Опубликованы образы регулярных сборок с Samba AD DC

[Alex Volkov]

Код: [Выделить]

[root@dc samba]# resolvconf -l
-bash: resolvconf: command not found
[root@dc samba]# cat /etc/resolv.conf
search vladregion.ru
nameserver 127.0.0.1
nameserver 192.168.2.1
по поводу dns в smb.conf пусто, параметр не задавался при classicupgrade, т.е, должен использоваться встроенный.

[Alex Volkov]

и ещё немного:

Код: [Выделить]

[root@dc samba]# ps axf | egrep "samba|smbd|nmbd|winbindd"
 1416 ?        S      0:00 /usr/sbin/samba -D
 1418 ?        Ss     0:02  \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
 1435 ?        S      0:00      \_ /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
[root@dc samba]# netlist
USER     PID   COMMAND FD TYPE       LOCAL IP:PORT        REMOTE IP:PORT  STATE
root     633   sshd     3 tcp 192.168.100.111:22       192.168.3.14:50738 ESTAB
root     521   sshd     3 tcp         0.0.0.0:22            0.0.0.0:0     LISTEN
root     1418  smbd    46 tcp         0.0.0.0:139           0.0.0.0:0     LISTEN
root     1418  smbd    45 tcp         0.0.0.0:445           0.0.0.0:0     LISTEN

[Skull]

У вас криво работает служба Samba, да и в режиме classicupgrade особо не тестировали. Пожалуйста, обновите до 4.2.2 из соответствующего задания.

1. проверяем список процессов:

Код: [Выделить]

# samba-tool processes
 Service:                PID
-----------------------------
dnsupdate              22201
nbt_server             22192
rpc_server             22190
cldap_server           22195
winbind_server         22204
kdc_server             22196
samba                      0
dreplsrv               22197
kccsrv                 22200
ldap_server            22194
2. Смотрим, открыт ли 53-ый и порт и samba ли его обслуживает:

Код: [Выделить]

# ss -lnp | grep '*:53 '
tcp    UNCONN     0      0                      *:53                    *:*      users:(("samba",22202,29))
tcp    LISTEN     0      10                     *:53                    *:*      users:(("samba",22202,28))
3. Проверяем отдачу DNS со 127.0.0.1:

Код: [Выделить]

# host VLADREGION.RU 127.0.0.1

[Alex Volkov]

Пожалуйста, обновите до 4.2.2 из соответствующего задания.

Ну я ж написал, что обновился из задания...
И что dns самбы не работает, тоже вижу. А вот почему - не вижу, в логах ничего криминального.
Также непонятно, почему она считает, что головной процесс мертв, о чем и пишет при рестарте.
Попробую поднять детализацию...

[Alex Volkov]

Логи  сообщают, что процессы самбы успешно запущены...

Код: [Выделить]

[root@dc log]# samba-tool processes
Processing section "[netlogon]"
Processing section "[sysvol]"
pm_process() returned Yes
 Service:                PID
-----------------------------
dnsupdate               4446
nbt_server              4436
rpc_server              4434
cldap_server            4439
kdc_server              4440
samba                      0
dreplsrv                4441
kccsrv                  4444
ldap_server             4438
но 53 порт никто не слушает...
А winbind нужен на контроллере?

[2015/06/18 12:54:18.052675,  2] ../source3/winbindd/winbindd_util.c:256(add_trusted_domain)
  Added domain VLADREGION vladregion.ru S-1-5-21-1201929272-2341786771-755918622
[2015/06/18 12:54:18.052819,  0] ../source3/winbindd/winbindd_util.c:643(init_domain_list)
  Failed to fetch our own, local AD domain join password for winbindd's internal use
[2015/06/18 12:54:18.052853,  0] ../source3/winbindd/winbindd.c:1294(winbindd_register_handlers)
  unable to initialize domain list

[Skull]

Показывайте вывод

Код: [Выделить]

samba-tool testparmПоставьте

Код: [Выделить]

log level = 10 и читайте подробную отладку.

[Alex Volkov]

Показывайте вывод
Код: [Выделить]
samba-tool testparm

Код: [Выделить]

[root@dc samba]# samba-tool testparm
Processing section "[netlogon]"
Processing section "[sysvol]"
pm_process() returned Yes
Press enter to see a dump of your service definitions

# Global parameters
[global]
        workgroup = VLADREGION
        realm = VLADREGION.RU
        netbios name = DC
        server role = active directory domain controller
        log level = 4
        printcap name = /etc/printcap
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/vladregion.ru/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[Alex Volkov]

Код: [Выделить]
log level = 10
и читайте подробную отладку.

Нет просветления (
Какой-то из процессов падает бесследно, в логах:
[2015/06/18 15:33:25.246508,  2] ../source3/smbd/server.c:443(remove_child_pid)
  Could not find child 4903 -- ignoring
[2015/06/18 15:33:25.376067,  5] ../source3/printing/queue_process.c:163(print_queue_housekeeping)
  print queue housekeeping
[2015/06/18 15:34:25.311339,  2] ../source3/smbd/server.c:443(remove_child_pid)
  Could not find child 4904 -- ignoring
[2015/06/18 15:34:25.436195,  5] ../source3/printing/queue_process.c:163(print_queue_housekeeping)
  print queue housekeeping

но и всё.

[Alex Volkov]

В общем, взлетело после повторного копирования файлов в samba 3.x, установки и запуска samba из p7, затем подключения и установки из задания с samba-AD, затем classicupgrade --realm=vladregion.ru,
но вот

Код: [Выделить]

smbclient -L localhost
Enter root's password:
Domain=[VLADREGION] OS=[Windows 6.1] Server=[Samba 4.2.2]
        Sharename       Type      Comment
как себя поведут станции, работавшие в домене vladregion.ru, буду тестировать на след.неделе.
Да, однако как-то странно оно отработало upgrade, перенесло не всех пользователей. Пока плясал с переключением dns_backend с целью понять, на чем же мне будет удобнее жить).
Без RSAT, похоже, таки не обойтись (точнее, неудобно), придется искать куда его воткнуть...
07.07.2015.
Очередной подход к снаряду выявил, что изменился domain SID (c какого бы...), не перенеслись порядка 10 активных пользователей, нет групп.
Начинаю эпос снова...
09.07.15
Итак, я добился безошибочного classicupgrade.
По порядку, о чем не пишут в howto:
при переносе коннтроллера на другой сервер (я в контейнер запихиваю) домена с хранилищем в tdbsam samba3, необходимо скопировать /etc/passwd и /etc/group, после чего предстоит пляска с проверкой на актуальность сведений в этих файлах и базах самбы.
Я разложил файлы по их штатным местам, проверил правильность SID домена (net getdomainsid), затем перекладывал базы в отдельный каталог и подсовывал его classicupgrade. По диагностическому выводу смотрел что не так. За более чем 10 лет жизни домена в базах tdb оказался мусор, который пришлось чистить вручную, редактируя tdbtool passdb.tdb, а group_mapping оказалось проще создать заново из-за мусора в виде левого SID, оказавшегося там.
Таким образом, provision успешно состоялся с нужным SID, пользователи и группы перенеслись, но попытка старта обрывается на:

Код: [Выделить]

[2015/07/09 10:27:23.997884,  0] ../source3/winbindd/winbindd_cache.c:3235(initialize_winbindd_cache)
  initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2015/07/09 10:27:24.219570,  0] ../source3/winbindd/winbindd_util.c:643(init_domain_list)
  Failed to fetch our own, local AD domain join password for winbindd's internal use
[2015/07/09 10:27:24.219705,  0] ../source3/winbindd/winbindd.c:1294(winbindd_register_handlers)
  unable to initialize domain listКопаю дальше...
Если добавить

Код: [Выделить]

server services = +winbind -winbindd в smb.conf, то сервис стартует, это бага https://bugzilla.samba.org/show_bug.cgi?id=10991, якобы закрытая...
Если я правильно оттуда понял, то secrets.tdb заполняется в каталоге со старыми базами; во всяком случае, дамп показал в том файле нужное содержимое, и, переложив его в /var/lib/samba/private, я получил рабочий сервис.

[hrurg]

Я дико извиняюсь за оффтоп, поиск по форуму не помог!  Может пнёте по адресу или ответите на интересующие меня вопросы по Samba AD
1. Существует ли в кентавре 6 или 7 возможность включить сие чудо
2. Является ли официально годным  HOWTO http://www.altlinux.org/%D0%94%D0%BE%D0%BC%D0%B5%D0%BD/SambaAsAD
3. Если на оба вопроса ответ нет, то каковы перспективы увидеть рабочее решение.

Если можно разверните ответ, так как с ходу решить вопрос домена на ALTlinux 86_64 у меня не получилось, при установке по статье идет ругань по поводу отсутствия libreadline6 в репозиториях

[Skull]

Я дико извиняюсь за оффтоп, поиск по форуму не помог!  Может пнёте по адресу или ответите на интересующие меня вопросы по Samba AD
1. Существует ли в кентавре 6 или 7 возможность включить сие чудо

В p6 не собирал. В инструкции из второго пункта есть советы для p7 и Sisyphus.

2. Является ли официально годным  HOWTO http://www.altlinux.org/%D0%94%D0%BE%D0%BC%D0%B5%D0%BD/SambaAsAD

Да.

Если можно разверните ответ, так как с ходу решить вопрос домена на ALTlinux 86_64 у меня не получилось, при установке по статье идет ругань по поводу отсутствия libreadline6 в репозиториях

Не ставьте пакеты для Sisyphus на дистрибутивы на p7.

Код: [Выделить]

apt-repo cleanдля p7

Код: [Выделить]

apt-repo add task 132256
apt-get update
apt-get install samba-DC python-module-samba-DC samba-DC-common samba-DC-winbind-clients samba-DC-winbind samba-DC-client

[hrurg]

благодарю вас

[hrurg]

подскажите если можно, как правильно сделать миграцию на samba AD DC, есть развернутый домен с пользователями, создан по умолчанию в альтераторе
smb.conf

Спойлер

[global]
<------>realm = TEST2.CONF
<------>server string = Samba server on %h (v. %v)
<------>security = user
<------>dedicated keytab file = /etc/krb5.keytab
<------>kerberos method = dedicated keytab
<------>log file = /var/log/samba/log.%m
<------>max log size = 50
<------>printcap name = cups
<------>dns proxy = No
<------>use sendfile = Yes
<------>passdb backend = ldapsam:ldap://127.0.0.1/
<------>ldap admin dn = cn=ldaproot,dc=test2,dc=conf
<------>ldap suffix = dc=test2,dc=conf
<------>ldap group suffix = ou=Group
<------>ldap user suffix = ou=People

<------>workgroup = TEST2.CONF
<------>local master = yes
<------>preferred master = yes
<------>domain master = yes
<------>domain logons = yes
<------>add user script = /usr/sbin/ldap-useradd "%u"
<------>delete user script = /usr/sbin/ldap-userdel "%u"
<------>add group script = /usr/sbin/ldap-groupadd "%g"
<------>delete group script = /usr/sbin/ldap-groupdel "%g"
<------>add user to group script = /usr/sbin/ldap-groupmod -m "%u" "%g"
<------>delete user from group script = /usr/sbin/ldap-groupmod -x "%u" "%g"
<------>set primary group script = /usr/sbin/ldap-usermod -g "%g" "%u"
<------>add machine script = /usr/sbin/ldap-useradd -w -i "%u"
<------>ldap machine suffix = ou=Computers
<------>encrypt passwords = yes
<------>ldap delete dn = no
<------>logon script = netlogon.bat
<------>wins support = no
[share]
<------>comment = Commonplace
<------>path = /srv/share
<------>read only = No

[homes]
<------>comment = Home Directory for '%u'
<------>browseable = no
<------>writable = yes
[netlogon]
<------>comment = Network Logon Service
<------>path = /etc/samba/netlogon
<------>guest ok = yes
<------>writable = no
<------>browseable = no

делаю

Спойлер

mkdir /var/lib/samba/dbdir
cp -pv /var/lib/samba/private/* /var/lib/samba/dbdir
cp -pv /var/lib/samba/{account_policy,gencache_notrans,group_mapping}.tdb /var/lib/samba/dbdir

ввожу
#samba-tool domain classicupgrade --dbdir=/var/lib/samba/dbdir --use-xattrs=yes --realm=test2.conf /etc/samba/smb.conf
получаю

Спойлер

Reading smb.conf
Provisioning
Exporting account policy
Exporting groups
Exporting users
Ignoring group memberships of 'user1' S-1-5-21-2752112094-679719910-2961413166-11000: Unable to enumerate group memberships, (-1073741596,This error indicates that the requested operation cannot be completed due to a catastrophic media failure or an on-disk data structure corruption.)
Ignoring group memberships of 'user2' S-1-5-21-2752112094-679719910-2961413166-11002: Unable to enumerate group memberships, (-1073741596,This error indicates that the requested operation cannot be completed due to a catastrophic media failure or an on-disk data structure corruption.)
Ignoring group memberships of 'adm' S-1-5-21-2752112094-679719910-2961413166-11004: Unable to enumerate group memberships, (-1073741596,This error indicates that the requested operation cannot be completed due to a catastrophic media failure or an on-disk data structure corruption.)
Ignoring group memberships of 'u6$' S-1-5-21-2752112094-679719910-2961413166-1001: Unable to enumerate group memberships, (-1073741596,This error indicates that the requested operation cannot be completed due to a catastrophic media failure or an on-disk data structure corruption.)
Next rid = 11005
Exporting posix attributes
Reading WINS database
Cannot open wins database, Ignoring: [Errno 2] No such file or directory: '/var/lib/samba/dbdir/wins.dat'
ERROR(<class 'samba.provision.ProvisioningError'>): uncaught exception - ProvisioningError: guess_names: 'server role=auto' in /etc/samba/smb.conf must match chosen server role 'active directory domain controller'!  Please remove the smb.conf file and let provision generate it
  File "/usr/lib64/python2.7/site-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib64/python2.7/site-packages/samba/netcmd/domain.py", line 1452, in run
    useeadb=eadb, dns_backend=dns_backend, use_ntvfs=use_ntvfs)
  File "/usr/lib64/python2.7/site-packages/samba/upgrade.py", line 734, in upgrade_from_samba3
    use_ntvfs=use_ntvfs, skip_sysvolacl=True)
  File "/usr/lib64/python2.7/site-packages/samba/provision/__init__.py", line 2022, in provision
    sitename=sitename, rootdn=rootdn, domain_names_forced=(samdb_fill == FILL_DRS))
  File "/usr/lib64/python2.7/site-packages/samba/provision/__init__.py", line 609, in guess_names
    raise ProvisioningError("guess_names: 'server role=%s' in %s must match chosen server role '%s'!  Please remove the smb.conf file and let provision generate it" % (lp.get("server role"), lp.configfile, serverrole))

[gvy]

Маленькое объявление: образы наконец-то обновлены, заодно переложил в выделенный каталог; коммит для сборки причёсан и вошёл в mkimage-profiles 1.1.69 (цели regular-server-samba4.iso и altlinux-p7-server-samba4.iso при условии доступности соответствующего задания с пакетом samba-DC).

[Skull]

classicupgrade не тестировали.