Samba + Winbind + AD

1. Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 23/07/2014 - 15:09h

Pessoal boa tarde!!

Fiz um servidor de compartilhamento Samba ingressado no AD.

O que acontece é que de tempos em tempos eu tenho que dar um restart no Winbind.

Acredito que não seja normal... porém não consegui encontrar o erro...

Alguém já passou por esse problema?

Valeu!


  


2. Re: Samba + Winbind + AD

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/07/2014 - 16:51h

jorgevisentini escreveu:

Pessoal boa tarde!!

Fiz um servidor de compartilhamento Samba ingressado no AD.

O que acontece é que de tempos em tempos eu tenho que dar um restart no Winbind.

Acredito que não seja normal... porém não consegui encontrar o erro...

Alguém já passou por esse problema?

Valeu!


Por que tem que dá um restart no winbind ? e qual distro você usa no servidor de arquivos ? dá pra ser mais claro e detalhista ?


3. Re: Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 23/07/2014 - 18:58h

Então cara, teoricamente não é para ser preciso dar um restart no winbind. Faço isso porque do nada os usuário não conseguem autenticar nos compartilhamentos...

Dai eu reinicio o windind e tudo volta a funcionar...

Estou usando o CentOS 6.5 x86_64


4. Re: Samba + Winbind + AD

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/07/2014 - 19:14h

Posta ai o conteúdo dos arquivos: /etc/krb5.conf /etc/samba/smb.conf.


5. Re: Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 23/07/2014 - 19:31h

KRB5.CONF

[logging]
default = FILE:/var/log/krb5libs.log

[libdefaults]
default_realm = DOMINIO.COM.BR
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
clock-skew = 300

[realms]
DOMINIO.COM.BR = {
kdc = DC01.COM.BR:88
kdc = DC02.JMT1.COM.BR:88
master_kdc = DC01.DOMINIO.COM.BR:88
admin_server = DC01.DOMINIO.COM.BR:749
default_domain = DOMINIO.COM.BR
}

[domain_realm]
.dominio.com.br = DOMINIO.COM.BR
dominio.com.br = DOMINIO.COM.BR

[login]
krb4_convert = true
krb4_get_tickets = false




SMB.CONF

[global]
workgroup = DOMINIO
server string = MAQUINA02
netbios name = maquina02
realm = DOMINIO.COM.BR
log file = /var/log/samba/samba.log
os level = 20
max log size = 1000
debug level = 1
security = ADS
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
unix charset = UTF-8
# password server = 10.153.109.36 10.153.109.62
wins support = yes
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind separator = +
idmap config * : range = 10000 - 20000
# idmap uid = 10000-20000
# idmap gid = 10000-20000
template homedir = /dev/null
template shell = /dev/null
# printing = cups
# load printers = no
# time server = yes


#COMPARTILHAMENTOS


Não sei se não é o parâmetro "password server" o problema....



6. Re: Samba + Winbind + AD

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/07/2014 - 19:54h

jorgevisentini escreveu:

KRB5.CONF

[logging]
default = FILE:/var/log/krb5libs.log

[libdefaults]
default_realm = DOMINIO.COM.BR
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
clock-skew = 300

[realms]
DOMINIO.COM.BR = {
kdc = DC01.COM.BR:88
kdc = DC02.JMT1.COM.BR:88
master_kdc = DC01.DOMINIO.COM.BR:88
admin_server = DC01.DOMINIO.COM.BR:749
default_domain = DOMINIO.COM.BR
}

[domain_realm]
.dominio.com.br = DOMINIO.COM.BR
dominio.com.br = DOMINIO.COM.BR

[login]
krb4_convert = true
krb4_get_tickets = false




SMB.CONF

[global]
workgroup = DOMINIO
server string = MAQUINA02
netbios name = maquina02
realm = DOMINIO.COM.BR
log file = /var/log/samba/samba.log
os level = 20
max log size = 1000
debug level = 1
security = ADS
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
unix charset = UTF-8
# password server = 10.153.109.36 10.153.109.62
wins support = yes
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind separator = +
idmap config * : range = 10000 - 20000
# idmap uid = 10000-20000
# idmap gid = 10000-20000
template homedir = /dev/null
template shell = /dev/null
# printing = cups
# load printers = no
# time server = yes


#COMPARTILHAMENTOS

Não sei se não é o parâmetro "password server" o problema....


deixe as opções password server, winbind separator = + e idmap config * : range = 10000 - 20000 comentadas e tire o comentário das linhas:


idmap uid = 10000-20000
idmap gid = 10000-20000


Reinicie o winbind, smbd e nmbd, e veja se esse problema volta a ocorrer, se puder fazer testes agora melhor ainda, faça e me diga o resultado...


7. Re: Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 23/07/2014 - 21:57h

Então cara, não vou poder fazer os testes agora porque não estou na empresa.

Mas tipo... estas duas opções:
idmap uid = 10000-20000
idmap gid = 10000-20000
Já estão ultrapassadas segundo o samba.org... por isso usei a outra opção para uid e gid...

e o password, entendo que é onde o samba irá buscar as senhas... os dois controladores de domínios no caso...


8. Re: Samba + Winbind + AD

Perfil removido
removido

(usa Nenhuma)

Enviado em 23/07/2014 - 22:48h

jorgevisentini escreveu:

Então cara, não vou poder fazer os testes agora porque não estou na empresa.

Mas tipo... estas duas opções:
idmap uid = 10000-20000
idmap gid = 10000-20000
Já estão ultrapassadas segundo o samba.org... por isso usei a outra opção para uid e gid...

e o password, entendo que é onde o samba irá buscar as senhas... os dois controladores de domínios no caso...


Amigo está opção password não é obrigatória, pois o servidor samba ele vai buscar autenticar os usuários no DC que responder a solicitação de acordo com o reino(realm) do kerberos. outra coisa... vi no arquivo /etc/krb5.conf que você chegou a especificar as portas do servidor kerberos, não precisa especificar(é opcional), pois se você não alterou as portas padrões do servidores kerberos (ADs), ele estará escutando na porta 88, e vi também que em parte do arquivo você não especifica o nome fqdn, foi erro de digitação ou está assim mesmo. abaixo deixo destacado os trechos. o nome dos servidores devem está completos.

[realms]
DOMINIO.COM.BR = {
kdc = DC01.COM.BR:88
kdc = DC02.JMT1.COM.BR:88
master_kdc = DC01.DOMINIO.COM.BR:88
admin_server = DC01.DOMINIO.COM.BR:749
default_domain = DOMINIO.COM.BR


9. Re: Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 24/07/2014 - 15:03h

Opa, sim, foi um erro de digitação mesmo.

Nos 2 são o fqdn sim.

Pois é. Desde ontem não está mais dando erro. A opção que inclui foi o parâmetro "password server".

Feito.


10. Re: Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 01/08/2014 - 17:47h

O que está acontecendo é que passa algum tempo e o mapeamento do grupo se perde... tipo... ao invés de aparecer o nome do grupo, aparece a guid.

No log do Winbind aparece o seguinte:

[2014/08/01 16:53:26.316708, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02
[2014/08/01 17:12:51.543782, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02
[2014/08/01 17:13:10.942402, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02
[2014/08/01 17:36:58.501725, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02


Nas configurações do samba estão assim:

idmap config * : backend = rid
idmap config * : base_rid = 0
idmap config * : range = 10000-20000

Alguém sabe como resolver isso?


11. Re: Samba + Winbind + AD

Perfil removido
removido

(usa Nenhuma)

Enviado em 01/08/2014 - 21:08h

jorgevisentini escreveu:

O que está acontecendo é que passa algum tempo e o mapeamento do grupo se perde... tipo... ao invés de aparecer o nome do grupo, aparece a guid.

No log do Winbind aparece o seguinte:

[2014/08/01 16:53:26.316708, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02
[2014/08/01 17:12:51.543782, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02
[2014/08/01 17:13:10.942402, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02
[2014/08/01 17:36:58.501725, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config JMTPOAX02


Nas configurações do samba estão assim:

idmap config * : backend = rid
idmap config * : base_rid = 0
idmap config * : range = 10000-20000

Alguém sabe como resolver isso?


Olha amigo... de acordo com a documentação da redhat para ingressar no domínio active directory utilizando o plugin rid, é utilizado o backend tdb para armazenar os mapeamentos localmente. por exemplo:


idmap uid = 10000-20000
idmap gid = 10000-20000
idmap config nome_do_dominio:range = 10000000-20000000
idmap config nome_do_dominio:backend = rid


Ou você pode usar somente o backend tdb fazendo uso das opções listadas acima idmap uid ou idmap gid ou como usando as opções abaixo, já que o backend rid ele tem a finalidade de fazer com que os mapeamentos de usuários e grupos sejam os mesmos em servidores samba diferentes, salvo a limitação que não consegue trabalhar em multiplos domínios.


idmap config nome_do_dominio : backend = tdb
idmap config nome_do_dominio : range = 1000000-2000000



12. Re: Samba + Winbind + AD

Jorge Visentini
jorgevisentini

(usa CentOS)

Enviado em 02/08/2014 - 12:51h

Poiseh, dei uma pesquisada.

Deixei o meu assim:

idmap config DOMINIO:backend = rid
idmap config DOMINIO:range = 10000-20000

Só que acontece o seguinte, no log do /var/log/samba/log.winbindd-idmap, fica aparecendo a mensagem:


[2014/08/02 05:24:10.488922, 1] winbindd/idmap.c:288(idmap_init_named_domain)
no backend defined for idmap config NOMEDAMÁQUINA


Não sei se tem a ver com as configurações do samba, mas acho que sim...



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts