ในการตั้งค่าเซิร์ฟเวอร์ไฟล์ Linux Samba ใหม่ในฐานะสมาชิก AD ฉันพบปัญหาเกี่ยวกับการตรวจสอบสิทธิ์อยู่เรื่อยๆ
ดูเหมือนว่าจะถูกกระตุ้นโดยการรันด้วย selinux ในโหมดบังคับใช้หลังจากเข้าร่วม AD แต่จะไม่หายไปหากฉันปิด selinux ด้วย เซเทนฟอร์ซ 0 หรือรีบูตด้วย SELINUX=อนุญาต ใน selinux config - อย่างน้อยไม่เกินหนึ่งชั่วโมง
ในการทดสอบ VM ครั้งแรก ฉันตั้งค่าด้วย distro เดียวกัน ขั้นตอนการตั้งค่าและการอัปเดตนั้นทำงานได้ดีอย่างสม่ำเสมอ แต่ตอนนี้ฉันพบปัญหาในและปิดการตรวจสอบสิทธิ์นี้กับเซิร์ฟเวอร์ที่ฉันตั้งค่าสำหรับการใช้งานจริง
นี่คือ Rocky Linux 8.5 และ Samba 4.14.5
smb.conf ส่วนใหญ่มีการตั้งค่าเริ่มต้นใน [สากล] และฉันตั้งค่าสาธารณะ [testshare]
[ทั่วโลก]
ความปลอดภัย = โฆษณา
แบ็กเอนด์ passdb = tdbsam
การพิมพ์ = ถ้วย
พิมพ์ชื่อ = ถ้วย
โหลดเครื่องพิมพ์ = ไม่
ตัวเลือกถ้วย = ดิบ
วิธี kerberos = ความลับและแท็บคีย์
เทมเพลต homedir = /home/%U@%D
เปลือกแม่แบบ = /bin/bash
idmap config ADOMAIN : range = 2000000-2999999
idmap config ADOMAIN : แบ็กเอนด์ = กำจัด
การกำหนดค่า idmap * : ช่วง = 10,000-999999
idmap config * : แบ็กเอนด์ = tdb
winbind ใช้โดเมนเริ่มต้น = ใช่
ตั๋วรีเฟรช winbind = ใช่
winbind เข้าสู่ระบบออฟไลน์ = ใช่
# อนุญาตให้แขกเข้าถึงเพื่อแบ่งปันสาธารณะโดยไม่ต้องใช้รหัสผ่าน
แผนที่ไปยังแขก = ผู้ใช้ที่ไม่ดี
# ควรตั้งค่าเหล่านี้เป็นไม่สำหรับการใช้ผลิตภัณฑ์
winbind enum กลุ่ม = ใช่
ผู้ใช้ winbind enum = ใช่
# Mac ปรับแต่งสำหรับ ACL
แผนที่ acl สืบทอด = ใช่
เก็บแอตทริบิวต์ dos = ใช่
# Mac ปรับแต่งสำหรับส้อมทรัพยากรของ Apple
วัตถุ vfs = ผลไม้ streams_xattr
ผลไม้:aapl = ใช่
ผลไม้:ไทม์แมชชีน = ไม่
ผลไม้:ทรัพยากร = xattr
ผลไม้:nfs_aces = ไม่
ผลไม้:โมเดล = MacSamba
เวิร์กกรุ๊ป = ADOMAIN
อาณาจักร = ADOMAIN.LAN
[แชร์ทดสอบ]
เส้นทาง = /mnt/data01/smb/testshare
เรียกดูได้ = ใช่
เขียนได้ = ใช่
แขกตกลง = ใช่
อ่านอย่างเดียว = ไม่
การเข้าร่วมโดเมนเสร็จสิ้นด้วย
เข้าร่วมอาณาจักร --membership-software=samba --client-software=winbind adomain.lan
Kerberos auth ทำงานได้ดี
ผู้ใช้ wbinfo -K
อันนี้ก็ใช้ได้เช่นกัน
รับรหัสผ่าน ADOMAIN\user
แต่ต่อไปนี้ล้มเหลว
smbclient -L localhost -U แขก%
wbinfo -ผู้ใช้
smbclient -d 3 // localhost/testshare -U ผู้ใช้
คนสุดท้ายคายสิ่งนี้:
lp_load_ex: รีเฟรชพารามิเตอร์
กำลังเริ่มต้นพารามิเตอร์ส่วนกลาง
rlimit_max: เพิ่ม rlimit_max (1024) เป็นขีดจำกัดขั้นต่ำของ Windows (16384)
ส่วนการประมวลผล "[สากล]"
เพิ่มอินเทอร์เฟซ ens192 ip=10.18.100.102 bcast=10.18.103.255 netmask=255.255.252.0
ไคลเอ็นต์เริ่มต้น (เวอร์ชัน 4.14.5)
Solve_lmhosts: พยายามค้นหา lmhosts สำหรับชื่อ localhost<0x20>
กำลังเชื่อมต่อกับ 127.0.0.1 ที่พอร์ต 445
ป้อนรหัสผ่านของ ADOMAIN\user:
แบ็กเอนด์ GENSEC 'gssapi_spnego' ลงทะเบียนแล้ว
แบ็คเอนด์ GENSEC 'gssapi_krb5' ลงทะเบียนแล้ว
แบ็คเอนด์ GENSEC 'gssapi_krb5_sasl' ลงทะเบียนแล้ว
GENSEC แบ็กเอนด์ 'spnego' ลงทะเบียนแล้ว
ลงทะเบียนแบ็กเอนด์ GENSEC 'schannel' แล้ว
แบ็กเอนด์ GENSEC 'naclrpc_as_system' ลงทะเบียนแล้ว
ลงทะเบียนแบ็กเอนด์ GENSEC 'sasl-EXTERNAL' แล้ว
GENSEC แบ็คเอนด์ 'ntlmssp' ลงทะเบียนแล้ว
แบ็กเอนด์ GENSEC 'ntlmssp_resume_ccache' ลงทะเบียนแล้ว
ลงทะเบียนแบ็กเอนด์ GENSEC 'http_basic' แล้ว
แบ็คเอนด์ GENSEC 'http_ntlm' ลงทะเบียนแล้ว
แบ็คเอนด์ GENSEC 'http_negotiate' ลงทะเบียนแล้ว
GSE เป็น 'localhost' ไม่สมเหตุสมผล
รับธงท้าทาย:
รับ NTLMSSP neg_flags=0x62898215
NTLMSSP: ตั้งค่าสถานะสุดท้าย:
รับ NTLMSSP neg_flags=0x62088215
เครื่องหมาย / ตราประทับ NTLMSSP - เริ่มต้นด้วยค่าสถานะ:
รับ NTLMSSP neg_flags=0x62088215
การเข้าสู่ระบบ SPNEGO ล้มเหลว: {Access Denied} กระบวนการได้ร้องขอการเข้าถึงวัตถุ แต่ไม่ได้รับสิทธิ์การเข้าถึงเหล่านั้น
การตั้งค่าเซสชันล้มเหลว: NT_STATUS_ACCESS_DENIED
บันทึกการตรวจสอบโดยปกติจะไม่แสดงข้อผิดพลาดการปฏิเสธ AVCฉันพยายามปิดกฎการไม่ตรวจสอบและอนุญาตให้ AVC ปฏิเสธข้อความที่ปรากฏขึ้น แต่ก็ไม่ได้ผล
ฉันต้องเลิกใช้ selinux เพื่อให้เสถียรหรือไม่ เคล็ดลับอื่น ๆ ?
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
