Univention Bugzilla – Bug 22561
Samba 3 in UCS 3.0
Last modified: 2011-12-20 14:18:28 CET
Neben Samba 4 sollte es auch noch ein Samba 3 in UCS 3.0 geben. Falls Samba 3 nicht automatisch durch das Samba 4 Paket mitgebaut werden, sollten wir Samba 3.6 importieren.
Damit wir zunächst weiter testen können habe ich Samba 3.6 rc1 importiert. Die folgenden Patches wurden entfernt: - 00_Build-Depends.patch - 05_libpam-runtime.patch - 20_browselist-filter.patch - 51_tdbeximport.patch.TODO - 60_python_bindings.patch.TODO - 80_WINBINDD_MAX_SIMULTANEOUS_CLIENTS.patch - 91_CVE-2010-3069.patch - quilt_30_xml_vampire.patch.TODO - 75_try-other-methods-if-utimensat-is-not-supported-ret.patch
Samba 3.6.0 rc2 wurde gestern veröffentlicht und ist jetzt für UCS 3.0 gebaut. Das Paket univention-samba wurde auch übernommen. Dabei wurden die ha- und bdc-Pakete entfernt. Die PDC-Takeoverskripte wurden mit UCS 2.4 auch schon nicht mehr ausgeliefert und wurden jetzt ebenfalls aus dem Paket entfernt. Es müsste nochmal geklärt werden, welche Möglichkeiten UCS 3.0 bzgl. der Übernahme von NT Domänen können soll.
Die Konfiguration muss noch an Samba 3.6 angepasst werden: WARNING: The "idmap backend" option is deprecated WARNING: The "idmap uid" option is deprecated WARNING: The "idmap gid" option is deprecated Unknown parameter encountered: "idmap alloc backend" Ignoring unknown parameter "idmap alloc backend" WARNING: The "use spnego" option is deprecated
*** Bug 22107 has been marked as a duplicate of this bug. ***
Die Samba Version muss noch aktualisiert werden, derzeit ist 3.6.0 rc3 gebaut.
Changelog für http://samba.org/samba/history/samba-3.6.0.html
Der amd64-Build ist momentan nicht aktuell siehe https://forge.univention.org/bugzilla/show_bug.cgi?id=21619#c22
Vermutlich muss auch für samba 3.6.0 der 55_ldapfilter_password-history.patch analog zu samba 3.5.11 (Bug 21737 Comment 8) angepasst werden, um unter amd64 einen talloc stack trace beim Starten des smbd zu vermeiden. svn diff -r9565:9569 svn/patches/samba/2.4-0-0-ucs/2\:3.5.11~dfsg-1-ucs2.4-3/55_ldapfilter_password-history.patch
(In reply to comment #8) > Vermutlich muss auch für samba 3.6.0 der 55_ldapfilter_password-history.patch > analog zu samba 3.5.11 (Bug 21737 Comment 8) angepasst werden, um unter amd64 > einen talloc stack trace beim Starten des smbd zu vermeiden. > > svn diff -r9565:9569 > svn/patches/samba/2.4-0-0-ucs/2\:3.5.11~dfsg-1-ucs2.4-3/55_ldapfilter_password-history.patch Der Patch wurde integriert. Build läuft.
Die idmap Konfiguration muss vermutlich noch auf die Änderungen in 3.6.0 angepasst werden, da die "idmap alloc" Optionen entfernt wurden. Zusätzlich sind die Optionen "idmap uid/gid/backend" sind jetzt deprecated und ersetzt durch "idmap config * : range/backend": ldap idmap suffix = cn=idmap,cn=univention idmap config * : range = 55000-64000 idmap config * : backend = ldap idmap config * : ldap_url = ldap://qamaster.ucs24i386.qa # idmap config * : ldap_user_dn = cn=admin,dc=ucs24i386,dc=qa idmap config UCS24I386 : backend = nss idmap config UCS24I386 : range = 1000-54999 Vermutlich kann ldap_user_dn auch weggelassen werden, weil als Default die credentials für das ldap passdb Backend verwendet wird. Alternativ ginge wahrscheinlich auch: ldap idmap suffix = cn=idmap,cn=univention idmap config * : backend = ldap idmap config * : ldap_url = ldap://qamaster.ucs24i386.qa idmap config * : range = 55000-64000 idmap config UCS24I386 : backend = ldap idmap config UCS24I386 : ldap_url = ldap://qamaster.ucs24i386.qa idmap config UCS24I386 : read only = yes idmap config UCS24I386 : range = 1000-54999 Der Default für den Paramter ldap_base_dn wird durch "ldap idmap suffix" vorgegeben. Default für ldap_url ist ldap://localhost/. Doku in * http://samba.org/samba/history/samba-3.6.0.html * http://lists.samba.org/archive/samba-technical/2011-February/076211.html sowie in den man pages (idmap_ldap) und in docs-xml/smbdotconf/winbind/idmap*.xml.
(In reply to comment #7) > Der amd64-Build ist momentan nicht aktuell siehe > https://forge.univention.org/bugzilla/show_bug.cgi?id=21619#c22 Der Build ist jetzt durchgelaufen. Im AMD64 chroot war python2.6-dev installiert, nachdem ich das Paket entfernt habe, lief der Build durch.
Siehe auch: https://bugzilla.samba.org/show_bug.cgi?id=8399
3.6.1 soll nächste Woche erscheinen -> 3.0 RC.
In univention-samba/samba-shares.py wird noch die UCR Variable samba/ha/master ausgewertet, ggf. kann das auch raus?
(In reply to comment #13) > 3.6.1 soll nächste Woche erscheinen -> 3.0 RC. 3.6.1 ist jetzt für UCS 3.0 gebaut.
Ich wollte die NTLM-Authentifizierung in Squid/Dansguardian testen. Der Join eines Xp-Clients schlug aber fehl (WINS war konfiguriert). Auf dem Client wird nur die Fehlermeldung "Der angegebene Netzwerkname ist nicht mehr verfügbar angezeigt" log.smbd mit loglevel 4: [2011/10/26 08:42:58.409971, 2] passdb/pdb_ldap.c:2424(init_group_from_ldap) init_group_from_ldap: Entry found for group: 5000 [2011/10/26 08:43:01.293082, 2] smbd/process.c:2945(smbd_process) getpeername() failed - Der Socket ist nicht verbunden [2011/10/26 08:43:01.294943, 2] smbd/sesssetup.c:1279(setup_new_vc_session) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2011/10/26 08:43:01.300921, 2] smbd/sesssetup.c:1279(setup_new_vc_session) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2011/10/26 08:43:01.327866, 2] lib/smbldap.c:1018(smbldap_open_connection) smbldap_open_connection: connection opened [2011/10/26 08:43:01.332402, 2] passdb/pdb_ldap.c:553(init_sam_from_ldap) init_sam_from_ldap: Entry found for user: Administrator [2011/10/26 08:44:01.285597, 2] passdb/pdb_ldap.c:2424(init_group_from_ldap) init_group_from_ldap: Entry found for group: 5000 [2011/10/26 08:44:27.066779, 2] smbd/sesssetup.c:1279(setup_new_vc_session) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2011/10/26 08:44:27.069331, 2] smbd/sesssetup.c:1279(setup_new_vc_session) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2011/10/26 08:44:27.084281, 2] lib/smbldap.c:1018(smbldap_open_connection) smbldap_open_connection: connection opened [2011/10/26 08:44:27.090375, 2] passdb/pdb_ldap.c:553(init_sam_from_ldap) init_sam_from_ldap: Entry found for user: Administrator [2011/10/26 08:46:52.421666, 2] passdb/pdb_ldap.c:2424(init_group_from_ldap) init_group_from_ldap: Entry found for group: 5005 [2011/10/26 08:48:48.743517, 2] passdb/pdb_ldap.c:2424(init_group_from_ldap) init_group_from_ldap: Entry found for group: 5005 [2011/10/26 08:48:51.669810, 2] passdb/pdb_ldap.c:2424(init_group_from_ldap) init_group_from_ldap: Entry found for group: 5000
(In reply to comment #16) > Ich wollte die NTLM-Authentifizierung in Squid/Dansguardian testen. Der Join > eines Xp-Clients schlug aber fehl (WINS war konfiguriert). Auf dem Client wird > nur die Fehlermeldung "Der angegebene Netzwerkname ist nicht mehr verfügbar > angezeigt" Das tritt auch beim Join eines Windows 7 (mit installierten Reg-Keys) auf.
Nach dem Update von UCS 2.4-4 auf UCS 3.0-0 hing auf allen DCs der smbd. Eine Anmeldung per smbclient -L localhost -UAdministrator%univention funktionierte erst auf allen DCs, nachdem man dort jeweils /etc/init.d/samba stop pkill -9f smbd /etc/init.d/samba start ausgeführt hat. Auf dem DC Master schien ein wiederholtes Ausführen des smbclient-Tests den smbd in einen nicht-funktionalen Zustand zu bringen.
(In reply to comment #18) > Nach dem Update von UCS 2.4-4 auf UCS 3.0-0 hing auf allen DCs der smbd. Eine > Anmeldung per smbclient -L localhost -UAdministrator%univention funktionierte > erst auf allen DCs, nachdem man dort jeweils > > /etc/init.d/samba stop > pkill -9f smbd > /etc/init.d/samba start > > ausgeführt hat. > > Auf dem DC Master schien ein wiederholtes Ausführen des smbclient-Tests den > smbd in einen nicht-funktionalen Zustand zu bringen. Trat das bei dir auch noch nach einem Neustart auf? Ein weiterer kritischer Bug: https://bugzilla.samba.org/show_bug.cgi?id=8384
Ja, alle Systeme waren nach Update und run-join-scrips neu gebootet worden, in der Reihenfolge Master, Backup, Slave, Member. Auf dem Member trat das Problem nicht auf.
Samba 3.5.11 aus UCS 2.4 wurde importiert und gebaut. Damit funktioniert alles wie erwatrtet. Das Samba 3.6 Update wurde auf UCS 3.x geschoben: Bug #24231
(In reply to comment #21) > Samba 3.5.11 aus UCS 2.4 wurde importiert und gebaut. Damit funktioniert alles > wie erwatrtet. Das Samba 3.6 Update wurde auf UCS 3.x geschoben: Bug #24231 Damit funktionierte der Domänen-Join auf dem System, das mit 3.6 fehlschlug.
Winbind ist auf einem Memberserver nicht per Default installiert. Das sollte nochmal geprüft werden.
winbind wird auf Memberservern jetzt wieder per Default mit installiert, wenn Samba ausgewählt wird. Tests mit S3 und S4 waren erfolgreich.
* Bug 22561 ** samba_3.5.11~dfsg-10 in UCS 3.0 enthalten ** Version wurde gegenüber UCS 2.4-4 erhöht ** Patches aus UCS 2.4-3 sind enthalten (teilweise angepasst wg. z.B. bashisms) ** Join mit WinXP und Win7 erfolgreich ** winbind ist auf Memberservern installiert
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"
*** Bug 18053 has been marked as a duplicate of this bug. ***