Ubuntu 20.04 LTS - 无人值守的 Samba 升级破坏了我们的设置

Ubuntu 20.04 LTS - 无人值守的 Samba 升级破坏了我们的设置

我们在一些服务器上使用 Ubuntu 20.04 LTS,包括使用 winbind 身份验证的 Samba Active Directory DC 和 Samba 文件服务器。

11 月 12 日,一次无人值守升级(与 USN-5142-1 相关)将这些服务器上的 Samba 4.11.6 升级到 4.13.14,这给我们带来了很多麻烦。

1/ vfs_full_audit 选项已更改(https://bugs.launchpad.net/ubuntu/+source/samba/+bug/1950803)一些审计选项不再有效,审计开始记录所有内容。我们的 /var 很快就爆炸了。通过更改 smb.conf 中的 vfs_audit 选项可以解决这个问题

2/ Unix 属性 uidnumber < 1000 的 AD 用户无法再访问 Samba 文件共享。这是一个大问题,因为我们的大多数用户几乎一天都没有工作……可能与“最小域 uid”全局参数有关,该参数默认设置为 1000。为了解决这个问题,我们匆忙将所有用户的 uidnumber 更改为 1000 以上的值。奇怪的是,AD 用户仍然能够使用 winbind 身份验证和 unix uid < 1000 在服务器上进行 SSH。

3/ CIFS 安装和打印机 SMB 配置问题 升级前,CIFS 安装和打印机使用其用户名在 Samba 文件服务器上进行身份验证。升级后,似乎必须指示域名(为 mount.cifs 添加选项 domain=MYDOMAIN 并将打印机的用户名设置为 MYDOMAIN\user)由于“winbind use default domain = yes”选项,此域前缀曾经是隐式的。

如果有人知道如何解决这个问题我们会非常感兴趣!

4/ AD 内置的“管理员”帐户无法再访问 Samba 文件服务器。此帐户已映射到文件服务器上的“root”。错误消息与某些无效的数据令牌有关,就像 2/ 中被拒绝的用户一样。此帐户没有 Unix 属性,但它始终以这种方式工作。我不确定是否应该添加它。我不喜欢更改内置帐户。

目前我们仍在调查,非常欢迎您的帮助!

总而言之,我不得不说,这是一次无人值守升级带来的相当痛苦的经历,我们现在正在尽最大努力让我们的设置重新回到正轨。

谢谢阅读。

参考 https://ubuntu.com/security/notices/USN-5142-1

答案1

在此添加我的经验,特别是对于 smb 打印。将 samba 更新到 4.13.14 后,/var/log/cups/error_log尝试打印时会报告以下内容:

[Client 1234567] User "foo" does not exist

此时的解决方法是getent passwd | grep "foo"生成密码条目并粘贴到/etc/passwd使用中vipw。可以想象,这对于大规模来说并不理想。

如果我只知道要配置什么,我确信这是一个配置问题。我们所有的 CUPS、samba、winbind 等配置都设置得尽可能正确,但这些都是 4.13.14 之前的版本。查看更改历史记录 4.13.14“修复”了许多 AD/kerberos 问题,我怀疑其中一些是无意中依赖的,这些东西才能正常工作。

相关内容