Ubuntu 20.04 LTS - Nâng cấp Samba không giám sát đã phá vỡ thiết lập của chúng tôi

Chúng tôi đang sử dụng Ubuntu 20.04 LTS trên một số máy chủ, bao gồm Samba Active Directory DC và Máy chủ tệp Samba sử dụng xác thực winbind.

Vào ngày 12 tháng 11, một bản nâng cấp không giám sát (liên quan đến USN-5142-1) đã nâng cấp Samba 4.11.6 của chúng tôi lên 4.13.14 trên các máy chủ này và điều đó đã khiến chúng tôi gặp rất nhiều rắc rối.

1/ tùy chọn vfs_full_audit đã thay đổi ( https://bugs.launchpad.net/ubuntu/+source/samba/+orms/1950803 ) Một số tùy chọn kiểm tra không còn hợp lệ nữa và quá trình kiểm tra bắt đầu ghi lại mọi thứ .. /var của chúng tôi bùng nổ ngay lập tức. Điều này đã được khắc phục bằng cách thay đổi tùy chọn vfs_audit trong smb.conf

2/ Người dùng AD có Unix Attribute uidnumber < 1000 không thể truy cập chia sẻ tệp Samba nữa. Vấn đề lớn vì hầu hết người dùng của chúng tôi đã nghỉ làm gần một ngày.. có thể liên quan đến tham số chung "min domain uid" được đặt thành 1000 theo mặc định. Trong lúc gấp rút, chúng tôi đã khắc phục sự cố bằng cách thay đổi uidnumber của tất cả người dùng thành các giá trị trên 1000. Thật kỳ lạ, người dùng AD vẫn có thể SSH trên máy chủ bằng cách sử dụng xác thực winbind và unix uid <1000.

3/ Các vấn đề với cấu hình SMB gắn kết CIFS và Máy in trước khi nâng cấp, máy in và giá treo CIFS đã sử dụng tên người dùng của chúng để xác thực trên Máy chủ tệp Samba. Kể từ khi nâng cấp, dường như bắt buộc phải chỉ ra tên miền (thêm tùy chọn domain=MYDOMAIN cho mount.cifs và đặt tên người dùng thành MYDOMAIN\user cho máy in) Tiền tố tên miền này từng được ẩn nhờ tùy chọn "winbind sử dụng tên miền mặc định = có".

Nếu có ai biết cách khắc phục điều này, chúng tôi sẽ thực sự quan tâm!

4/ Tài khoản "Quản trị viên" tích hợp sẵn của AD không còn có thể truy cập vào máy chủ tệp Samba.Tài khoản này được ánh xạ tới "root" trên Máy chủ tệp. Thông báo lỗi liên quan đến một số mã thông báo dữ liệu không hợp lệ, giống như người dùng đã bị từ chối trong 2/. Tài khoản này không có Thuộc tính Unix nhưng nó luôn hoạt động theo cách đó. tôi không chắc mình có nên thêm nó vào không. Tôi không thích thay đổi tài khoản cài sẵn.

Tại thời điểm này, chúng tôi vẫn đang điều tra và rất hoan nghênh sự giúp đỡ của bạn!

Nói chung, tôi phải nói rằng đây là một trải nghiệm khá đau buồn từ các bản nâng cấp không được giám sát, chúng tôi hiện đang cố gắng hết sức để quay lại đúng hướng với thiết lập của mình.

Cảm ơn vì đã đọc.

Người giới thiệu https://ubuntu.com/security/notices/USN-5142-1

Thêm kinh nghiệm của tôi vào cái này, đặc biệt là để in smb. Đăng bản cập nhật samba lên 4.13.14 /var/log/cups/error_log báo cáo như sau khi cố gắng in:

[Khách hàng 1234567] Người dùng "foo" không tồn tại

Cách khắc phục lúc này là nhận mật khẩu | grep "foo" để tạo một mục passwd và dán vào /etc/passwd sử dụng vipw. Điều này không lý tưởng trên quy mô lớn như người ta có thể tưởng tượng.

Tôi tin rằng đây là sự cố cấu hình nếu tôi chỉ biết cấu hình cái gì. Tất cả các cấu hình CUPS, samba, winbind, v.v. của chúng tôi đều được đặt chính xác như tôi biết nhưng đây đều là phiên bản trước 4.13.14. Nhìn vào lịch sử thay đổi 4.13.14 "đã sửa" rất nhiều sự cố AD/kerberos và tôi nghi ngờ một số trong số đó đã vô tình dựa vào để công cụ này hoạt động.