Автор Тема: Winbind возвращает не все группы пользователя (Прочитано 6038 раз)

Cancer · « : 04 Марта 2013, 14:37:34 »

Доброго времени суток!
Стоит Ubuntu Server 12.04.2 Samba 3.6.3/ Файловый сервер с авторизацией в АД WinServ2003
такая проблема.
Winbind через время перестает видеть некоторые группы у пользователя.
Проблемы выявил так, у пользователей пропадал доступ к каталогам на который был доступ ГРУППЕ. Пермишены правлю через ACL с винды.
Было вот так.

Код: [Выделить]

cancer@dataserv:~$ id user
uid=10355(user) gid=10014(администраторы домена) groups=10014(администраторы домена),10037(debugger users),
10027(проекты),10036(sqlserver2005mssqluser$bdc$microsoft##ssee),10035(sqlserver2005msfteuser$bdc$microsoft##ssee),
10034(sqlserver2005mssqluser$bdc$root),10033(sqlserver2005mssqlserveradhelperuser$bdc),10032(sqlserver2005sqlbrowseruser$bdc),
10007(пользователи домена),10008(everyone),10013(отдел ит),1000(conan),1001(BUILTIN\users)

Стало вот так.

Код: [Выделить]

cancer@dataserv:~$ id user
uid=10355(user) gid=10014(администраторы домена) groups=10014(администраторы домена),10013(отдел ит),
10008(everyone),10007(пользователи домена),1000(conan),1001(BUILTIN\users)

Хотя если посмотреть вот так

Код: [Выделить]

root@dataserv:/run/samba/smb_krb5# getent group | grep проекты
проекты:x:10027:testov,pupkin,user

Смотрим так, не видно группы проекты с GID 10027

Код: [Выделить]

root@dataserv:/run/samba/smb_krb5# wbinfo -r user
10014
10013
10008
10007
1000
1001

Помогает на время след. действие из /var/cache/samba удалить (browse.dat, netsamlogon_cache.tdb, printing, winbindd_cache.tdb), выгнать и загнать файловый сервер в домен.

На виртуалке настроил тестовый сервер, все точно так же, но там все отлично работает!

Конфиг самбы

Код: [Выделить]

#======================= Global Settings =====================================
[global]
workgroup               = MYDOMAIN
server string           = Файловый Сервер
security                = ADS
hosts allow             = 192.168. 10.10.100. 10.10.101. 127.
netbios name            = dataserv
debug                   = yes
log level               = 3
log file                = /var/log/samba/log.%m
max log size            = 500
# WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
#password server         = pdc, bdc, whpdc
realm                   = MYDOMAIN.DMZ
dns proxy               = no
#template homedir       = /hdd0/HomeFolders/%U
defer sharing violations = false
template shell          = /bin/bash
## Отключение отображения принтеры и факсы
load printers           = no
show add printer wizard = no
#printing               = none
printcap name           = /dev/null
disable spoolss         = yes
winbind uid             = 10000-250000
winbind gid             = 10000-250000
winbind use default domain = yes
winbind enum users      = yes
winbind enum groups     = yes

#============================ Share Definitions ==============================

[K]
comment                 = Общий диск
path                    = /hdd0/K
admin users             = MYDOMAIN\cancer, MYDOMAIN\administrator
vfs objects             = acl_xattr recycle full_audit
read only               = no
browsable               = yes
acl map full control    = false
inherit acls            = yes
map acl inherit         = yes
map read only           = Permissions
map archive             = no
map hidden              = no
map system              = no
nt acl support          = yes
acl group control       = true
dos filemode            = yes
#enable privileges       = yes
store dos attributes    = yes
recycle:repository      = /hdd0/trash/%S
recycle:keeptree        = yes
recycle:touch           = yes
recycle:touch_mtime     = yes
recycle:version         = yes
recycle:maxsize         = 0
recycle:exclude         = *.TMP *.tmp *.mp3 *.MP3 *.wma *.WMA *.wmv *.WMV *.avi *.AVI *.mpg *.MPG *.mpeg *.MPEG *.m3u *.M3U
recycle:directory_mode  = 0770
recycle:versions        = yes
recycle:minsize         = 1
full_audit:prefix       = share=%S; id=%U; ip=%I -->
full_audit:success      = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure      = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority     = INFO

[Корзина]
comment                 = Корзина
path                    = /hdd0/trash
read list               = "@MYDOMAIN\Администраторы домена"
write list              = "@MYDOMAIN\Администраторы домена"
admin users             = "@MYDOMAIN\Администраторы домена"
browseable              = no

вот лог /var/log/samba/log.winbindd в то время как я выполняю id user

Код: [Выделить]

[2013/03/04 14:34:02.672463,  3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
  [22878]: request interface version
[2013/03/04 14:34:02.672556,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [22878]: request location of privileged pipe
[2013/03/04 14:34:02.672682,  3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam user
[2013/03/04 14:34:02.672971,  3] winbindd/winbindd_getpwuid.c:47(winbindd_getpwuid_send)
  getpwuid 10355
[2013/03/04 14:34:02.673155,  3] winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 10014
[2013/03/04 14:34:02.676567,  3] winbindd/winbindd_getgroups.c:61(winbindd_getgroups_send)
  getgroups user
[2013/03/04 14:34:02.678320,  3] winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 10014
[2013/03/04 14:34:02.678649,  3] winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 10013
[2013/03/04 14:34:02.682648,  3] winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 10008
[2013/03/04 14:34:02.686168,  3] winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 10007
[2013/03/04 14:34:02.689123,  3] winbindd/winbindd_getgrgid.c:50(winbindd_getgrgid_send)
  getgrgid 1001

Помогите, может кто нибудь сталкивался с данной проблемой ?
Нашел похожую проблему тут http://www.linux.org.ru/forum/admin/6616609, но там так и не решили проблемы

angul · « **Ответ #1 :** 06 Марта 2013, 07:46:58 »

Что выдает команда testparm?

И ещё тебе нужно строки

Код: [Выделить]

winbind uid = 10000-250000
winbind gid = 10000-250000

заменить на

Код: [Выделить]

idmap config * : range = 10000-250000
idmap config * : backend = tdb

Дело в том, что в новых версиях Samba эти параметры устарели.
P.S. У тебя действительно 240 тыс. пользователей и групп?

Cancer · « **Ответ #2 :** 07 Марта 2013, 09:19:53 »

Цитата: angul от 06 Марта 2013, 07:46:58

Что выдает команда testparm?

И ещё тебе нужно строки
Код: [Выделить]
winbind uid = 10000-250000 winbind gid = 10000-250000заменить на
Код: [Выделить]
idmap config * : range = 10000-250000 idmap config * : backend = tdb
Дело в том, что в новых версиях Samba эти параметры устарели.
P.S. У тебя действительно 240 тыс. пользователей и групп?

Ну пользователей у меня не 240 тысяч )

вот вывод testparm

Код: [Выделить]

cancer@dataserv:~$ testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[HomeFolders]"
Processing section "[K]"
Processing section "[X]"
Processing section "[Корзина]"
Processing section "[Revizor]"
Processing section "[Backup]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

В субботу попробую.

Код: [Выделить]

idmap config * : range = 10000-250000
idmap config * : backend = tdb

angul · « **Ответ #3 :** 07 Марта 2013, 11:57:01 »

Цитата: Cancer от 07 Марта 2013, 09:19:53

вот вывод testparm
Код: [Выделить]
cancer@dataserv:~$ testparm Load smb config files from /etc/samba/smb.conf Processing section "[HomeFolders]" Processing section "[K]" Processing section "[X]" Processing section "[Корзина]" Processing section "[Revizor]" Processing section "[Backup]" Loaded services file OK. WARNING: You have some share names that are longer than 12 characters. These may not be accessible to some older clients. (Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.) Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions

А чего же enter то не нажал? Это не полный вывод команды testparm
Ну и 250000 замени на 20000, этого, я думаю, за глаза хватит.

Cancer · « **Ответ #4 :** 07 Марта 2013, 12:17:01 »

Код: [Выделить]

cancer@dataserv:~$ testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[HomeFolders]"
Processing section "[K]"
Processing section "[X]"
Processing section "[Корзина]"
Processing section "[Revizor]"
Processing section "[Backup]"
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        workgroup = MYDOMAIN
        realm = MYDOMAIN.DMZ
        server string = Файловый Сервер
        security = ADS
        log file = /var/log/samba/log.%m
        max log size = 500
        defer sharing violations = No
        load printers = No
        printcap name = /dev/null
        disable spoolss = Yes
        show add printer wizard = No
        dns proxy = No
        template shell = /bin/bash
        winbind cache time = 60
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        idmap config * : range = 10000-250000
        idmap config * : backend = tdb
        hosts allow = 192.168., 10.10.100., 10.10.101., 127.

[HomeFolders]
        comment = Private Folders %D
        path = /hdd0/HomeFolders
        admin users = MYDOMAIN\afanasiev, MYDOMAIN\administrator
        read only = No
        acl group control = Yes
        acl map full control = No
        inherit acls = Yes
        map acl inherit = Yes
        veto files = /*.avi/*.wav/*.wma/*.wmv/*.mp*/
        map archive = No
        map readonly = permissions
        store dos attributes = Yes
        dos filemode = Yes
        vfs objects = acl_xattr, recycle, full_audit
        full_audit:priority = INFO
        full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:prefix = share=%S; id=%U; ip=%I -->
        recycle:minsize = 1
        recycle:versions = yes
        recycle:directory_mode = 0770
        recycle:exclude = *.TMP *.tmp *.mp3 *.MP3 *.wma *.WMA *.wmv *.WMV *.avi *.AVI *.mpg *.MPG *.mpeg *.MPEG *.m3u *.M3U
        recycle:maxsize = 0
        recycle:version = yes
        recycle:touch_mtime = yes
        recycle:touch = yes
        recycle:keeptree = yes
        recycle:repository = /hdd0/trash/%S

[K]
        comment = Общий диск
        path = /hdd0/K
        admin users = MYDOMAIN\afanasiev, MYDOMAIN\administrator
        read only = No
        acl group control = Yes
        acl map full control = No
        inherit acls = Yes
        map acl inherit = Yes
        map archive = No
        map readonly = permissions
        store dos attributes = Yes
        root preexec = /bin/sh -c '/usr/SCRIPTS/create_user_data_subdir.sh %U'
        dos filemode = Yes
        vfs objects = acl_xattr, recycle, full_audit
        full_audit:priority = INFO
        full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:prefix = share=%S; id=%U; ip=%I -->
        recycle:minsize = 1
        recycle:versions = yes
        recycle:directory_mode = 0770
        recycle:exclude = *.TMP *.tmp *.mp3 *.MP3 *.wma *.WMA *.wmv *.WMV *.avi *.AVI *.mpg *.MPG *.mpeg *.MPEG *.m3u *.M3U
        recycle:maxsize = 0
        recycle:version = yes
        recycle:touch_mtime = yes
        recycle:touch = yes
        recycle:keeptree = yes
        recycle:repository = /hdd0/trash/%S

[X]
        comment = Общий диск
        path = /hdd0/X
        admin users = MYDOMAIN\afanasiev, MYDOMAIN\administrator
        read only = No
        acl group control = Yes
        acl map full control = No
        inherit acls = Yes
        map acl inherit = Yes
        map archive = No
        map readonly = permissions
        store dos attributes = Yes
        root preexec = /bin/sh -c '/usr/SCRIPTS/create_user_data_subdir.sh %U'
        dos filemode = Yes
        vfs objects = acl_xattr, full_audit
        full_audit:priority = INFO
        full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:prefix = share=%S; id=%U; ip=%I -->

[Корзина]
        comment = Корзина
        path = /hdd0/trash
        admin users = "@MYDOMAIN\Администраторы домена"
        read list = "@MYDOMAIN\Администраторы домена"
        write list = "@MYDOMAIN\Администраторы домена"
        browseable = No

[Revizor]
        comment = Склад
        path = /hdd0/revizor
        admin users = MYDOMAIN\afanasiev, MYDOMAIN\administrator
        read only = No
        acl group control = Yes
        acl map full control = No
        inherit acls = Yes
        map acl inherit = Yes
        map archive = No
        map readonly = permissions
        store dos attributes = Yes
        dos filemode = Yes
        vfs objects = acl_xattr

[Backup]
        comment = Backups
        path = /hdd0/Backup
        admin users = MYDOMAIN\afanasiev, MYDOMAIN\administrator
        read only = No
        acl group control = Yes
        acl map full control = No
        inherit acls = Yes
        map acl inherit = Yes
        map archive = No
        map readonly = permissions
        store dos attributes = Yes
        dos filemode = Yes
        vfs objects = acl_xattr

Cancer · « **Ответ #5 :** 11 Марта 2013, 13:29:52 »

Удалил /var/cache/samba/* и /var/lib/samba/*
Указал в конфиге

Код: [Выделить]

idmap config * : range  = 10000-20000
idmap config * : backend = tdb

Помогло на время, так же.

Мало того еще и все uid и gid поменялись, пришлось права в спешке выставлять по новой.

Пользователь решил продолжить мысль 11 Марта 2013, 17:18:36:

В следующую субботу опять буду пробовать, думаю удалить через purge и установить заново, может поможет.

YOreG · « **Ответ #6 :** 21 Октября 2014, 09:06:33 »

Продолжу, что бы не плодить похожие темы.
На конфигурации системы такой же как у топикстартера, происходят такие же проблемы.
ID user не показывает все группы, пока не удалишь файлики.
После удаления посмотрю что будет, пропадут ли опять?

ArcFi · « **Ответ #7 :** 21 Октября 2014, 21:35:14 »

Посмотрите вот эти параметры:

Код: [Выделить]

man smb.conf | grep '^ *winbind'

Форум русскоязычного сообщества Ubuntu

Автор Тема: Winbind возвращает не все группы пользователя (Прочитано 6038 раз)

Cancer

Winbind возвращает не все группы пользователя

angul

Re: Winbind возвращает не все группы пользователя

Cancer

Re: Winbind возвращает не все группы пользователя

angul

Re: Winbind возвращает не все группы пользователя

Cancer

Re: Winbind возвращает не все группы пользователя

Cancer

Re: Winbind возвращает не все группы пользователя

YOreG

Re: Winbind возвращает не все группы пользователя

ArcFi

Re: Winbind возвращает не все группы пользователя