Sincronizzazione delle password Samba4 e OpenLDAP

ee68 · 8 febbraio 2017 - 14:07

Ciao,

un enorme grazie per la tua preziosa documentazione su Samba4!

Sto cercando di sincronizzare le password di Samba4 con OpenLDAP, utilizzando la tua documentazione.

A questo scopo, ho aggiunto un DC3 (Debian) compilato alla versione 4.5.1 con gpgme:
# smbd -b | grep "GPGME"
HAVE_GPGME_H
HAVE_GPGME
HAVE_GPGME_NEW
HAVE_LIBGPGME
ENABLE_GPGME

Anche DC1 e DC2 sono in esecuzione alla versione 4.5.1 ma senza supporto gpgme, sebbene siano stati aggiornati dai tuoi pacchetti deb.
Credo di avere già la risposta alla mia domanda... il supporto gpgme è necessario su tutti i DC!

Tutto sembra funzionare correttamente su DC3:
- lo script syncpwd.py
- la connessione al server OpenLDAP
- la memorizzazione nella cache delle password con samba-tool
- il servizio samba-syncpasswords.service.

Tuttavia, l'hash dell'utente non può essere recuperato con il comando:
`samba-tool user getpassword xxx --attributes=virtualSSHA,samaccountname --decrypt-samba-gpg
dn: CN=xxx,CN=xxx,DC=xxx,DC=xxx
sAMAccountName: xxx

Got password OK`.

I pacchetti prerequisiti sono installati correttamente:
rng-tools python-ldap python-crypto python-m2crypto python-gpgme python-gpgme-dbg libgpgme11-dev.

Avete qualche idea su come recuperare gli hash dell'utente?
Dovrei reinstallare Samba 4.5.1 compilato con il supporto gpgme su DC1 e DC2?
È possibile utilizzando macchine virtuali, ma è un po' complicato.

Grazie in anticipo per la vostra consulenza esperta,

Eric.

ssamson · 1 marzo 2017 - 15:32

Ciao,

sì, è necessario che tutti i controller di dominio supportino gpme.
Devono inoltre avere una chiave gpg e il relativo ID nel file smb.conf.

Lo script funziona solo con gli utenti che hanno cambiato la password dopo la sua implementazione.

Puoi provare a utilizzare la versione 4.5.4 di Samba invece di reinstallare i controller di dominio.
https://samba.tranquil.it/jessie64/samba-4.5.4/

ee68 · 1 marzo 2017 - 17:54

Ciao,

grazie per la risposta.

Proverò ad aggiornare alla versione 4.5.4 con i tuoi pacchetti il prima possibile...
Spero che il supporto per gpgme venga abilitato dopo l'aggiornamento.

Ti farò sapere se funziona.

Buona serata.

ee68 · 9 maggio 2017 - 14:39

Ciao,

ho aggiornato Samba alla versione 4.5.4 su tutti i controller di dominio, quindi ora ho il supporto GPGME.
Funziona quasi del tutto...
Ora riesco a recuperare correttamente l'hash della password dopo averla modificata:
virtualSSHA: {SSHA}am+7UkRfBjpH/9mu7THj14z5Qci6tdZp
Password recuperata correttamente.

Tuttavia, la replica nella directory OpenLDAP non funziona. Nei log di samba-syncpasswords, ricevo l'errore "Exception global name 'time' is not defined"
samba-syncpasswords[27698]: Tue May 9 10:25:52 2017: pid[27698]: DONE-EXIT: Exception global name 'time' is not defined
samba-syncpasswords[27698]: DONE-EXIT: change password to adldaps

La connessione alla directory LDAP funziona correttamente e il bind ha successo in modalità amministratore LDAP. Tuttavia, se cambio la password di un utente AD che non esiste in LDAP, ricevo il seguente messaggio: DONE-EXIT: User 'aduser3' not exist.

Qualche idea per aiutarmi a eseguire il debug?

Altre domande:
Ogni DC necessita di una propria chiave e ID in smb.conf, oppure dovrebbero essere gli stessi per tutti i DC?
Perché se richiedo l'hash su un DC che non ha cambiato la password:
`samba-tool user getpassword adldaps --attributes=virtualSSHA,samaccountname --decrypt-samba-gpg`,
ottengo: `WARNING: 'adldaps': SambaGPG non può essere decrittografato in CLEARTEXT: ERR_BAD_SECKEY: Decrittazione non riuscita`.
E logicamente, il servizio `samba-syncpasswords` dovrebbe essere in esecuzione su ogni DC, giusto?

Grazie in anticipo

, Eric

ssamson · 1 giugno 2017 - 16:31

Tuttavia, la replica nella directory OpenLDAP non funziona. Nei log di samba-syncpasswords, ho l'errore "Exception global name 'time' is not defined"
samba-syncpasswords[27698]: Tue May 9 10:25:52 2017: pid[27698]: DONE-EXIT: Exception global name 'time' is not defined
samba-syncpasswords[27698]: DONE-EXIT: change password to adldaps

All'inizio dello script manca l'indicazione "import time"

La connessione alla directory LDAP funziona correttamente e l'autenticazione ha successo come amministratore LDAP. Tuttavia, se modifico la password di un utente di Active Directory inesistente in LDAP, ricevo il messaggio: DONE-EXIT: Utente 'aduser3' non esistente.

Avete qualche suggerimento su come risolvere questo problema?

Non c'è replicazione dell'utente, solo la parte relativa alla password.
Devi trovare un altro metodo per replicare gli utenti.

Altre domande:
Ogni DC necessita di una propria chiave e ID in smb.conf, oppure dovrebbero essere gli stessi per tutti i DC?
Perché se richiedo l'hash su un DC che non ha cambiato la password:
`samba-tool user getpassword adldaps --attributes=virtualSSHA,samaccountname --decrypt-samba-gpg`
ottengo l'AVVISO: 'adldaps': SambaGPG non può essere decrittografato in CLEARTEXT: ERR_BAD_SECKEY: Decrittazione non riuscita.
E logicamente, il servizio `samba-syncpasswords` dovrebbe essere in esecuzione su ogni DC?

Sì, è necessaria la stessa chiave gpg + ID su tutti i DC.
Sì, il servizio samba-syncpasswords deve essere in esecuzione su ogni DC

giulinux · 1 febbraio 2018 - 12:33

Ciao,

ho appena testato lo script su un sistema Samba4 4.5.12 (Debian Stretch) e ricevo il seguente errore nel syslog, che non so come interpretare.
Gli utenti vengono trovati correttamente, ma la sincronizzazione fallisce:

Feb 1 12:18:10 dc1 samba-syncpasswords[18022]: dn:
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: userAccountControl: 66048
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: pwdLastSet: 131619569553456160
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: userPrincipalName: john.doe@domaine.lan
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: sAMAccountName: john.doe
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: objectGUID: 4e3d953f-7d85-4718-9286-4397c5c8cf64
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: instanceType: 4 1
feb 12:18:10 dc1 samba-syncpasswords[18022]: # supplementalCredentials::: ATTRIBUTO SEGRETO OSCURATO
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: # unicodePwd::: ATTRIBUTO SEGRETO OSCURATO
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: 1 feb 12:18:10 2018: pid[18022]: #Passwords[28] 4e3d953f-7d85-4718-9286-4397c5c8cf64 S-1-5-21-220842246-1859053709-2034179705-1143
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: # attrs=['dn', 'objectGUID', 'sAMAccountName']
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: gio 1 feb 12:18:10 2018: pid[18022]: Chiamata a Popen[/opt/syncpwd.py] per CN=John Doe,CN=Users,DC=domain,DC=lan
1 feb 12:18:10 dc1 samba-syncpasswords[18022]: Gio 1 Feb 12:18:10 2018: pid[18022]: DONE-EXIT: NOK
1 Feb 12:18:10 dc1 samba-syncpasswords[18022]: Gio 1 Feb 12:18:10 2018: pid[18022]: # Dirsync[29] 5ede31ac-7390-4dd4-91de-bf6293d3dcc0 S-1-5-21-220842246-1859053709-2034179705-1137

Tuttavia, ho installato correttamente le dipendenze richieste e la mia versione di Samba dovrebbe, in linea di principio, supportare GPME:

]dc1:samba#smbd -b | grep "GPGME"
HAVE_GPGME_H
HAVE_GPGME
HAVE_GPGME_NEW
HAVE_LIBGPGME
ENABLE_GPGME

Tuttavia, quando provo a recuperare l'hash della password, non lo vedo.
Ad esempio:

dc1:samba#samba-tool user getpassword john.doe --attributes=virtualSSHA --decrypt-samba-gpg
dn: CN=John Doe,CN=Users,DC=domain,DC=lan

Password recuperata correttamente

Avete qualche idea di cosa c'è che non va?

Grazie.

giulinux · 6 febbraio 2018 - 16:58

Ciao,

rispondo a me stesso. Ho risolto il problema, che a quanto pare derivava dal fatto che la password non era mai stata modificata sul lato Samba4. Una volta cambiate le password per alcuni utenti di prova, ha funzionato.
Sono quindi riuscito a testare la sincronizzazione delle password da Samba4 a una directory LDAP remota (dominio diverso).
La sincronizzazione funziona correttamente; tuttavia, ho notato qualcosa che non capisco.

Se provo a cambiare la password di un utente usando la riga di comando:

`samba-tool user setpassword toto` `
Nuova password:
Reinserisci password:
Password cambiata OK`

`#samba-tool user getpassword toto --attributes=virtualSSHA --decrypt-samba-gpg
dn: CN=toto,CN=Users,DC=domaine,DC=lan
virtualSSHA: {SSHA}Lnfkk3WSTzwJux3o7wCMCXjnlC/4zuCs

Password ottenuta OK`

E monitoro i log in `/var/log/syslog`, la modifica della password non viene applicata immediatamente. Succede solo se cambio la password di un altro utente. C'è un modo per far sì che abbia effetto istantaneamente?

Allegare questo script al comando "samba-tool user syncpasswords" ed eseguirlo tramite systemd sembra agire come un trigger che propaga le modifiche, ma nel mio caso funziona solo circa ogni due modifiche.

Qualche idea?
Grazie in anticipo.

giulinux · 11 dicembre 2018 - 12:06

Buongiorno,

Mi rispondo da solo, ma da un'angolazione diversa.
I miei test precedenti sono stati eseguiti su Red Hat 7 con i vostri pacchetti nella versione 4.6.4.
Dopo aver riscontrato non pochi problemi con le topologie di replicazione, sono tornato a una piattaforma più classica, con Ubuntu18 e Samba 4.7.6 (addio problemi di replicazione).
Ma quando ho rimesso a posto lo script di sincronizzazione della password di samba4 con lo script syncpwd.py, ho riscontrato un altro problema.

Eccone la traccia:

Codice: Seleziona tutto

Dec 11 11:51:36 DC01 samba-syncpasswords[13698]: Tue Dec 11 11:50:24 2018: pid[13698]: DONE-EXIT: Exception {'desc': u'Other (e.g., implementation specific) error'}

Non sembra che io abbia problemi di dipendenza con i pacchetti Python e sono in grado di decifrare una password tramite la CLI (la cache delle password è stata inizializzata correttamente):

Codice: Seleziona tutto

 samba-tool user getpassword toto --attributes=virtualSSHA --decrypt-samba-gpg
dn: CN=Toto toto,CN=Users,DC=domaine,DC=fr
virtualSSHA: {SSHA}MdPe1hbGUSNJdKEhdgYSJCQCRaS3EuNxumB

Avete qualche idea su come risolvere questo problema?

giulinux · 12 dicembre 2018 - 09:04

Buongiorno,

Qualcuno ha testato questo script su Ubuntu 18?
Vorrei sottolineare che la configurazione è esattamente la stessa di quella impostata in redhat7 e che ha funzionato molto bene.
Ho persino modificato lo script in modo che sincronizzi le password Samba4 degli utenti con i campi userpassword e sambantpassword di un server LDAP remoto. (Se a qualcuno interessa...)

In questo caso, ho provato a effettuare il backport del pacchetto python-ldap da stretch (2.4.28-0.1) su Ubuntu (versione 3.0.0-1), senza ulteriori risultati.
Ho anche impostato il servizio samba-syncpassword su debuglevel=10 per saperne di più.

Ecco la traccia completa:

Codice: Seleziona tutto

Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: lpcfg_servicenumber: couldn't find ldb
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: ERROR(exception): uncaught exception - ERROR: 1 - cn=Thomas Dupont,ou=Clients,dc=remotedomain,dc=lan
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Traceback (most recent call last):
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/opt/syncpwd.py", line 64, in <module>
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     set_user_password(ldap_destination, user['sAMAccountName'], user['password'])
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/opt/syncpwd.py", line 50, in set_user_password
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     ldap_destination.modify_s(dn, ldif)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 629, in modify_s
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     return self.modify_ext_s(dn,modlist,None,None)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 602, in modify_ext_s
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 749, in result3
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     resp_ctrl_classes=resp_ctrl_classes
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 756, in result4
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 329, in _ldap_call
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     reraise(exc_type, exc_value, exc_traceback)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 313, in _ldap_call
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     result = func(*args,**kwargs)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: ldap.OTHER: {'desc': u'Other (e.g., implementation specific) error'}
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     return self.run(*args, **kwargs)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/samba/netcmd/user.py", line 2281, in run
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     sync_loop(wait)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/samba/netcmd/user.py", line 2170, in sync_loop
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     dirsync_loop()
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/samba/netcmd/user.py", line 2147, in dirsync_loop
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     handle_object(ri, r)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/samba/netcmd/user.py", line 1964, in handle_object
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     run_sync_command(obj.dn, ldif)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/samba/netcmd/user.py", line 1933, in run_sync_command
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     raise Exception("ERROR: %s - %s\n" % (res, reply))
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:21 2018: pid[4731]: Using cache_ldb[/var/lib/samba/private/user-syncpasswords-cache.ldb]
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:21 2018: pid[4731]: currentPid: 4731
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:21 2018: pid[4731]: Wait before connect - sleep(1)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: Connecting to 'ldapi:///var/lib/samba/private/ldap_priv/ldapi'
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: Resuming monitoring
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: dirsyncFilter: (&(objectClass=user)(userAccountControl:1.2.840.113556.1.4.803:=512)(!(sAMAccountName=krbtgt*)))
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: dirsyncControls: ['dirsync:1:0:0:TVNEUwMAAACAmlevZ5HUAQAAAAAAAAAAoAAAAEnQAAAAAAAAAAAAAAAAAABJ0AAAAAAAAIzV6KNOBVBGkH8wcdL4YbEBAAAAAAAAAAYAAAAAAAAAjNXoo04FUEaQfzBx0vhhsUnQAAAAAAAAAiZpGzM1hUKp/pa8km+OEANyCAAAAAAAOYtMZ5FpwE+BYxhasmoMpkNuBwAAAAAA1WFydNCQ10eFOIIMdBpXTLHZCAAAAAAAkjvogTKirk2lnUjQTB/7g7yWAAAAAAAAROqcq1Vng0K7L30S0XzA5hc6BwAAAAAA', 'extended_dn:1:0']
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: syncCommand: /opt/syncpwd.py
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: dirsync_loop(): results 1
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: # Dirsync[0] d95c335d-1c98-46be-a198-ad7d5de43e2c S-1-5-21-659298242-1763559122-495668692-1592
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: dn: <GUID=d95c335d-1c98-46be-a198-ad7d5de43e2c>;<SID=S-1-5-21-659298242-1763559122-495668692-1592>;CN=Thomas Dupont,CN=Users,DC=localdomain,DC=lan
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: pwdLastSet: 131890743129894340
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: objectGUID: d95c335d-1c98-46be-a198-ad7d5de43e2c
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: instanceType: 4
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: # supplementalCredentials::: REDACTED SECRET ATTRIBUTE
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: # unicodePwd::: REDACTED SECRET ATTRIBUTE
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: # dBCSPwd::: REDACTED SECRET ATTRIBUTE
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: # Passwords[0] d95c335d-1c98-46be-a198-ad7d5de43e2c S-1-5-21-659298242-1763559122-495668692-1592
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: # attrs=['dn', 'objectGUID', 'sAMAccountName', 'virtualClearTextUTF8', 'virtualSSHA']
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: Call Popen[/opt/syncpwd.py] for CN=Thomas Dupont,CN=Users,DC=localdomain,DC=lan
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: cn=Thomas Dupont,ou=Clients,dc=remotedomain,dc=lan
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Traceback (most recent call last):
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/opt/syncpwd.py", line 64, in <module>
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     set_user_password(ldap_destination, user['sAMAccountName'], user['password'])
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/opt/syncpwd.py", line 50, in set_user_password
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     ldap_destination.modify_s(dn, ldif)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 629, in modify_s
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     return self.modify_ext_s(dn,modlist,None,None)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 602, in modify_ext_s
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 749, in result3
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     resp_ctrl_classes=resp_ctrl_classes
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 756, in result4
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 329, in _ldap_call
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     reraise(exc_type, exc_value, exc_traceback)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:   File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 313, in _ldap_call
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]:     result = func(*args,**kwargs)
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: ldap.OTHER: {'desc': u'Other (e.g., implementation specific) error'}
Dec 12 08:45:22 p-smb-01 samba-syncpasswords[4731]: Wed Dec 12 08:45:22 2018: pid[4731]: RESULT: 1
Dec 12 08:45:22 p-smb-01 systemd[1]: samba-syncpasswords.service: Main process exited, code=exited, status=255/n/a
Dec 12 08:45:22 p-smb-01 systemd[1]: samba-syncpasswords.service: Failed with result 'exit-code'.
Dec 12 08:45:23 p-smb-01 systemd[1]: samba-syncpasswords.service: Service hold-off time over, scheduling restart.

Ecco anche le versioni dei pacchetti utilizzati:

Codice: Seleziona tutto

python-gpgme                          0.3-1.2 (backporté depuis debian)
python-ldap                           3.0.0-1
python-samba                          2:4.7.6+dfsg~ubuntu-0ubuntu2.5    amd64        Python bindings for Samba
samba                                 2:4.7.6+dfsg~ubuntu-0ubuntu2.5    amd64        SMB/CIFS file, print, and login server for Unix
samba-common                          2:4.7.6+dfsg~ubuntu-0ubuntu2.5    all          common files used by both the Samba server 
tis-sysvolsync                        0.2.2                             amd64        Install a sync process for samba4 sysvol directory using syncthing tool.

python --version
Python 2.7.15rc1

giulinux · 12 dicembre 2018 - 11:14

Rispondendomi, l'eccezione era dovuta semplicemente al fatto che l'LDAP remoto non poteva più scrivere (partizione completa...)