Samba4 Acesso Denied para compartilhamento netlogon

stefaniobrunhara
(usa CentOS)

Enviado em 19/08/2016 - 17:52h

Ola!

Fiz uma instalação do samba4 e tudo funcionou perfeito, criei minhas gpos, criei um logscript para mapear minha unidade, etc... porém agora o login script mapeaH.bat que eu criei dentro do netlogon não esta mais acessível, não mudei nada no servidor. As configurações que fiz acima fiz pelo RSAT, e chegou a funcionar.

Então tentei abrir o netlogon manualmente pelo explorer, percebi que não tem mais o acesso leitura neste compartilhamento.

Alguém sabe me dizer o que pode ter acontecido ?

ricardodru
(usa CentOS)

Enviado em 22/08/2016 - 15:05h

Prezado estefaniobrunha ;

Analise estas informações:

Somente os domains admins precisam de acesso de escrita nesta pasta. Os demais é somente leitura.
Quais as permissões da pasta netlogon ?

Poste a parte do smb.conf que compartilha o netlogon e sysvol.
Informe o resultado dos comandos abaixo:

getfacl /usr/local/samba/var/locks/sysvol/domain.local/scripts
getfacl /usr/local/samba/var/locks/sysvol

getent group "DOMAIN\Domain Admins"
ou
getent group "Domain Admins"

stefaniobrunhara
(usa CentOS)

Enviado em 22/08/2016 - 20:05h

Ola Ricardo!

Não estou com acesso ao servidor hoje, assim que tiver, faço o que você me pediu! Sei que somente o administrator dever ter acesso de escrita, foi como falei acima, não tenho acesso de leitura, se não tenho leitura não tem como a estação ler o mapeaH.bat.

O estranho é que eu tinha isto, porém de uma hora para outra não tive mais. Não foi alterado nada no servidor, eu simplesmente instalei o servidor em uma maquina dell R230, fiz todos os teste, usando estações virtuais e funcionou tudo certinho, então desliguei o servidor e ele ficou uns 15 dias desligado, quando foi fazer a instalação definitiva, apresentou este problema. Dos usuários autenticado não terem leitura no netlogon, o restante continuou funcionando normal.

henriqueps
(usa Ubuntu)

Enviado em 24/08/2016 - 14:04h

No smb.conf, verifique se o parametro existe o parametro "read only = no" na sessão no netlogon.

stefaniobrunhara
(usa CentOS)

Enviado em 24/08/2016 - 18:37h

Sim, existe este parâmetro, se não nunca teria funcionado, como falei no início do post, já funcionou por uns 15 dias tudo certinho. Mas só vou ter acesso a este servidor esta semana, estou sem internet para acessa-lo hoje,ai posto isto para confirmar.

stefaniobrunhara
(usa CentOS)

Enviado em 29/08/2016 - 16:28h

Desculpe a demora Ricardodru !!!

vim /usr/local/samba/etc/smb.conf

# Estefanio Brunhara
# Global parameters
[global]
workgroup = SOMAX
realm = SOMAX.LOCAL
netbios name = SBH0DC01
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
idmap_ldb:use rfc2307 = yes
time server = yes

[netlogon]
path = /usr/local/samba/var/locks/sysvol/somiti.local/scripts
read only = No
guest ok = yes

[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No

[Arquivos]
path = /home/samba/Arquivos
read only = No
#rowseable = No

#############
getfacl /usr/local/samba/var/locks/sysvol/somax.local/scripts
getfacl: Removing leading '/' from absolute path names
# file: usr/local/samba/var/locks/sysvol/somax.local/scripts
# owner: 3000010
# group: users
user::rwx
user:3000000:rwx
user:3000010:rwx
user:3000022:r-x
user:3000024:rwx
user:3000028:r-x
group::rwx
group:3000000:rwx
group:3000022:r-x
group:3000024:rwx
group:3000028:r-x
mask::rwx
other::r-x
default:user::rwx
default:user:3000000:rwx
default:user:3000010:rwx
default:user:3000022:r-x
default:user:3000024:rwx
default:user:3000028:r-x
default:group::r-x
default:group:3000000:rwx
default:group:3000022:r-x
default:group:3000024:rwx
default:group:3000028:r-x
default:mask::rwx
default:other::r-x

####################

getfacl /usr/local/samba/var/locks/sysvol
getfacl: Removing leading '/' from absolute path names
# file: usr/local/samba/var/locks/sysvol
# owner: 3000010
# group: 3000000
user::rwx
user:3000000:rwx
user:3000001:r-x
user:3000002:rwx
user:3000003:r-x
user:3000010:rwx
group::rwx
group:3000000:rwx
group:3000001:r-x
group:3000002:rwx
group:3000003:r-x
mask::rwx
other::---
default:user::rwx
default:user:3000000:rwx
default:user:3000001:r-x
default:user:3000002:rwx
default:user:3000003:r-x
default:user:3000010:rwx
default:group::---
default:group:3000000:rwx
default:group:3000001:r-x
default:group:3000002:rwx
default:group:3000003:r-x
default:mask::rwx
default:other::---

#######

getent group "SOMAX\Domain Admins"

em banco o resultado

Carlos_Cunha
(usa Linux Mint)

Enviado em 29/08/2016 - 22:21h

Teste isso:

To reset wrong Sysvol ACLs, run:
# samba-tool ntacl sysvolreset

To reset all well known ACLs in the directory, run:
# samba-tool dbcheck --cross-ncs --reset-well-known-acls --fix

To fix errors in the Active Directory (AD) database, run:
# samba-tool dbcheck --cross-ncs --fix

#-------------------------------------------------------------------------------------#

"Linux is cool"

ricardodru
(usa CentOS)

Enviado em 30/08/2016 - 17:19h

Estranho é que não retorna os grupos/users do domínio.

Poste o resultado dos comandos abaixo:

# wbinfo -u
# wbinfo -g
# wbinfo -p
# wbinfo -P
# net ads info

Se os resultados forem longos, você resumi-los.
E também, pode ocultar o nome da empresa (nome do domínio).

stefaniobrunhara
(usa CentOS)

Enviado em 30/08/2016 - 18:31h

O comando "getent group" somente retorna todos os grupos que estão no /etc/group, agora com pararamento getent group "SOMAX\Domain Admins" ou getent group "Domain Admins". Vem em branco mesmo, ai vem a pergunta, este getent trabalha com a base do samba4?




#wbinfo -u
Error looking up domain users
# wbinfo -g
failed to call wbcListGroups: WBC_ERR_WINBIND_NOT_AVAILABLE
Error looking up domain groups
# wbinfo -p
Ping to winbindd failed
could not ping winbindd!
# wbinfo -P
checking the NETLOGON dc connection failed
failed to call wbcPingDc: WBC_ERR_WINBIND_NOT_AVAILABLE
Could not ping our DC

# net ads info
ads_connect: No logon servers
ads_connect: No logon servers
Didn't find the ldap server!

# /etc/init.d/samba4 status
samba (pid 2255 2254 2253 2252 2251 2250 2249 2248 2247 2246 2244 2243 2127) está em execução...

stefaniobrunhara
(usa CentOS)

Enviado em 30/08/2016 - 18:37h

]# /usr/local/samba/bin/samba-tool dbcheck --cross-ncs --reset-well-known-acls --fix
Checking 3534 objects
Reset nTSecurityDescriptor on DC=somax,DC=local back to provision default?
Part dacl is different between reference and current here is the detail:
(D;;DC;;;WD) ACE is not present in the reference
[y/N/all/none] y
Fixed attribute 'nTSecurityDescriptor' of 'DC=somax,DC=local'

Checked 3534 objects (1 errors)

Como falei o servidor esta remoto, vou pedir par alguém fazer teste e depois retorno se deu certo ou não.

ricardodru
(usa CentOS)

Enviado em 31/08/2016 - 08:11h

Estefaniobrunha:
Você está com problemas de autenticação e Winbind. Ele não está rodando.
Os comandos não reconhecem os usuários/grupos e serviços do DC.
Primeiramente, faça um troubleshooting nos serviços que compõe o do Samba 4:

https://wiki.samba.org/index.php/Samba_AD_DC_Troubleshooting

stefaniobrunhara
(usa CentOS)

Enviado em 31/08/2016 - 11:30h

OK, vou fazer os teste! Somente lembrando, este servidor está em produção, e tudo funciona perfeitamente, somente o login script não funciona, então deduzi que a falta de acesso ao compartilhamento netlogon e o causador deste problema.

Provisoriamente eu mapeie o compartilhamento dos arquivos manualmente.

Obrigado!