Недавно мы обновили наш сервер Zentyal 3.3 до 5.1. Это был процесс обновления через меню обновлений программного обеспечения. Версия самбы была 4.1.3, а теперь 4.6.7
После обновления я заметил, что никто не может получить доступ к общим ресурсам samba из Windows. Он имеет роль DC, но также многие общие файловые ресурсы настроены для конечных пользователей. Общий ресурс sysvol работает нормально, пользователи могут проходить аутентификацию, GPO тоже работает, но общие ресурсы нет. Сообщение об ошибке отказано в доступе. Единственный способ получить к ним доступ - это установить "admin users" в smb.conf на группу желаний или пользователя. Но это принесло мне новую проблему, потому что каждый пользователь сможет получить доступ к каждой папке, даже если у них нет доступа к ней.
Наконец я нашел новое «решение»: Если я установил для пользователя AD доступ к общему ресурсу, он работает правильно. Но если я установлю группу AD, это не удастся. Группы AD существуют, и я проверил это с помощью нескольких команд. Членство в группах также правильное, поэтому я прекрасно вижу, что я являюсь членом этих групп.
Еще одна вещь, которая может быть важна или не важна: Папка, в которую пишут пользователи, монтируется через iSCSI в другую папку, а затем жестко связывается с каталогом / home. Раньше данные были прямо там, но в процессе обновления Zentyal мы переместили данные в другое место (500 ГБ).
Я искал решение более суток, но пока безуспешно. Согласно samba.log, когда я пытаюсь получить доступ к общим ресурсам и используя разрешения группы:
[2018/11/02 20: 22: 57.348766, 3, pid = 2560, эффективный (0, 0), действительный (0, 0)] ../libcli/security/dom_sid.c:210(dom_sid_parse_endp) string_to_sid: SID Неправильный формат @Domain Users
[2018/11/02 23: 23: 55.424532, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/ home / samba / share / iktato_uj) не удалось, причина: отказано в разрешении [2018/11 / 02 23: 23: 55.424574, 3] ../source3/smbd/smb2_server.c:3097(smbd_smb2_request_error_ex)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx [1] статус [NT_STATUS_ACCESS_DENIED] || на ../source3/smbd/smb2_server.c:2449 [2018/11/02 23: 23: 55.427243, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/ home / samba / share / iktato_uj) не удалось, причина: отказано в разрешении
Пример из share.conf для общего ресурса, к которому я пытаюсь получить доступ:
[Iktato_uj]
comment = Iktato_uj
path = /home/samba/shares/iktato_uj
browseable = yes
force create mode = 0660
force directory mode = 0660
valid users = @"Iktato", "molehand"
read list =
write list = @"Iktato", "molehand"
admin users =
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
Вот результат работы samba-tool testparm
# Global parameters [global]
bind interfaces only = Yes
interfaces = lo ens36
netbios name = GAMESZSRV2
realm = BVDOM.LOCAL
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
server string = Zentyal Server
workgroup = BVDOM
log file = /var/log/samba/samba.log
log level = 3
max log size = 100000
map to guest = Bad User
server role = active directory domain controller
server signing = if_required
template homedir = /home/%U
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
idmap_ldb:use rfc2307 = yes
drs:max object sync = 1200
dsdb:schema update allowed = yes
server role check:inhibit = yes
comment =
include = /etc/samba/shares.conf
[homes]
comment = Saját könyvtárak
path = /home/%S
browseable = No
create mask = 0611
directory mask = 0711
read only = No
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
full_audit:success = connect opendir disconnect unlink mkdir rmdir open rename
[Vendeg]
comment = Vendeg
path = /home/samba/shares/vendeg
admin users = "@All domain users" "@Domain Admins"
force create mode = 0660
force directory mode = 0660
valid users = "@All domain users" "@Domain Admins" "@All domain users" "@Domain Admins"
write list = "@All domain users" "@Domain Admins"
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[muszak]
comment = Muszak
path = /home/samba/shares/muszak
admin users = @Muszak
force create mode = 0660
force directory mode = 0660
valid users = @Muszak @Muszak
write list = @Muszak
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Vezetes]
comment = Vezetés
path = /home/samba/shares/vezetes
admin users = @Vezetes
force create mode = 0660
force directory mode = 0660
valid users = @Vezetes @Vezetes
write list = @Vezetes
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Domain users]
comment = Domain users
path = /home/samba/shares/users
admin users = "@Domain Userek"
force create mode = 0660
force directory mode = 0660
valid users = "@Domain Userek" "@Domain Userek"
write list = "@Domain Userek"
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Berlemeny]
comment = Bérlemény
path = /home/samba/shares/berlemeny
admin users = @Berlemeny
force create mode = 0660
force directory mode = 0660
valid users = @Berlemeny @Berlemeny
write list = @Berlemeny
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Szamvitel]
comment = Számvitel
path = /home/samba/shares/szamvitel
admin users = @Szamvitel
force create mode = 0660
force directory mode = 0660
valid users = @Szamvitel @Szamvitel
write list = @Szamvitel
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Iktato]
comment = Iktató
path = /home/samba/shares/iktato
admin users = @Iktato
force create mode = 0660
force directory mode = 0660
valid users = @Iktato @Iktato
write list = @Iktato
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[HR]
comment = HR
path = /home/samba/shares/hr
admin users = @hr1
force create mode = 0660
force directory mode = 0660
valid users = @hr1 @hr1
write list = @hr1
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[intezmenyi]
comment = intézmények abevjava
path = /home/samba/shares/intezmenyi
admin users = @anyk
force create mode = 0660
force directory mode = 0660
valid users = @anyk @anyk
write list = @anyk
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Próba]
comment = teszt
path = /home/samba/shares/proba
force create mode = 0660
force directory mode = 0660
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[Iktato_uj]
comment = Iktato_uj
path = /home/samba/shares/iktato_uj
force create mode = 0660
force directory mode = 0660
valid users = @Iktato molehand
write list = @Iktato molehand
vfs objects = acl_xattr full_audit
full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
[netlogon]
path = /var/lib/samba/sysvol/bvdom.local/scripts
browseable = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
вывод smb.conf
[global]
workgroup = bvdom
realm = BVDOM.LOCAL
netbios name = gameszsrv2
server string = Zentyal Server
server role = dc
server role check:inhibit = yes
server services = -dns
server signing = auto
dsdb:schema update allowed = yes
ldap server require strong auth = no
drs:max object sync = 1200
idmap_ldb:use rfc2307 = yes
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
template homedir = /home/%U
interfaces = lo,ens36
bind interfaces only = yes
map to guest = Bad User
log level = 3
log file = /var/log/samba/samba.log
max log size = 100000
include = /etc/samba/shares.conf
[netlogon]
path = /var/lib/samba/sysvol/bvdom.local/scripts
browseable = no
read only = yes
[sysvol]
path = /var/lib/samba/sysvol
read only = no
Я также пробовал несколько методов с разрешениями unix, stb, но не повезло. Мне кажется, что он не может распознать группы AD, когда я хочу использовать их для доступа к общим ресурсам.
Итак, чтобы подвести итог:
Пользовательский ACL работает, группа - нет
ОБНОВЛЕНИЕ: я попытался создать новый общий ресурс в другой папке, тогда подключенный доступ к iscsi и smb работал отлично. Итак, я снова проверил разрешения unix и изменил одно из iscsi mount. После того, как я изменил ACL и стал владельцем папки, я смог получить к ней доступ из сети и изменить ACL из Windows. Кажется, это простая проблема с разрешением файловой системы, не более того. Я надеюсь, что смогу заставить его работать и для других акций
Я ценю любое решение или совет. Спасибо.
Возможно, обновление нарушило сопоставление групп для группы «Пользователи домена». Это случилось и с нами. Взгляните на этот ответ для решения: https://superuser.com/a/1310572/704830