Usuário samba AD/DC não consegue acessar compartilhamento da rede. [RESOLVIDO]

lourencomatrix
(usa Debian)

Enviado em 28/08/2024 - 12:59h

Bom dia a todos,
Configurei um servidor samba AD/DC no debia12(versão do samba 4.17.12). A máquina Windows consegue ingressar no domínio, mas ao acessar a pasta do usuário não tenho acesso, por exemplo:
/home/usuario.
Apenas tenho acesso quando aplico permissão total
chmod 777
O que reparei é que ao criar um arquivo da máquina windows ele não lista o usuário do Linux e sim um usuário do AD (acho que é) ver anexo.
Agradeço a ajuda e estou a disposição para possíveis questionamentos
obrigado

danniel-lara
(usa Fedora)

Enviado em 28/08/2024 - 17:56h

como esta o seu smb.conf ?

Carlos_Cunha
(usa Linux Mint)

Enviado em 28/08/2024 - 20:12h

Isso e pq vc não "mapeou" os usuarios do ADDC para ser utilizadois no sistema...



Porém duas coisas:

1 - Não é recomendado ter compartilhamentos de rede( a não ser do sistema como sysvol/etc) em um Samba 4 ADDC
2 - Não é recomendado fazer esse mapeamento de usuario no proprio servidor DC.

Ambas as coisas acima podem gerar problemas....



#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

lourencomatrix
(usa Debian)

Enviado em 29/08/2024 - 09:34h

bom dia, segue abaixo obrigado
[global]
workgroup = INTRANET
realm = INTRANET.CITRAIT.COM.BR
server role = active directory domain controller
netbios name = SRVAD
idmap_ldb:use rfc2307 = yes
dns forwarder = 8.8.8.8

[sysvol]
path = /var/lib/samba/sysvol
read only = No

[netlogon]
path = /var/lib/samba/sysvol/intranet.citrait.com.br/scripts
read only = No

[home]
writeable = yes
path = /home

lourencomatrix
(usa Debian)

Enviado em 29/08/2024 - 09:42h

bom dia tudo bem,
Pelo que vc explicou, então irei que ter dois servidores, sendo um ADDC e outro de arquivos (para o mapeamento das pastas), para não te problemas.
como o servidor de arquivos vai mapear os usuários do ADDC?
Essa configuração é feita no próprio smb.conf do servidor de arquivos?
Sou iniciante nesses serviços e estou com muitas dúvidas.

Carlos_Cunha
(usa Linux Mint)

Enviado em 29/08/2024 - 10:08h

1 - Sim, o Servidor ADDC não deve ser o fileserver, ele poderia ser, sim?!! Mas pode ocorrer varios problermas, então não e recomendado(inclusive isso e informado pelo poprio time de desenvolvimento so samba)
2 - A configuração será quase a mesma do link que passei poreḿ sera voltada para "membro de domonio" que sera seu fileserver



OBS: Isso lhe dara uma boa ideia do que esta fazendo e do pq das coisas, porém se vc instalou samba via repositorios , provavelmente tera que fazer as mesmas coias so que de forma diferente....

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

lourencomatrix
(usa Debian)

Enviado em 05/09/2024 - 13:46h

boa tarde,

Instalei em outra máquina o samba para o mapeamento das pastas, mas ao tentar acessar o file server o mesmo fica só pedindo autenticação.(ver anexo) o que poderia ser?
192.168.1.51 servidor AD
192.168.1. 44 servidor samba
192.168.1.57 máquina windows
PS: desculpe a demora mas só ontem conseguir montar a outra máquina.
Desde já agradeço a atenção.

lourencomatrix
(usa Debian)

Enviado em 06/09/2024 - 11:10h

Bom dia,

o comando getent passwd "INTRANET\lolo" não me retorna nada no meu servidor AD/DC o problema com as questões do usuários pode ser esse? No procedimento ao qual segui foi realizada a instalação do samba-ad-dc desabilitando o winbind pois estava causando conflito. Será que por isso não consigo autenticar os usuários do meu servidor AD no servidor de arquivos via smb.conf ?

Carlos_Cunha
(usa Linux Mint)

Enviado em 06/09/2024 - 11:49h

Opa!

A instalação do Samba para fileserver, não e mesma do samba para AD, ou melhor a configuração é diferente a instalação pode ser a mesma até....
Samba para fileserver ou simplementes ingressar uma estação no dominio, a configuração tem que ser a "membro de domonio", se vc esta dizendo que o winbind esta dando conflito e pq esta misturando samba AD com Samba membro de dominio.

Segue link para membro de dominio que é o que vc deseja configurar no seu Samba Fileserver.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

lourencomatrix
(usa Debian)

Enviado em 06/09/2024 - 13:04h

Boa tarde
Agradeço a atenção mais uma vez,
O meu cenário é:
Um servidor debian 12 com o samba-ad-dc ativo. (Servidor AD/DC)
Um servidor ubuntu 22.04 com samba kerberos e winbind ativo para fileserver
Máquinas clientes Windows.

Fiz todos esses passos que me enviou, ingressando a máquina fileserver(Linux) no AD. Vou enviar meus config do servidor samba file server. Se precisar mando o que fiz no Servidor AD/DC
SMB.CONF
# Global parameters
[global]
max log size = 50
realm = INTRANET.CITRAIT.COM.BR
security = ADS
server role = member server
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
workgroup = INTRANET
idmap config * : backend = tdb
idmap config * : range = 3000-7999
idmap config intranet:default = yes
idmap config intranet:range = 10000-9999999
idmap config intranet:backend = ad
idmap config intranet:schema_mode = rfc2307
idmap config intranet:unix_nss_info = yes
[home]
path = /home
read only = No


KRB5.CONF
[libdefaults]
default_realm = INTRANET.CITRAIT.COM.BR
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
INTRANET.CITRAIT.COM.BR={
kdc = srvad.intranet.citrait.com.br
admin_server = srvad.intranet.citrait.com.br

nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd: compat winbind
group: compat winbind
shadow: compat winbind
#gshadow: files
gshadow: compat winbind

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

Consigo ingressar as máquinas windows no domínio, porém ao acessar o servidor file server ubuntu o mesmo fica apenas pedindo autenticação do Dominio com anexo, até listo os usuários e grupos com o comando wbinfo -u no fileserver ubuntu.
Ao que me parece o fileserver não está conseguindo autenticar os usuários via samba ou winbind nas máquinas windows, lembrando que pode estar errado.
se puder me ajudar..

Carlos_Cunha
(usa Linux Mint)

Enviado em 06/09/2024 - 14:26h

Vc instalou esse biblioteca no Samba membro de domonio?



Sem ela o getent não funciona e se ele não funciona quer dizer que o S.O. não consegue listar as permissões de usuario.


Para testar o comando abaixo deve listar algo parecido, se não listar nada e pq ainda tem problemas:

getent passwd administrador

administrador:*:101628:100513::/home/administrador:/bin/bash

 

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

lourencomatrix
(usa Debian)

Enviado em 06/09/2024 - 14:33h

sim instalei, mas se digito essa saída etent group "INTRANET\Domain Users" não aparece nada.
ele apenas lista usuários locais