[closed - Neuinstallation] Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Probleme mit Samba, NFS, FTP und Co.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[closed - Neuinstallation] Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 10.08.2020 10:39:50

Guten Morgen zusammen,

ich benötige mal einen Gedankenanstoß. Ich habe vor ein paar Monaten einen Samba Server installiert. Dieser ist Mitglied eines Samba DC.
Wenn ich hier "wbinfo -u" oder "getent passwd" ausführe werden mir jeweils alle lokalen und domain user angezeigt.

Jetzt habe ich einen weiteren Samba Server installiert und habe eine Fehlermeldung bei setfacl erhalten. Hierbei habe ich festgestellt, dass die Fehlermeldung nur beim hinzufügen von Domain Usern angezeigt wird.
Ein "wbinfo -u" zeigt mir meine domain user an. Ein "getent passwd" zeigt nur lokale User.

Ich habe den Server eigentlich genau wie meinen ersten Samba eingerichtet. Ich habe auch schon folgende config files verglichen:

Code: Alles auswählen

/etc/resolve.conf
/etc/krb5.conf
/etc/samba/smb.conf
/etc/nsswitch.conf
/etc/pam.d/common-account
/etc/pam.d/common-auth
/etc/pam.d/common-session
Installiert habe ich bei beidenfolgende Pakete

Code: Alles auswählen

sudo apt install krb5-user libpam-krb5 winbind samba smbclient libnss-winbind libpam-winbind acl cifs
Ich befürchte, dass ich bei meinem ersten Samba Server etwas zusätzliches durchgeführt habe ohne dies in meinem Install File zu vermerken.

Wo könnte ich noch nachschauen weshalb mir die User nicht angezeigt werden?
Zuletzt geändert von joe2017 am 12.08.2020 10:33:17, insgesamt 1-mal geändert.

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 10.08.2020 13:51:20

moin,

poste doch mal die Fehlermeldung.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 09:06:58

Guten Morgen,

eine Fehlermeldung zu "getent passwd" gibt es nicht. Hier werden einfach nur die lokalen User aufgelistet.
Mit "wbinfo -u" erhalte ich die User das Samba DC.

Für "setfacl" müssen die User und Gruppen jedoch über "getent" erreichbar sein. Zumindest sieht das so für mich aus.
Die Meldung bei "setfacl" ist folgenden (wenn ich unser des Samba DC angebe)

Code: Alles auswählen

setfacl: Option -m: Das Argument ist ungültig bei Zeichen ...

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 10:02:31

Guten Morgen nochmal.

Jetzt bin ich etwas verwirrt! Kann es sein, dass dies ein zeitliches Problem ist?
getent passwd > nur lokale User
getent group > lokale und Samba Gruppen


Gestern wurde mir auch bei den Gruppen nichts angezeigt.
Kann man das irgendwie beschleunigen? Oder welche Möglichkeiten habe ich hier?

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 10:26:19

ich habe so in Erinnerung, dass bei setfacl die Reihenfolge in der Befehlszeile nicht unerheblich war, bei mir funktioniert das hier:

setfacl -R -m g:"domain admins":rwx /usr/daten/
setfacl -m g:"domain admins":rwx /usr/daten/

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 10:37:52

Das Problem ist ja nicht die Syntax. Diese stimmt.
Das Problem ist, dass die Syntax mit dem Benutzer nichts anfangen kann, weil dieser nicht bekannt ist.

Verwende ich meine Syntax mit einer Gruppe ("getent group" zeigt ja mittlerweile alle Samba DC Gruppen) verwende, funktioniert alles.
Mit "getfacl" sehe ich dann auch die soeben gesetzten Berechtigungen mit der Samba DC Gruppe.

Das Problem ist aktuell nur, dass meine Samba DC User (getent psswd) nicht angezeigt werden?

Anbei meine /etc/nsswitch.conf

Code: Alles auswählen

passwd:	files systemd winbind
group:	files systemd winbind

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 10:56:59

da hätte ich nur eine andere Reihenfolge:

passwd: compat winbind systemd
group: compat winbind systemd

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 11:04:44

Seblst wenn ich die Reihenfolge ändere (winbind files systemd), werden erst die Samba DC Groups und dann die Lakalen angezeigt.
Bei den Usern kommt erst mal kurz nichts und dann die Lokalen User.

Das ist doch eigentlich konfigurationstechnisch nicht möglich, dass ich Gruppen angezeigt bekomme und User nicht. Oder?
Zumindest nicht wenn man die nsswitch.conf so konfiguriert hat.

Ich bin echt ratlos aktuell?

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 12:19:29

hast du die Kiste zwischendurch neu gestartet?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 12:23:57

Selbstverständlich habe ich beide Samba Server neu gestartet.
Ich habe auch meinen Samba DC neu gestartet.

Ich habe mittlerweile auch schon den Cache erneuert

Code: Alles auswählen

sudo service winbind stop
sudo service smb stop
sudo net cache flush
sudo service smb start
sudo service winbind start
Was mich aktuell einfach wundert, dass meine Gruppen angezeigt werden und meine Benutzer nicht?

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 12:32:27

kannst du mal die smb.conf posten

dreh mal das samba loglevel hoch und mache ne abfrage, vielleicht kommt in den winbindd logs was verwertbares.

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 12:36:13

ich hatte mal nen memberserver der ständig gezickt hat, wenn benutzer auf die freigaben wollen, dem musste ich seinen DC wieder beibringen:

net rpc getsid -S >DC-FQDN<

seit dem ist ruhe

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 12:48:27

Anbei schon mal meine smb.conf

Code: Alles auswählen

[global]
  unix charset = UTF-8
  workgroup = DOMAIN
  realm = DOMAIN.NET
  security = ads
  idmap config * : backend        = tdb
  idmap config * : range          = 1000000-1999999
  idmap config MAIN : backend     = rid
  idmap config MAIN : range       = 5000000-5999999
  idmap config TRUSTED : backend  = rid
  idmap config TRUSTED : range    = 6000000-6999999
  winbind enum users = yes
  winbind enum groups = yes
  winbind cache time = 10
  winbind use default domain = yes
  template homedir = /home/%U
  template shell = /bin/bash
  client use spnego = yes
  client ntlmv2 auth = yes
  encrypt passwords = yes
  restrict anonymous = 2
  domain master = no
  local master = no
  preferred master = no
  os level = 0
  log file = /var/log/samba/log.%m
  max log size = 500
  log level = 1
Ich hatte gestern bereits einen neuen JOIN durchgeführt.

Code: Alles auswählen

sudo net ads leave -U USER@DOMAIN.NET
sudo net ads join -U USER@DOMAIN.NET
Es macht doch keinen Sinn, dass Gruppen gelistet werden und Benutzer nicht. Entweder habe ich einen Zugriff auf die Samba DC Datenbank oder nicht. Das sollte doch keinen Unterschied machen.
Nochdazu sind die Config Files auf meinem ersten Server die selben. Hier funktioniert ja alles bestens.

Auf jeden Fall schon mal ein rießiges Lob und Danke an das Forum.
Hier ist man immer gut aufgehoben. Mein Beitrag ist zwar nicht der größte, aber ich versuche immer etwas zurück zu geben mit meinen Lösungen oder Scripten

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 14:10:27

der join hatte bei mir damals nix gebracht. Deswegen der andere Befehl.


kann es sein dass da was fehlt?

dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab

winbind refresh tickets = yes

ich nutze das ad backend, meine Domäne heisst AD

idmap config AD:backend = ad
idmap config AD:schema_mode = rfc2307
idmap config AD:range = 10000-99999
idmap config AD : unix_nss_info = yes


ich vermisse bei dir den idmap Teil wo du deine DOMAIN.NET ansprichst.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 14:30:00

Hi feckelm,

ich habe meine Grundconfig von folgender Website (https://wiki.ubuntuusers.de/Samba_Winbind)
Ich spreche mein Domain mit * an:

Code: Alles auswählen

  idmap config * : backend        = tdb
  idmap config * : range          = 1000000-1999999
Ich habe bei meinem anderen Samba die selbe Config und hier werden Benutzer und Gruppen angezeigt.

Was macht dein Befehl genau?

Code: Alles auswählen

net rpc getsid -S >DC-FQDN<

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 11.08.2020 14:48:27

das

idmap config *:backend = tdb
idmap config *:range = 2000-9999

habe ich zusätzlich drin.

mit dem net rpc getsid -S >DC-FQDN< legst du die Daomain SID fest.

Bei mir ist das System auch im laufe der Zeit gewachsen, wenn es Probleme gibt versuche ich das aber immer mit der offiziellen Samba-Wiki abzugleichen.
Hier die Domain-Member Seite : https://wiki.samba.org/index.php/Settin ... ain_Member

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 11.08.2020 15:00:53

Ich habe mein Server noch mal von der Domain getrennt und einen neuen join durchgeführt.
Anschließend habe ich mit "getend group" auch keine Domain Gruppen mehr gesehen. Danach ein Neustarte und die Gruppen wurden wieder angezeigt.
Meine Domain User werden immer noch nicht angezeigt.

Ich habe soeben geprüft ob bei einem Server ein anderes Package installiert ist.
Bei beiden Servern sind die selben Packages installiert.

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 12.08.2020 06:27:15

schon komisch.

was sagen die logdateien, bei nem höheren loglevel?

feckelm
Beiträge: 37
Registriert: 24.07.2015 13:01:01

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von feckelm » 12.08.2020 10:11:27

ich bin der Meinung ohne die idmap config DEINEDOMAIN: Einträge sollte es nicht funktionieren.
https://wiki.samba.org/index.php/Idmap_config_ad

Wie verwaltest du deine user? mit RSAT? haben die unix-Attribute?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Samba Fileserver wbinfo -u funktioniert, getent passwd funktioniert nicht.

Beitrag von joe2017 » 12.08.2020 10:32:48

Also nach allem ausprobieren und suchen, habe ich den Server jetzt neu aufgesetzt.
Arbeitszeit 20 Minuten. Und jetzt funktioniert alles.

Mich stört aktuell das ich nicht weiß was der Fehler war, aber die Situation hat keinen Sinn ergeben.
In den Logfiles war auch nichts zu finden. Gruppen wurden angezeigt, Benutzer nicht. Das ist eigentlich unlogisch.

Auf jeden fall hab ich die Installation nach dem selben Script durchgeführt wie zuvor.
Ich hoffe einfach, dass dieses Problem nicht wieder auftritt.

Trotzdem danke an alle!

Antworten