fbpx
skip to Main Content

Un cliente con dominio gestito da nethservice (8 migrato da 7) in occasione del rinnovo delle password degli utenti in scadenza ha bloccato l’accesso al dominio a tutti.
La situazione attuale è che i pc accedono al dominio solo con il cavo di rete staccato (usando le credenziali in cache?) e poi riattaccando il cavo usava le credenziali giuste per accedere alle risorse samba e tutto “funziona”.
secretstdb e smbpasswd sembrano a posto. non ci sono templates custom o errori evidenti su samba.
Guardando gli utenti e gruppi dei pc vengono fuori i Sid invece del nome vero del gruppo (es domain admins) che sono costruiti SidDominio-IdUtente (il fatto che si veda il sid invece del dominio fa pensare a qualcosa di sballato nella gestione del dominio)
il sid sul pc risulta: S-1-5-21-1220978968-2208724649-3457064954-ID_Utente
guardando il sid del dominio su nethservice
[root@mail samba]# net getlocalsid
SID for local machine MAIL is: S-1-5-21-2999044842-2474619966-2997026567
[root@mail samba]# net getdomainsid

SID for domain ROSSI is: S-1-5-21-2999044842-2474619966-2997026567

si ottiene come risposta un sid diverso da quello riportato sul client, questo conferma che si è disallineato il sid. come mai? come possibile?
va indagato, a memoria c’e’ un evento che testa il risultato di net rpc getsid (o net getdomainsid) e se non esiste lo crea, ma è relativa a cambi di dominio o cose varie. niente di ciò dicono di aver fatto.
per sistemare ho forzato su nethservice il sid trovato sul pc :
[root@mail samba]# net setlocalsid S-1-5-21-1220978968-2208724649-3457064954

[root@mail samba]# net setdomainsid S-1-5-21-1220978968-2208724649-3457064954
a questo punto va anche verificato il mapping degli utenti locali con i sid:
[root@mail samba]# net groupmap  list
Gruppo per Gestione NethAudit (S-1-5-21-2999044842-2474619966-2997026567-11003) -> nauditmanager
Gruppo Gestione NethRestore (S-1-5-21-2999044842-2474619966-2997026567-11005) -> nethrestore
Gruppo NethVoice Manager (S-1-5-21-2999044842-2474619966-2997026567-11067) -> voicemanager
Gruppo Queue Manager (S-1-5-21-2999044842-2474619966-2997026567-11069) -> queuemanager
Gruppo per Gestione FaxWeb (S-1-5-21-2999044842-2474619966-2997026567-11063) -> faxmanager
Mario Rossi (S-1-5-21-2999044842-2474619966-2997026567-11017) -> daniele
Domain Admins (S-1-5-21-2999044842-2474619966-2997026567-512) -> admin
IGiuseppe Verdi (S-1-5-21-2999044842-2474619966-2997026567-11019) -> ivano

….

che ovviamente risulta sballato.
Per sistemarlo usiamo l’evento (unico) che lavora sul sid e fa proprio questo:
[root@mail samba]# /etc/e-smith/events/actions/update-domain-group-maps
così sembra tutto funzionare, ma il mistero è fitto… vediamo se qualcuno trova il bug o riesce a fare un’ipotesi credibile.
Back To Top
English French German Italian Spanish