Khi thiết lập máy chủ tệp Linux Samba mới với tư cách là thành viên AD, tôi tiếp tục gặp sự cố với xác thực.
Nó dường như được kích hoạt bằng cách chạy với selinux ở chế độ Thực thi sau khi tham gia AD, nhưng nó không biến mất nếu tôi tắt selinux bằng thiết lập lực lượng 0 hoặc khởi động lại với SELINUX=dễ dãi trong cấu hình selinux - ít nhất là không trong một giờ hoặc lâu hơn.
Trong máy ảo thử nghiệm đầu tiên, tôi đã thiết lập với cùng một bản phân phối, các bước thiết lập và cập nhật, nó hoạt động ổn định, nhưng hiện tại tôi đang gặp sự cố xác thực này khi bật và tắt với máy chủ mà tôi đang thiết lập để sử dụng trong sản xuất.
Đây là trên Rocky Linux 8.5 và Samba 4.14.5
smb.conf hầu hết có cài đặt mặc định trong [toàn cầu] và tôi thiết lập [testshare] công khai
[toàn cầu]
bảo mật = quảng cáo
phụ trợ passdb = tdbsam
in = cốc
tên in hoa = cốc
tải máy in = không
tùy chọn cốc = thô
phương pháp kerberos = bí mật và keytab
mẫu homedir = /home/%U@%D
vỏ mẫu = /bin/bash
cấu hình idmap ADOMAIN : phạm vi = 2000000-2999999
cấu hình idmap ADOMAIN : phụ trợ = thoát
cấu hình idmap *: phạm vi = 10000-999999
cấu hình idmap *: phụ trợ = tdb
winbind sử dụng tên miền mặc định = yes
vé làm mới winbind = có
đăng nhập ngoại tuyến winbind = có
# Cho phép khách truy cập để chia sẻ công khai mà không cần mật khẩu
ánh xạ tới khách = người dùng xấu
# những thứ này nên được đặt thành không để sử dụng sản phẩm
nhóm enum winbind = có
người dùng winbind enum = có
# Tinh chỉnh Mac cho ACL
bản đồ acl kế thừa = Có
lưu trữ thuộc tính dos = Có
# Chỉnh sửa Mac cho các nhánh Tài nguyên của Apple
đối tượng vfs = trái cây stream_xattr
trái cây: aapl = có
trái cây:cỗ máy thời gian = không
trái cây:tài nguyên = xattr
trái cây:nfs_aces = không
trái cây:mô hình = MacSamba
nhóm làm việc = ADOMAIN
vương quốc = ADOMAIN.LAN
[chia sẻ thử nghiệm]
đường dẫn = /mnt/data01/smb/testshare
có thể duyệt = có
có thể ghi = có
khách ok = vâng
chỉ đọc = không
tham gia tên miền đã được thực hiện với
tham gia lĩnh vực --membership-software=samba --client-software=winbind adomain.lan
Kerberos auth tiếp tục hoạt động tốt
người dùng wbinfo -K
Cái này cũng hoạt động
getent passwd ADOMAIN\người dùng
Nhưng thất bại sau đây
smbclient -L localhost -U khách%
wbinfo -một người dùng
smbclient -d 3 // localhost/testshare -U người dùng
Người cuối cùng phun ra điều này:
lp_load_ex: làm mới thông số
Khởi tạo tham số toàn cầu
rlimit_max: tăng rlimit_max (1024) lên giới hạn tối thiểu của Windows (16384)
Phần xử lý "[toàn cầu]"
đã thêm giao diện ens192 ip=10.18.100.102 bcast=10.18.103.255 netmask=255.255.252.0
Máy khách đã bắt đầu (phiên bản 4.14.5).
resolve_lmhosts: Đang cố tra cứu lmhosts cho tên localhost<0x20>
Kết nối với 127.0.0.1 tại cổng 445
Nhập ADOMAIN\mật khẩu của người dùng:
Phần phụ trợ GENSEC 'gssapi_spnego' đã được đăng ký
Phần phụ trợ GENSEC 'gssapi_krb5' đã đăng ký
Phần phụ trợ GENSEC 'gssapi_krb5_sasl' đã được đăng ký
GENSEC phụ trợ 'spnego' đã đăng ký
'Kênh' phụ trợ GENSEC đã đăng ký
Phần phụ trợ GENSEC 'naclrpc_as_system' đã đăng ký
Phần phụ trợ GENSEC 'sasl-EXTERNAL' đã được đăng ký
Phần phụ trợ GENSEC 'ntlmssp' đã đăng ký
Phần phụ trợ GENSEC 'ntlmssp_resume_ccache' đã đăng ký
Phần phụ trợ GENSEC 'http_basic' đã được đăng ký
GENSEC phụ trợ 'http_ntlm' đã đăng ký
Phần phụ trợ GENSEC 'http_negotiate' đã được đăng ký
GSE thành 'localhost' không hợp lý
Có cờ thử thách:
Có NTLMSSP neg_flags=0x62898215
NTLMSSP: Đặt cờ cuối cùng:
Có NTLMSSP neg_flags=0x62088215
NTLMSSP Ký tên/Đóng dấu - Khởi tạo bằng cờ:
Có NTLMSSP neg_flags=0x62088215
Đăng nhập SPNEGO không thành công: {Truy cập bị từ chối} Một quy trình đã yêu cầu quyền truy cập vào một đối tượng nhưng chưa được cấp các quyền truy cập đó.
thiết lập phiên không thành công: NT_STATUS_ACCESS_DENIED
Nhật ký kiểm tra thường không hiển thị bất kỳ lỗi AVC bị từ chối nào.Tôi đã thử tắt các quy tắc dontaudit và cho phép các thông báo từ chối AVC xuất hiện nhưng điều đó không giúp được gì.
Tôi có cần phải từ bỏ selinux để có được sự ổn định này không? Bất kỳ mẹo nào khác?
