Bug 22561 – Samba 3 in UCS 3.0

Bug 22561 - Samba 3 in UCS 3.0


Summary:	Samba 3 in UCS 3.0

Status:	CLOSED FIXED

Product:	UCS
Classification:	Unclassified
Component:	Samba
Version:	UCS 3.0
Hardware:	Other Linux

Importance:	P5 enhancement (vote)
Target Milestone:	UCS 3.0 - RC
Assigned To:	Stefan Gohmann
QA Contact:	Sönke Schwardt-Krummrich

URL:
Keywords:

Duplicates:	18053 22107 (view as bug list)
Depends on:
Blocks:	22676
	Show dependency tree / graph

Reported:	2011-05-18 14:39 CEST by Stefan Gohmann
Modified:	2011-12-20 14:18 CET (History)
CC List:	3 users (show)

See Also:
What kind of report is it?:	---
What type of bug is this?:	---
Who will be affected by this bug?:	---
How will those affected feel about the bug?:	---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:

Attachments
Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.

Description Stefan Gohmann

2011-05-18 14:39:30 CEST

Neben Samba 4 sollte es auch noch ein Samba 3 in UCS 3.0 geben. Falls Samba 3 nicht automatisch durch das Samba 4 Paket mitgebaut werden, sollten wir Samba 3.6 importieren.

Comment 1 Stefan Gohmann

2011-06-07 17:07:34 CEST

Damit wir zunächst weiter testen können habe ich Samba 3.6 rc1 importiert. 

Die folgenden Patches wurden entfernt:

- 00_Build-Depends.patch
- 05_libpam-runtime.patch
- 20_browselist-filter.patch
- 51_tdbeximport.patch.TODO
- 60_python_bindings.patch.TODO
- 80_WINBINDD_MAX_SIMULTANEOUS_CLIENTS.patch
- 91_CVE-2010-3069.patch
- quilt_30_xml_vampire.patch.TODO
- 75_try-other-methods-if-utimensat-is-not-supported-ret.patch

Comment 2 Stefan Gohmann

2011-06-08 08:12:09 CEST

Samba 3.6.0 rc2 wurde gestern veröffentlicht und ist jetzt für UCS 3.0 gebaut. Das Paket univention-samba wurde auch übernommen. Dabei wurden die ha- und bdc-Pakete entfernt.

Die PDC-Takeoverskripte wurden mit UCS 2.4 auch schon nicht mehr ausgeliefert und wurden jetzt ebenfalls aus dem Paket entfernt. Es müsste nochmal geklärt werden, welche Möglichkeiten UCS 3.0 bzgl. der Übernahme von NT Domänen können soll.

Comment 3 Stefan Gohmann

2011-06-08 08:19:32 CEST

Die Konfiguration muss noch an Samba 3.6 angepasst werden:

WARNING: The "idmap backend" option is deprecated
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
Unknown parameter encountered: "idmap alloc backend"
Ignoring unknown parameter "idmap alloc backend"
WARNING: The "use spnego" option is deprecated

Comment 4 Stefan Gohmann

2011-06-08 08:30:19 CEST

*** Bug 22107 has been marked as a duplicate of this bug. ***

Comment 5 Stefan Gohmann

2011-08-09 11:59:07 CEST

Die Samba Version muss noch aktualisiert werden, derzeit ist 3.6.0 rc3 gebaut.

Comment 6 Arvid Requate

2011-08-10 17:37:01 CEST

Changelog für http://samba.org/samba/history/samba-3.6.0.html

Comment 7 Moritz Muehlenhoff

2011-08-15 09:30:55 CEST

Der amd64-Build ist momentan nicht aktuell siehe https://forge.univention.org/bugzilla/show_bug.cgi?id=21619#c22

Comment 8 Arvid Requate

2011-08-17 11:07:10 CEST

Vermutlich muss auch für samba 3.6.0 der 55_ldapfilter_password-history.patch analog zu samba 3.5.11 (Bug 21737 Comment 8) angepasst werden, um unter amd64 einen talloc stack trace beim Starten des smbd zu vermeiden.

svn diff -r9565:9569 svn/patches/samba/2.4-0-0-ucs/2\:3.5.11~dfsg-1-ucs2.4-3/55_ldapfilter_password-history.patch

Comment 9 Stefan Gohmann

2011-08-22 16:36:51 CEST

(In reply to comment #8)
> Vermutlich muss auch für samba 3.6.0 der 55_ldapfilter_password-history.patch
> analog zu samba 3.5.11 (Bug 21737 Comment 8) angepasst werden, um unter amd64
> einen talloc stack trace beim Starten des smbd zu vermeiden.
> 
> svn diff -r9565:9569
> svn/patches/samba/2.4-0-0-ucs/2\:3.5.11~dfsg-1-ucs2.4-3/55_ldapfilter_password-history.patch

Der Patch wurde integriert. Build läuft.

Comment 10 Arvid Requate

2011-08-22 18:08:39 CEST

Die idmap Konfiguration muss vermutlich noch auf die Änderungen in 3.6.0 angepasst werden, da die "idmap alloc" Optionen entfernt wurden. Zusätzlich sind die Optionen "idmap uid/gid/backend" sind jetzt deprecated und ersetzt durch "idmap config * : range/backend":

        ldap idmap suffix = cn=idmap,cn=univention
        idmap config * : range = 55000-64000
        idmap config * : backend = ldap
        idmap config * : ldap_url = ldap://qamaster.ucs24i386.qa
#       idmap config * : ldap_user_dn = cn=admin,dc=ucs24i386,dc=qa
        idmap config UCS24I386 : backend = nss
        idmap config UCS24I386 : range = 1000-54999

Vermutlich kann ldap_user_dn auch weggelassen werden, weil als Default die credentials für das ldap passdb Backend verwendet wird. Alternativ ginge wahrscheinlich auch:

        ldap idmap suffix = cn=idmap,cn=univention
        idmap config * : backend = ldap
        idmap config * : ldap_url = ldap://qamaster.ucs24i386.qa
        idmap config * : range = 55000-64000
        idmap config UCS24I386 : backend = ldap
        idmap config UCS24I386 : ldap_url = ldap://qamaster.ucs24i386.qa
        idmap config UCS24I386 : read only = yes
        idmap config UCS24I386 : range = 1000-54999

Der Default für den Paramter ldap_base_dn wird durch "ldap idmap suffix" vorgegeben. Default für ldap_url ist ldap://localhost/. Doku in
 * http://samba.org/samba/history/samba-3.6.0.html
 * http://lists.samba.org/archive/samba-technical/2011-February/076211.html
sowie in den man pages (idmap_ldap) und in docs-xml/smbdotconf/winbind/idmap*.xml.

Comment 11 Stefan Gohmann

2011-08-22 22:43:35 CEST

(In reply to comment #7)
> Der amd64-Build ist momentan nicht aktuell siehe
> https://forge.univention.org/bugzilla/show_bug.cgi?id=21619#c22

Der Build ist jetzt durchgelaufen. Im AMD64 chroot war python2.6-dev installiert, nachdem ich das Paket entfernt habe, lief der Build durch.

Comment 12 Stefan Gohmann

2011-08-26 06:27:03 CEST

Siehe auch: https://bugzilla.samba.org/show_bug.cgi?id=8399

Comment 13 Stefan Gohmann

2011-09-20 17:00:42 CEST

3.6.1 soll nächste Woche erscheinen -> 3.0 RC.

Comment 14 Arvid Requate

2011-10-17 11:11:19 CEST

In univention-samba/samba-shares.py wird noch die UCR Variable samba/ha/master ausgewertet, ggf. kann das auch raus?

Comment 15 Stefan Gohmann

2011-10-21 10:04:57 CEST

(In reply to comment #13)
> 3.6.1 soll nächste Woche erscheinen -> 3.0 RC.

3.6.1 ist jetzt für UCS 3.0 gebaut.

Comment 16 Moritz Muehlenhoff

2011-10-26 08:50:57 CEST

Ich wollte die NTLM-Authentifizierung in Squid/Dansguardian testen. Der Join eines Xp-Clients schlug aber fehl (WINS war konfiguriert). Auf dem Client wird nur die Fehlermeldung "Der angegebene Netzwerkname ist nicht mehr verfügbar angezeigt"

log.smbd mit loglevel 4:

[2011/10/26 08:42:58.409971,  2] passdb/pdb_ldap.c:2424(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 5000
[2011/10/26 08:43:01.293082,  2] smbd/process.c:2945(smbd_process)
  getpeername() failed - Der Socket ist nicht verbunden
[2011/10/26 08:43:01.294943,  2] smbd/sesssetup.c:1279(setup_new_vc_session)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2011/10/26 08:43:01.300921,  2] smbd/sesssetup.c:1279(setup_new_vc_session)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2011/10/26 08:43:01.327866,  2] lib/smbldap.c:1018(smbldap_open_connection)
  smbldap_open_connection: connection opened
[2011/10/26 08:43:01.332402,  2] passdb/pdb_ldap.c:553(init_sam_from_ldap)
  init_sam_from_ldap: Entry found for user: Administrator
[2011/10/26 08:44:01.285597,  2] passdb/pdb_ldap.c:2424(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 5000
[2011/10/26 08:44:27.066779,  2] smbd/sesssetup.c:1279(setup_new_vc_session)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2011/10/26 08:44:27.069331,  2] smbd/sesssetup.c:1279(setup_new_vc_session)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2011/10/26 08:44:27.084281,  2] lib/smbldap.c:1018(smbldap_open_connection)
  smbldap_open_connection: connection opened
[2011/10/26 08:44:27.090375,  2] passdb/pdb_ldap.c:553(init_sam_from_ldap)
  init_sam_from_ldap: Entry found for user: Administrator
[2011/10/26 08:46:52.421666,  2] passdb/pdb_ldap.c:2424(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 5005
[2011/10/26 08:48:48.743517,  2] passdb/pdb_ldap.c:2424(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 5005
[2011/10/26 08:48:51.669810,  2] passdb/pdb_ldap.c:2424(init_group_from_ldap)
  init_group_from_ldap: Entry found for group: 5000

Comment 17 Moritz Muehlenhoff

2011-10-26 12:15:59 CEST

(In reply to comment #16)
> Ich wollte die NTLM-Authentifizierung in Squid/Dansguardian testen. Der Join
> eines Xp-Clients schlug aber fehl (WINS war konfiguriert). Auf dem Client wird
> nur die Fehlermeldung "Der angegebene Netzwerkname ist nicht mehr verfügbar
> angezeigt"

Das tritt auch beim Join eines Windows 7 (mit installierten Reg-Keys) auf.

Comment 18 Arvid Requate

2011-10-26 18:52:12 CEST

Nach dem Update von UCS 2.4-4 auf UCS 3.0-0 hing auf allen DCs der smbd. Eine Anmeldung per smbclient -L localhost -UAdministrator%univention funktionierte erst auf allen DCs, nachdem man dort jeweils

/etc/init.d/samba stop
pkill -9f smbd
/etc/init.d/samba start

ausgeführt hat.

Auf dem DC Master schien ein wiederholtes Ausführen des smbclient-Tests den smbd in einen nicht-funktionalen Zustand zu bringen.

Comment 19 Stefan Gohmann

2011-10-27 06:29:19 CEST

(In reply to comment #18)
> Nach dem Update von UCS 2.4-4 auf UCS 3.0-0 hing auf allen DCs der smbd. Eine
> Anmeldung per smbclient -L localhost -UAdministrator%univention funktionierte
> erst auf allen DCs, nachdem man dort jeweils
> 
> /etc/init.d/samba stop
> pkill -9f smbd
> /etc/init.d/samba start
> 
> ausgeführt hat.
> 
> Auf dem DC Master schien ein wiederholtes Ausführen des smbclient-Tests den
> smbd in einen nicht-funktionalen Zustand zu bringen.

Trat das bei dir auch noch nach einem Neustart auf?

Ein weiterer kritischer Bug:
https://bugzilla.samba.org/show_bug.cgi?id=8384

Comment 20 Arvid Requate

2011-10-27 09:49:07 CEST

Ja, alle Systeme waren nach Update und run-join-scrips neu gebootet worden, in der Reihenfolge Master, Backup, Slave, Member. Auf dem Member trat das Problem nicht auf.

Comment 21 Stefan Gohmann

2011-10-27 15:57:19 CEST

Samba 3.5.11 aus UCS 2.4 wurde importiert und gebaut. Damit funktioniert alles wie erwatrtet. Das Samba 3.6 Update wurde auf UCS 3.x geschoben: Bug #24231

Comment 22 Moritz Muehlenhoff

2011-10-28 10:06:56 CEST

(In reply to comment #21)
> Samba 3.5.11 aus UCS 2.4 wurde importiert und gebaut. Damit funktioniert alles
> wie erwatrtet. Das Samba 3.6 Update wurde auf UCS 3.x geschoben: Bug #24231

Damit funktionierte der Domänen-Join auf dem System, das mit 3.6 fehlschlug.

Comment 23 Stefan Gohmann

2011-11-05 13:48:22 CET

Winbind ist auf einem Memberserver nicht per Default installiert. Das sollte nochmal geprüft werden.

Comment 24 Stefan Gohmann

2011-11-07 08:47:12 CET

winbind wird auf Memberservern jetzt wieder per Default mit installiert, wenn Samba ausgewählt wird.

Tests mit S3 und S4 waren erfolgreich.

Comment 25 Sönke Schwardt-Krummrich

2011-11-21 17:46:45 CET

* Bug 22561
** samba_3.5.11~dfsg-10 in UCS 3.0 enthalten
** Version wurde gegenüber UCS 2.4-4 erhöht
** Patches aus UCS 2.4-3 sind enthalten (teilweise angepasst wg. z.B. bashisms)
** Join mit WinXP und Win7 erfolgreich
** winbind ist auf Memberservern installiert

Comment 26 Sönke Schwardt-Krummrich

2011-12-13 15:49:43 CET

UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer
neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert
werden: "Clone This Bug"

Comment 27 Arvid Requate

2011-12-20 14:18:28 CET

*** Bug 18053 has been marked as a duplicate of this bug. ***