[Ayuda] Problema con Samba4 AD y UID de Unix...

Ven aquí para compartir tus consejos y trucos para usar Samba4
Bloqueado
ulysse31
Mensajes: 2
Inscripción: 20 de marzo de 2018 - 11:46

20 de marzo de 2018 - 12:13

Buen día,

No estoy seguro de si esta es la sección correcta para pedir ayuda, discúlpeme si no lo es.

Seguí la documentación disponible para crear un nuevo dominio compatible con AD con samba4 en PDC.
Especifiqué "--use-rfc2307" para habilitar los atributos de Unix; la línea de aprovisionamiento se veía así:

Código: Seleccionar todo

samba-tool domain provision --use-rfc2307 --realm=DOMAIN.LAN --domain DOMAIN --adminpass XXXXXX --server-role=dc
Luego creé mis usuarios y grupos especificando uids y gids apropiados.
Configuré nslcd/nscd localmente para que consulte el samba ldap con autenticación keytab kerberos y proporcione la asignación adecuada.
Si hago un "id user", obtengo el uid de Unix del usuario y sus grupos con id de Unix.
Hasta ahora todo bien, se podría decir ^^: sí, hasta ahora todo bien.
Sin embargo, creé un recurso compartido de prueba en el controlador de dominio, con restricciones para un grupo específico (esta restricción también funciona). El usuario puede conectarse al recurso compartido y crear archivos y carpetas. Sin embargo, los UID de los archivos/carpetas creados están en el rango 300000X, mientras que el UID del usuario normalmente debería estar en el rango 22XX. Los GID parecen correctos (configurados en el GID Unix del grupo principal del usuario: 513).

Aquí hay algo de información sobre la configuración actual:

smb.conf:

Código: Seleccionar todo


# Global parameters
[global]
        dns forwarder = 8.8.8.8
        netbios name = ADSERVER
        realm = DOMAIN.LAN
        server role = active directory domain controller
        workgroup = DOMAIN
        idmap_ldb:use rfc2307 = yes
        log level = 10

[netlogon]
        path = /var/lib/samba/sysvol/domain.lan/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[IT]
        comment = IT Local Share
        writable = yes
        path = /share/groups/IT
        valid users = "@Unix Admins"
        browseable = yes
        create mask = 2660
        directory mask = 2770
Algunas comprobaciones:

Código: Seleccionar todo

# wbinfo -i user
DOMAIN\user:*:2242:513::/home/DOMAIN/user:/bin/false
# wbinfo --name-to-sid user
S-1-5-21-2164598009-1727115798-1474587502-1343 SID_USER (1)
#  wbinfo --sid-to-uid S-1-5-21-2164598009-1727115798-1474587502-1343
2242
# ls -lan /share/groups/IT/
total 40                                                                                                                                                                                                                                                                       
drwxr-xr-x  6    2287 171 4096 Mar 20 11:34 .                                                                                                                                                                                                                                  
drwxr-xr-x  3       0   0 4096 Feb 26 10:36 ..                                                                                                                                                                                                                                 
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:04 lol                                                                                                                                                                                                                                
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:31 lol2                                                                                                                                                                                                                               
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:33 plop                                                                                                                                                                                                                               
drwxrwx---+ 2 3000002 513 4096 Mar 20 11:34 plop2

Entonces, confieso que realmente no entiendo por qué está creando los archivos en el recurso compartido de Windows con un UID de 300000XX...
He habilitado el registro... pero no he encontrado nada concluyente :/ ... Si alguien tiene alguna idea, estaría extremadamente agradecido ^^'

Gracias a todos.


--
Ulises31
Alto
ulysse31
Mensajes: 2
Inscripción: 20 de marzo de 2018 - 11:46

21 de marzo de 2018 - 10:23

Hola,

respondo a mi propio hilo para dejar constancia del progreso, por si alguien más tiene el mismo problema algún día.
Después de ejecutar "net cache flush" en el servidor, luego "net cache list | grep user" y después acceder al recurso compartido con ese usuario, la creación de directorios y archivos corrige el UID correcto en los archivos y carpetas... Sin embargo, por qué... y cómo "volvió a la normalidad"... no tengo ni idea... no hice ningún cambio en la configuración del servidor...
Esto no me tranquiliza mucho para el futuro... Voy a probar con otras cuentas de prueba, ya veremos...

Que tengan un buen día,

--
Ulysse31
Alto
Bloqueado

Volver a "Consejos y trucos"


  • Para ir más allá con WAPT