[samba-jp:23101] samba 4.11.8 (AD) on FreeBSD 12.1-RELEASE-p10 にて、sysvol/netlogonにアクセスできない

KUNIYOSHI nao_k @ din.or.jp
2020年 10月 6日 (火) 17:36:22 JST 

KUNIYOSHIと申します。

 FreeBSD12上にて、portsのsamba411-4.11.8を利用して検証用にADを構築して
います。

 ファイルシステムはzfsではなく、ufs(GEOM Mirror)の領域にしている為、問
題起きないだろ
うと思っていたのですが、Windows10からsysvol/netlogonの共有にアクセスでき
ない(アクセスが拒否されました)状態になってしまいました。

 ただし、smb4.confの[sysvol]セクションをまるまるコピーし、別の名前[test]
等にした場合、その共有(test)にはアクセスできます。
 フォルダの作成・削除も試しましたし、プロパティでアクセス権の詳細を見て
も問題なく見れているかと思います。

 sysvol/netlogonがなにかおかしいのかと思ったのですが、smbclientでlsして
みると参照出来ました。

 Windowsのエクスプローラーからだけ出来ていない状態です。

$ smbclient //192.168.1.21/netlogon -U Administrator -c 'ls'
Enter XYZ\Administrator's password:
  .                                   D        0  Tue Oct  6 16:36:56 2020
  ..                                  D        0  Tue Oct  6 16:37:00 2020

                64995320 blocks of size 1024. 32557736 blocks available
$ smbclient //192.168.1.21/sysvol -U Administrator -c 'ls'
Enter XYZ\Administrator's password:
  .                                   D        0  Tue Oct  6 16:36:56 2020
  ..                                  D        0  Tue Oct  6 16:39:27 2020
  xyz.local                           D        0  Tue Oct  6 16:37:00 2020

                64995320 blocks of size 1024. 32557736 blocks available



 ログをみたところ、Authで、NT_STATUS_OKとなっているので認証はうまく行ってると思っています。

/usr/local/sbin/smbd: Got user=[Administrator] domain=[XYZ] workstation=[PC27] len1=24 len2=298
/usr/local/sbin/smbd: auth_check_password_send: Checking password for unmapped user [XYZ]\[Administrator]@[PC27]
/usr/local/sbin/smbd: auth_check_password_send: user is: [XYZ]\[Administrator]@[PC27]
/usr/local/sbin/smbd: Auth: [SMB2,NTLMSSP] user [XYZ]\[Administrator] at [火, 06 10月 2020 17:19:53.454481 JST] with [NTLMv2] status [NT_STATUS_OK] workstation [PC27] remote host [ipv4:192.168.1.51:50028] became [XYZ]\[Administrator] [S-1-5-21-1100429546-3500997242-476825342-500]. local host [ipv4:192.168.1.21:445]
/usr/local/sbin/smbd: {"timestamp": "2020-10-06T17:19:53.455204+0900", "type": "Authentication", "Authentication": {"version": {"major": 1, "minor": 2}, "eventId": 4624, "logonId": "0", "logonType": 3, "status": "NT_STATUS_OK", "localAddress": "ipv4:192.168.1.21:445", "remoteAddress": "ipv4:192.168.1.51:50028", "serviceDescription": "SMB2", "authDescription": "NTLMSSP", "clientDomain": "XYZ", "clientAccount": "Administrator", "workstation": "PC27", "becameAccount": "Administrator", "becameDomain": "XYZ", "becameSid": "S-1-5-21-1100429546-3500997242-476825342-500", "mappedAccount": "Administrator", "mappedDomain": "XYZ", "netlogonComputer": null, "netlogonTrustAccount": null, "netlogonNegotiateFlags": "0x00000000", "netlogonSecureChannelType": 0, "netlogonTrustAccountSid": null, "passwordType": "NTLMv2", "duration": 5690}}


 もちろん、ドメインに参加したPC(XYZ\PC27)で、ドメインユーザ(XYZ\Administrator)でログインして試しています。

 気になるログとしては、
 
/usr/local/sbin/smbd: smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_FS_DRIVER_REQUIRED] || at ../../source3/smbd/smb2_ioctl.c:312

/usr/local/sbin/smbd: send_all_fn: messaging_send_buf to 85735 failed: NT_STATUS_OBJECT_NAME_NOT_FOUND

 の2点ほどですが、原因追及には至っていません。

 ufs上ですので、POSIX ACLは正しく設定されていると思っています。

 見落とし等なにかあれば、よろしくお願いいたします。


$ ls -al /var/db/samba4/sysvol
total 40
drwxrwx---+ 3 root  3000000   512 10月  6 17:31 .
drwxr-xr-x  8 root  wheel    1024 10月  6 17:24 ..
drwxrwx---+ 4 root  3000000   512 10月  6 16:37 rsh.local

$ getfacl /var/db/samba4/sysvol
# file: /var/db/samba4/sysvol
# owner: root
# group: 3000000
user::rwx
user:root:rwx
user:3000000:rwx
group::rwx
group:3000000:rwx
group:3000001:r-x
group:3000002:rwx
group:3000003:r-x
mask::rwx
other::---

$ df /var/db/samba4/sysvol
Filesystem       1K-blocks     Used    Avail Capacity  Mounted on
/dev/mirror/root  64995320 27238032 32557664    46%    /
$ mount
/dev/mirror/root on / (ufs, local, noatime, soft-updates, acls)

$ cat /usr/local/etc/smb4.conf
# Global parameters
[global]
        bind interfaces only = Yes
        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
        disable netbios = Yes
        interfaces = 192.168.1.21/24
        local master = Yes
        log level = 3
        nsupdate command = /usr/local/bin/samba-nsupdate -g
        os level = 255
        realm = XYZ.LOCAL
        server max protocol = SMB3
        server min protocol = SMB2
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        smb ports = 445
        socket options = TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_KEEPALIVE
        time server = Yes
        wins server = 127.0.0.1
        wins support = Yes
        workgroup = XYZ
        idmap_ldb:use rfc2307 = yes
        posix:eadb = /var/db/samba4/private/eadb.tdb
        ea support = Yes
        nt acl support = Yes
        host msdfs = no
        vfs objects = freebsd

[sysvol]
        path = /var/db/samba4/sysvol
        read only = No

[netlogon]
        path = /var/db/samba4/sysvol/xyz.local/scripts
        read only = No

[n]
        path = /var/db/samba4/sysvol
        read only = No


-- 
KUNIYOSHI <nao_k @ din.or.jp>

samba-jp メーリングリストの案内