Назад | Перейти на главную страницу

Обновление Zentyal 3.3 до 5.1. Невозможно получить доступ к общим ресурсам samba из Windows

Недавно мы обновили наш сервер Zentyal 3.3 до 5.1. Это был процесс обновления через меню обновлений программного обеспечения. Версия самбы была 4.1.3, а теперь 4.6.7

После обновления я заметил, что никто не может получить доступ к общим ресурсам samba из Windows. Он имеет роль DC, но также многие общие файловые ресурсы настроены для конечных пользователей. Общий ресурс sysvol работает нормально, пользователи могут проходить аутентификацию, GPO тоже работает, но общие ресурсы нет. Сообщение об ошибке отказано в доступе. Единственный способ получить к ним доступ - это установить "admin users" в smb.conf на группу желаний или пользователя. Но это принесло мне новую проблему, потому что каждый пользователь сможет получить доступ к каждой папке, даже если у них нет доступа к ней.

Наконец я нашел новое «решение»: Если я установил для пользователя AD доступ к общему ресурсу, он работает правильно. Но если я установлю группу AD, это не удастся. Группы AD существуют, и я проверил это с помощью нескольких команд. Членство в группах также правильное, поэтому я прекрасно вижу, что я являюсь членом этих групп.

Еще одна вещь, которая может быть важна или не важна: Папка, в которую пишут пользователи, монтируется через iSCSI в другую папку, а затем жестко связывается с каталогом / home. Раньше данные были прямо там, но в процессе обновления Zentyal мы переместили данные в другое место (500 ГБ).

Я искал решение более суток, но пока безуспешно. Согласно samba.log, когда я пытаюсь получить доступ к общим ресурсам и используя разрешения группы:

[2018/11/02 20: 22: 57.348766, 3, pid = 2560, эффективный (0, 0), действительный (0, 0)] ../libcli/security/dom_sid.c:210(dom_sid_parse_endp) string_to_sid: SID Неправильный формат @Domain Users

[2018/11/02 23: 23: 55.424532, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/ home / samba / share / iktato_uj) не удалось, причина: отказано в разрешении [2018/11 / 02 23: 23: 55.424574, 3] ../source3/smbd/smb2_server.c:3097(smbd_smb2_request_error_ex)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx [1] статус [NT_STATUS_ACCESS_DENIED] || на ../source3/smbd/smb2_server.c:2449 [2018/11/02 23: 23: 55.427243, 3] ../source3/smbd/service.c:102(set_current_service) chdir (/ home / samba / share / iktato_uj) не удалось, причина: отказано в разрешении

Пример из share.conf для общего ресурса, к которому я пытаюсь получить доступ:

[Iktato_uj]
    comment = Iktato_uj
    path = /home/samba/shares/iktato_uj
    browseable = yes
    force create mode = 0660
    force directory mode = 0660
    valid users = @"Iktato", "molehand"
    read list =
    write list = @"Iktato", "molehand"
    admin users =
    vfs objects = acl_xattr full_audit
    full_audit:failure = connect opendir disconnect unlink mkdir rmdir open  rename

Вот результат работы samba-tool testparm

# Global parameters [global]
        bind interfaces only = Yes
        interfaces = lo ens36
        netbios name = GAMESZSRV2
        realm = BVDOM.LOCAL
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        server string = Zentyal Server
        workgroup = BVDOM
        log file = /var/log/samba/samba.log
        log level = 3
        max log size = 100000
        map to guest = Bad User
        server role = active directory domain controller
        server signing = if_required
        template homedir = /home/%U
        template shell = /bin/bash
        winbind enum groups = Yes
        winbind enum users = Yes
        idmap_ldb:use rfc2307 = yes
        drs:max object sync = 1200
        dsdb:schema update allowed = yes
        server role check:inhibit = yes
        comment =
        include = /etc/samba/shares.conf

[homes]
        comment = Saját könyvtárak
        path = /home/%S
        browseable = No
        create mask = 0611
        directory mask = 0711
        read only = No
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename
        full_audit:success = connect opendir disconnect unlink mkdir rmdir open rename

[Vendeg]
        comment = Vendeg
        path = /home/samba/shares/vendeg
        admin users = "@All domain users" "@Domain Admins"
        force create mode = 0660
        force directory mode = 0660
        valid users = "@All domain users" "@Domain Admins" "@All domain users" "@Domain Admins"
        write list = "@All domain users" "@Domain Admins"
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[muszak]
        comment = Muszak
        path = /home/samba/shares/muszak
        admin users = @Muszak
        force create mode = 0660
        force directory mode = 0660
        valid users = @Muszak @Muszak
        write list = @Muszak
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Vezetes]
        comment = Vezetés
        path = /home/samba/shares/vezetes
        admin users = @Vezetes
        force create mode = 0660
        force directory mode = 0660
        valid users = @Vezetes @Vezetes
        write list = @Vezetes
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Domain users]
        comment = Domain users
        path = /home/samba/shares/users
        admin users = "@Domain Userek"
        force create mode = 0660
        force directory mode = 0660
        valid users = "@Domain Userek" "@Domain Userek"
        write list = "@Domain Userek"
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Berlemeny]
        comment = Bérlemény
        path = /home/samba/shares/berlemeny
        admin users = @Berlemeny
        force create mode = 0660
        force directory mode = 0660
        valid users = @Berlemeny @Berlemeny
        write list = @Berlemeny
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Szamvitel]
        comment = Számvitel
        path = /home/samba/shares/szamvitel
        admin users = @Szamvitel
        force create mode = 0660
        force directory mode = 0660
        valid users = @Szamvitel @Szamvitel
        write list = @Szamvitel
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Iktato]
        comment = Iktató
        path = /home/samba/shares/iktato
        admin users = @Iktato
        force create mode = 0660
        force directory mode = 0660
        valid users = @Iktato @Iktato
        write list = @Iktato
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[HR]
        comment = HR
        path = /home/samba/shares/hr
        admin users = @hr1
        force create mode = 0660
        force directory mode = 0660
        valid users = @hr1 @hr1
        write list = @hr1
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[intezmenyi]
        comment = intézmények abevjava
        path = /home/samba/shares/intezmenyi
        admin users = @anyk
        force create mode = 0660
        force directory mode = 0660
        valid users = @anyk @anyk
        write list = @anyk
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Próba]
        comment = teszt
        path = /home/samba/shares/proba
        force create mode = 0660
        force directory mode = 0660
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[Iktato_uj]
        comment = Iktato_uj
        path = /home/samba/shares/iktato_uj
        force create mode = 0660
        force directory mode = 0660
        valid users = @Iktato molehand
        write list = @Iktato molehand
        vfs objects = acl_xattr full_audit
        full_audit:failure = connect opendir disconnect unlink mkdir rmdir open rename

[netlogon]
        path = /var/lib/samba/sysvol/bvdom.local/scripts
        browseable = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

вывод smb.conf

[global]
    workgroup = bvdom
    realm = BVDOM.LOCAL
    netbios name = gameszsrv2
    server string = Zentyal Server
    server role = dc
    server role check:inhibit = yes
    server services = -dns
    server signing = auto
    dsdb:schema update allowed = yes
    ldap server require strong auth = no
    drs:max object sync = 1200

    idmap_ldb:use rfc2307 = yes

    winbind enum users = yes
    winbind enum groups = yes
    template shell = /bin/bash
    template homedir = /home/%U

    interfaces = lo,ens36
    bind interfaces only = yes

    map to guest = Bad User

    log level = 3
    log file = /var/log/samba/samba.log
    max log size = 100000


    include = /etc/samba/shares.conf

[netlogon]
    path = /var/lib/samba/sysvol/bvdom.local/scripts
    browseable = no
    read only = yes

[sysvol]
    path = /var/lib/samba/sysvol
    read only = no

Я также пробовал несколько методов с разрешениями unix, stb, но не повезло. Мне кажется, что он не может распознать группы AD, когда я хочу использовать их для доступа к общим ресурсам.

Итак, чтобы подвести итог:

Пользовательский ACL работает, группа - нет

ОБНОВЛЕНИЕ: я попытался создать новый общий ресурс в другой папке, тогда подключенный доступ к iscsi и smb работал отлично. Итак, я снова проверил разрешения unix и изменил одно из iscsi mount. После того, как я изменил ACL и стал владельцем папки, я смог получить к ней доступ из сети и изменить ACL из Windows. Кажется, это простая проблема с разрешением файловой системы, не более того. Я надеюсь, что смогу заставить его работать и для других акций

Я ценю любое решение или совет. Спасибо.

Возможно, обновление нарушило сопоставление групп для группы «Пользователи домена». Это случилось и с нами. Взгляните на этот ответ для решения: https://superuser.com/a/1310572/704830