[samba-jp:23266] Re: OS をubuntu 22.04→24.04にしたらアクセス不可になったメンバーがある

[Hiroo Ono (小野寛生)]

小野寛生です。

よくわからずコメントできなかったのですが、後知恵としては、

> check_account: Failed to find local account with UID … for SID …

を見るに、AD を参照してほしい UID を local account の DB を見に行ってしまっていたのではないでしょうか。

とすると、

> idmap config *:backend = tdb
> idmap config *:range = 3000-7999

で、range をつけて tdb を見に行く UID を制限していたのが、 range が指定されていなかったか
domain user の UID を含む数値になっていた可能性があると思います。

私が使っている member server の smb.conf を見ると

idmap config XXXX:backend = ad
idmap config XXXX:schema_mode = rfc2307
idmap config XXXX:range = 10000-999999
idmap config XXXX:unix_nss_info = yes

と（XXXX はもとと変えてあります）、backend を指定するのと、UID の範囲を range で指定するようにしていました。
この辺、Samba Wiiki のほぼコピペだと思います。

以上。

2025年1月6日(月) 20:09 YANO Takashi (samba-jp 経由) <samba-jp ＠ samba.gr.jp>:
>
> 現在のsmb.confから引用します。
> [global]
>         log level = 1
>         netbios name = XXXX
>         realm = XXXX.XXXX
>         security = ADS
>         server role = member server
>         winbind enum groups = Yes
>         winbind enum users = Yes
>         winbind normalize names = Yes
>         winbind nss info = rfc2307
>         winbind offline logon = Yes
>         winbind refresh tickets = Yes
>         winbind use default domain = Yes
>         workgroup = XXXX
>         idmap config *:backend = tdb
>         idmap config *:range = 3000-7999
>         idmap config fleet:schema_mode = rfc2307
>         idmap config fleet:unix_nss_info = yes
>         map acl inherit = Yes
>         store dos attributes = Yes
>         vfs objects = catia fruit streams_xattr acl_xattr
>
>
> -----Original Message-----
> From: YANO Takashi <takasi.yano ＠ nifty.com>
> Sent: Monday, January 6, 2025 7:48 PM
> To: 'Sambaについての様々な質疑応答用' <samba-jp ＠ samba.gr.jp>
> Subject: RE: OS をubuntu 22.04→24.04にしたらアクセス不可になったメンバーが
> ある
>
> 解決しました。
>
> samba 4.21.2が正常に動いているメンバーサーバーのsmb.confの[Global]セクション
> をそのままコピーして
> NETBIOS NAMEだけ変更したらgetentもnet viewも期待したとおりの出力をするように
> なりました。
>
> -----Original Message-----
> From: samba-jp <samba-jp-bounces ＠ samba.gr.jp> On Behalf Of YANO Takashi
> (samba-jp 経由)
> Sent: Thursday, January 2, 2025 6:58 AM
> To: 'Sambaについての様々な質疑応答用' <samba-jp ＠ samba.gr.jp>
> Cc: YANO Takashi <takasi.yano ＠ nifty.com>
> Subject: [samba-jp:23263] Re: OS をubuntu 22.04→24.04にしたらアクセス不可に
> なったメンバーがある
>
> ログに
> [2025/01/02 06:49:57.168249,  0]
> ../../source3/auth/auth_util.c:1951(check_account)
>   check_account: Failed to find local account with UID … for SID …
> (dom_user[…])
> とあるのが問題のような気がするが、どう対応していいのかさっぱり。
> -----Original Message-----
> From: samba-jp <samba-jp-bounces ＠ samba.gr.jp> On Behalf Of YANO Takashi
> (samba-jp 経由)
> Sent: Sunday, December 29, 2024 7:59 PM
> To: samba-jp ＠ samba.gr.jp
> Cc: takasi.yano ＠ nifty.com
> Subject: [samba-jp:23262] Re: OS を不可になったメンバーがある
>
> Getent passwd
> はドメイン上のユーザーも含んだ一覧を表示してくれます。
> wbinfo --ping-dc
> はDCをちゃんと表示してくれます。
>
> -----Original Message-----
> From: samba-jp <samba-jp-bounces ＠ samba.gr.jp> On Behalf Of YANO Takashi
> (samba-jp 経由)
> Sent: Wednesday, December 25, 2024 7:30 PM
> To: samba-jp ＠ samba.gr.jp
> Cc: takasi.yano ＠ nifty.com
> Subject: [samba-jp:23260] OS をがアクセス不可になった
>
> 矢野です。
>
> Samba 4.21.2が入ったubuntu 22.04を24.04にしました。
> メンバーサーバが3台あり2台はPCからのnet viewに対して正しく応答し問題ありませ
> ん
> 。
> 1台だけ
> システム エラー 5 が発生しました。
> アクセスが拒否されました。
> になります。どのようにすれば解決できるでしょうか。
> getent passwd "domain\user"
> の出力は空(他の2台は出力される)
> またログには
> ldb: Unable to open tdb '/var/lib/samba/private/secrets.ldb': No such file
> or directory
> と表示されます。
>
>