skip to Main Content

Un cliente con dominio gestito da nethservice (8 migrato da 7) in occasione del rinnovo delle password degli utenti in scadenza ha bloccato l’accesso al dominio a tutti.

La situazione attuale è che i pc accedono al dominio solo con il cavo di rete staccato (usando le credenziali in cache?) e poi riattaccando il cavo usava le credenziali giuste per accedere alle risorse samba e tutto “funziona”.

secretstdb e smbpasswd sembrano a posto. non ci sono templates custom o errori evidenti su samba.

Guardando gli utenti e gruppi dei pc vengono fuori i Sid invece del nome vero del gruppo (es domain admins) che sono costruiti SidDominio-IdUtente (il fatto che si veda il sid invece del dominio fa pensare a qualcosa di sballato nella gestione del dominio)

il sid sul pc risulta: S-1-5-21-1220978968-2208724649-3457064954-ID_Utente

guardando il sid del dominio su nethservice

[root@mail samba]# net getlocalsid

SID for local machine MAIL is: S-1-5-21-2999044842-2474619966-2997026567

[root@mail samba]# net getdomainsid

SID for domain ROSSI is: S-1-5-21-2999044842-2474619966-2997026567

si ottiene come risposta un sid diverso da quello riportato sul client, questo conferma che si è disallineato il sid. come mai? come possibile?

va indagato, a memoria c’e’ un evento che testa il risultato di net rpc getsid (o net getdomainsid) e se non esiste lo crea, ma è relativa a cambi di dominio o cose varie. niente di ciò dicono di aver fatto.

per sistemare ho forzato su nethservice il sid trovato sul pc :

[root@mail samba]# net setlocalsid S-1-5-21-1220978968-2208724649-3457064954

[root@mail samba]# net setdomainsid S-1-5-21-1220978968-2208724649-3457064954
a questo punto va anche verificato il mapping degli utenti locali con i sid:
[root@mail samba]# net groupmap  list
Gruppo per Gestione NethAudit (S-1-5-21-2999044842-2474619966-2997026567-11003) -> nauditmanager
Gruppo Gestione NethRestore (S-1-5-21-2999044842-2474619966-2997026567-11005) -> nethrestore
Gruppo NethVoice Manager (S-1-5-21-2999044842-2474619966-2997026567-11067) -> voicemanager
Gruppo Queue Manager (S-1-5-21-2999044842-2474619966-2997026567-11069) -> queuemanager
Gruppo per Gestione FaxWeb (S-1-5-21-2999044842-2474619966-2997026567-11063) -> faxmanager
Mario Rossi (S-1-5-21-2999044842-2474619966-2997026567-11017) -> daniele
Domain Admins (S-1-5-21-2999044842-2474619966-2997026567-512) -> admin
IGiuseppe Verdi (S-1-5-21-2999044842-2474619966-2997026567-11019) -> ivano

….

che ovviamente risulta sballato.
Per sistemarlo usiamo l’evento (unico) che lavora sul sid e fa proprio questo:
[root@mail samba]# /etc/e-smith/events/actions/update-domain-group-maps
così sembra tutto funzionare, ma il mistero è fitto… vediamo se qualcuno trova il bug o riesce a fare un’ipotesi credibile.
 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back To Top