Portál AbcLinuxu, 6. června 2024 02:36


Dotaz: na DC přestal vypisovat příkaz getent passwd uživatele domény

5.2. 11:04 natech
na DC přestal vypisovat příkaz getent passwd uživatele domény
Přečteno: 605×
Odpovědět | Admin
Nejdříve se to projevilo tím, že se nemůžu dostat na file server přes IP adresu. Přitom při zadání jména fileserveru připojení funguje. Zjistil jsem že na DC příkaz getent passwd přestal vypisovat doménové uživatele. Tento problém jsem měl při nastavování domény, ale to jsem vyřešil dle https://www.claudiokuenzler.com/blog/1066/samba-getent-passwd-no-active-directory-users-wbinfo-works . Nyní to nefuguje a už nevím co mám hledat. Příkaz wbinfo -u uživatele domény vypíše. Na fileserveru mi příkaz wbinfo -t nezíská důvěryhodné připojení s DC. Je možné že se to stalo když jsem provedl aktualizaci, ale to nemůžu potvrdit.

Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-92-generic x86_64) Samba je 4.15.13-Ubuntu.

Domnívám se že problém je v předávání uživatelů domény někam, co vypisuje příkaz getent. Chtěl jsem najít nějaký mechanismus, jak se to předává z winbind, ale nenašel jsem informace, na co bych se měl podívat.
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

5.2. 13:17 X
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Odpovědět | | Sbalit | Link | Blokovat | Admin
Na fileserveru mi příkaz wbinfo -t nezíská důvěryhodné připojení s DC.
Bezi ti winbind? Co vypise wbinfo -p?
5.2. 14:13 natech
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
na DC i fileserveru wbinfo -p vypíše:

Ping to winbindd succeeded
5.2. 16:27 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Odpovědět | | Sbalit | Link | Blokovat | Admin
Na fileserveru mi příkaz wbinfo -t nezíská důvěryhodné připojení s DC.
A čo teda vypíše?
Je možné že se to stalo když jsem provedl aktualizaci, ale to nemůžu potvrdit.

Nezmenil ti ten update nejaký konfigurák? Update sa na také veci zvykne pýtať. Alebo si nebol z tej domény vykopnutý, či si nepovolil úroveň protokolu ktorý vyžaduje DC?
6.2. 09:39 natech
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Na fileserveru: 
wbinfo -t
checking the trust secret for domain FEST via RPC calls failed
wbcCheckTrustCredentials(FEST): error code was NT_STATUS_INVALID_SID (0xc0000078)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
Můžu se mýlit, ale problém vidím na DC, kde mi getent passwd nevypisuje doménové uživatele. Proto se snažím to řešit jako první.

Konfiguráky jsem kontroloval, ale některé věci byly nastaveny automaticky. File server je v doméně stále. Tady jsem uvažoval, že bych ho vymazal z DC a připojil znovu.
či si nepovolil úroveň protokolu ktorý vyžaduje DC?
Na toto moje znalosti už nestačí. Znovu zkusím projít testy, které jsem dělal při instalaci.
6.2. 10:18 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Tady jsem uvažoval, že bych ho vymazal z DC a připojil znovu.
Parameter -t|--check-secret pre wbinfo overuje či stroj korektne komunikuje bezpečným spôsobom s nadradenou topológiou. Teda či to neblokuje polointeligentný firewall, či nebol vykopnutý z domény alebo hoci aj či nemá nezmyselne zníženú úroveň bezpečnosti kvôli prastarým pracovným staniciam ktoré sa naň pripájajú.

Chyby sú v logoch, a tam to môže byť krásne popísané.
9.2. 11:27 natech
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Prošel jsem logy samby a co myslím že jsou chyby přikládám

na DC

192.168.0.4.log (IP fileserveru) 
[2024/02/09 08:30:01.654856,  0] ../../source4/auth/unix_token.c:95(security_token_to_unix_token)
  Unable to convert first SID (S-1-5-21-768626591-3588693231-2719874691-4101) in user token to a UID.  Conversion was returned as type 0, full token:
[2024/02/09 08:30:01.654876,  0] ../../libcli/security/security_token.c:51(security_token_debug)
  Security token SIDs (7):
    SID[  0]: S-1-5-21-768626591-3588693231-2719874691-4101
    SID[  1]: S-1-5-21-768626591-3588693231-2719874691-515
    SID[  2]: S-1-1-0
    SID[  3]: S-1-5-2
    SID[  4]: S-1-5-11
    SID[  5]: S-1-5-32-554
    SID[  6]: S-1-5-32-545
   Privileges (0x          800000):
    Privilege[  0]: SeChangeNotifyPrivilege
   Rights (0x             400):
    Right[  0]: SeRemoteInteractiveLogonRight
[2024/02/09 08:30:01.654972,  3] ../../source3/smbd/smb2_server.c:3954(smbd_smb2_request_error_ex)
  smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_INVALID_SID] || at ../../source3/smbd/smb2_sesssetup.c:147
winbindd.log - mnoho výskytů 
Could not convert sid S-0-0: NT_STATUS_NONE_MAPPED
log.wb-fest 
string_to_sid: SID  is not in a valid format
na fileserveru

winbindd.log 
 Could not convert sid S-0-0: NT_STATUS_INVALID_SID

wbd_ping_dc_done: dcerpc_wbint_PingDc_recv failed for domain: FEST - NT_STATUS_INVALID_SID

[2024/02/07 15:45:28.820852,  1] ../../source3/winbindd/winbindd_util.c:869(wbd_ping_dc_done)
  wbd_ping_dc_done: dcerpc_wbint_PingDc_recv failed for domain: FEST - NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
PC-38.log (pracovní stanice) 
[2024/02/07 14:41:41.249058,  3] ../../source3/smbd/negprot.c:758(reply_negprot)
  reply_negprot: No protocol supported !

[2024/02/07 14:41:41.249585,  3] ../../source3/smbd/server_exit.c:239(exit_server_common)
  Server exit (no protocol supported

[2024/02/08 10:58:08.055994,  3] ../../source3/smbd/negprot.c:637(reply_negprot)
  Requested protocol [PC NETWORK PROGRAM 1.0]
[2024/02/08 10:58:08.056009,  3] ../../source3/smbd/negprot.c:637(reply_negprot)
  Requested protocol [LANMAN1.0]
[2024/02/08 10:58:08.056019,  3] ../../source3/smbd/negprot.c:637(reply_negprot)
  Requested protocol [Windows for Workgroups 3.1a]
[2024/02/08 10:58:08.056029,  3] ../../source3/smbd/negprot.c:637(reply_negprot)
  Requested protocol [LM1.2X002]
[2024/02/08 10:58:08.056039,  3] ../../source3/smbd/negprot.c:637(reply_negprot)
  Requested protocol [LANMAN2.1]
[2024/02/08 10:58:08.056049,  3] ../../source3/smbd/negprot.c:637(reply_negprot)
  Requested protocol [NT LM 0.12]
Zkoušel jsem vytvořit nový fileserver. Připojení do domény se nezdařilo. 
Failed to join domain: failed to lookup DC info for domain 'fest.xxx.com' over rpc: Indicates the SID structure is not valid.
samotné provedení příkazu wbinfo -t do logů už nic nepíše. už nevím co bych s tím mohl dělat.
9.2. 17:59 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Čo asi tak môže znamenať chyba:
Server exit (no protocol supported
Ten AD musí mať veľmi zaujímavý rozsah ním podporovaných protokolov. Čo je to za vykopávku?
13.2. 08:33 natech
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Čo je to za vykopávku?
Ubuntu 22.04.3 LTS (GNU/Linux 5.15.0-94-generic x86_64)

Ze začátku mi to fungovalo, pak to přestalo. Nejsem si vědom toho, že bych s tím cokoli dělal. Nevím kam ty protokoly zmizely. proč nefungujou a nevím jak to otestovat.

Linux běhá na spoustě serverech, tak jsem si myslel ... ale výsledkem mýho prvního pokusu je zjištění, že Linux nefunguje.
13.2. 08:52 Peter Golis | skóre: 64 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
Pretože mi to furt pripadá, ako by mal File Server nastavené iné verzie protokolov, ako Domain Controller. Odhadom má FS obmedzenú maximálnu verziu na niečo kvôli už nepodporovaným Windows 8 a starším klientom ako napr. aj 10 ročné Androidy. No a tým pádom sa už poriadne nedohovorí FS s DC.

Mimochodom, pýtal som sa na verziu Domain Controlera, nie na File Server. Už dávno nastal čas odstrihnúť nepodporované verzie.
14.2. 07:57 natech
Rozbalit Rozbalit vše Re: na DC přestal vypisovat příkaz getent passwd uživatele domény
DC i FS mají stejnou verzi. Instaloval jsem to nedávno. Windows 8 tu už taky nemám. Nejstarší je tu windows 2012 R2, kterej už měl být odstavený. Na FS jsem nahrál archiv, už jsem to chtěl nasazovat. řešil jsem zálohování, kde jsem ve skriptu musel nastavit připojení k NAS přes -vers=1.0. To snad nerozházelo celej server?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.