printers
>> browseable = no
>> read only = no
>> force create mode = 0664
>> force directory mode = 2775
>> guest ok = yes
>>
>>
>> # Home, si veda https://wiki.samba.org/index.php/User_Home_Folders
>> # Usiamo l'opzione con i permessi POSIX, anche perchè mi serve lo
>> script per aggiungere la quota.
>> #
>> [users]
>> comment = Home Directories
>> path = /home
>> browseable = no
>> read only = no
>> store dos attributes = yes
>> force create mode = 0600
>> force directory mode = 0700
>> veto files = /.mail/.inbox/
>> root preexec = /etc/samba/createhome "%U"
>>
>> # Profili utente, si veda
>> https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles
>> # Qui usiamo le ACL.
>> #
>> [profiles]
>> comment = Network Profiles Share
>> path = /srv/samba/profiles
>> browseable = no
>> read only = no
>> map acl inherit = yes
>> store dos attributes = yes
>> csc policy = disable
>> vfs objects = acl_xattr
>> # Con i permessi giusti dovrebbe crearli in automatico...
>> #root preexec = /etc/samba/createprofile "%U"
>>
>>
>> ##
>> ## Share pubblici 'classici'...
>> ## (con abilitato full ACL, cestino, ...).
>> ## Qui ha senso abilitare anche l'auditing.
>> ##
>>
>> # Spazio Utente
>> #
>> [Work]
>> comment = Spazio di Lavoro Utente
>> volume = Work
>> path = /srv/work
>> browseable = yes
>> writeable = yes
>> map acl inherit = yes
>> store dos attributes = yes
>> vfs objects = acl_xattr recycle full_audit
>> recycle:repository = .cestino/%U
>> recycle:keeptree = yes
>> recycle:versions = yes
>> recycle:exclude=*.TMP,*.tmp,*.temp,*.o,*.obj,~$*
>> full_audit:prefix = %S|%d|%I|%M|%u
>> full_audit:success = mkdir rmdir read pread write pwrite rename
>> unlink
>> full_audit:failure = none
>> # LOG_AUTH Non è utilizzabile per il baco
>> https://bugzilla.samba.org/show_bug.cgi?id=13436; uso il default.
>> #full_audit:facility = LOG_AUTH
>> full_audit:priority = info
>>
More information about the samba-it
mailing list