În configurarea unui nou server de fișiere Linux Samba ca membru AD, continui să întâmpin o problemă cu autentificarea.
Se pare că este declanșat de rularea cu selinux în modul de aplicare după alăturarea AD, dar nu dispare dacă opresc selinux cu setenforce 0 sau reporniți cu SELINUX=permisiv în configurația selinux - cel puțin nu pentru o oră și ceva.
Pe primul VM de test am configurat cu aceeași distribuție, pași de configurare și actualizări, a funcționat OK în mod constant, dar acum mă confrunt cu această problemă de autentificare cu serverul pe care îl configurez pentru producție.
Acesta este pe Rocky Linux 8.5 și Samba 4.14.5
smb.conf are în mare parte setări implicite în [global] și am configurat un [testshare] public
[global]
securitate = reclame
passdb backend = tdbsam
printing = cupe
printcap nume = cupe
încărcare imprimante = nr
opțiuni cupe = crud
metoda kerberos = secrete și keytab
șablon homedir = /home/%U@%D
shell de șablon = /bin/bash
idmap config ADOMIN: interval = 2000000-2999999
idmap config ADOMIN: backend = rid
idmap config *: interval = 10000-999999
idmap config *: backend = tdb
winbind folosește domeniul implicit = da
winbind refresh tickets = da
conectare offline winbind = da
# Permiteți accesul invitaților pentru partajare publică fără parolă
map to guest = utilizator prost
# acestea ar trebui setate la no pentru utilizarea produselor
winbind enum groups = da
winbind enumerare utilizatori = da
# Ajustări Mac pentru ACL-uri
map acl inherit = Da
store dos attributes = Da
# Ajustări Mac pentru furculițele Apple Resource
obiecte vfs = fructe streams_xattr
fruct:aapl = yes
fruct:mașina timpului = nr
fruct:resource = xattr
fruit:nfs_aces = nr
fruit:model = MacSamba
grup de lucru = ADOMIN
tărâm = ADOMIN.LAN
[testshare]
cale = /mnt/data01/smb/testshare
browsable =da
inscriptibil = da
invitat ok = da
numai citire = nu
alăturarea domeniului a fost făcută cu
realm join --membership-software=samba --client-software=winbind adomain.lan
Auth Kerberos continuă să funcționeze OK
utilizator wbinfo -K
Funcționează și acesta
getent passwd ADOMIN\utilizator
Dar următoarele eșuează
smbclient -L localhost -U guest%
wbinfo -un utilizator
smbclient -d 3 //localhost/testshare -U utilizator
Ultimul scuipă asta:
lp_load_ex: parametrii de reîmprospătare
Inițializarea parametrilor globali
rlimit_max: creșterea rlimit_max (1024) la limita minimă Windows (16384)
Secțiunea de procesare „[global]”
a adăugat interfață ens192 ip=10.18.100.102 bcast=10.18.103.255 netmask=255.255.252.0
Client a pornit (versiunea 4.14.5).
resolve_lmhosts: Se încearcă căutarea lmhosts pentru numele localhost<0x20>
Se conectează la 127.0.0.1 la portul 445
Introduceți parola utilizatorului ADOMIN:
Backend-ul GENSEC „gssapi_spnego” a fost înregistrat
Backend-ul GENSEC „gssapi_krb5” a fost înregistrat
Backend-ul GENSEC „gssapi_krb5_sasl” a fost înregistrat
GENSEC backend „spnego” a fost înregistrat
GENSEC backend „canal” înregistrat
Backend-ul GENSEC „naclrpc_as_system” a fost înregistrat
Backend-ul GENSEC „sasl-EXTERNAL” a fost înregistrat
Backend-ul GENSEC „ntlmssp” a fost înregistrat
Backend-ul GENSEC „ntlmssp_resume_ccache” a fost înregistrat
Backend-ul GENSEC „http_basic” a fost înregistrat
Backend-ul GENSEC „http_ntlm” a fost înregistrat
Backend-ul GENSEC „http_negotiate” a fost înregistrat
GSE la „localhost” nu are sens
Am steaguri de provocare:
Am primit NTLMSSP neg_flags=0x62898215
NTLMSSP: Setați steaguri finale:
Am primit NTLMSSP neg_flags=0x62088215
Semn/Sigiliu NTLMSSP - Inițializarea cu steaguri:
Am primit NTLMSSP neg_flags=0x62088215
Conectarea SPNEGO a eșuat: {Acces refuzat} Un proces a solicitat acces la un obiect, dar nu i s-au acordat acele drepturi de acces.
Configurarea sesiunii a eșuat: NT_STATUS_ACCESS_DENIED
În mod normal, jurnalul de audit nu arată nicio eroare AVC refuzată.Am încercat să dezactivez regulile dontaudit și am permis mesajelor refuzate AVC care au apărut, dar care nu au ajutat.
Trebuie să renunț la Selinux pentru a obține acest stabil? Alte sfaturi?
