Univention Bugzilla – Bug 24429
Samba Homeshare logon schlägt fehl wenn Homeverzeichnis nicht existiert
Last modified: 2011-12-13 15:50:36 CET
Zur Zeit schlägt der Samba logon gegen das homeshare fehl, weil Samba als Benutzername den Voll-Qualifizierten AD-Benutzernamen Domain+username in den Samba-PAM-Stack schickt. Mit samba/pam/restrictions=yes schlagen dann leider pam_limits, univention-mount-homedir und pam_mkhomedir fehl: root@master:~# smbclient //localhost/Administrator -UAdministrator%univention GSSAPI to 'localhost' does not make sense Connection to \\localhost\Administrator failed - NT_STATUS_BAD_NETWORK_NAME In /var/log/auth.log steht: Oct 19 18:15:38 master smbd[23060]: pam_unix(samba:session): session opened for user ARUCS3MS2I7+Administrator by (uid=0) Oct 19 18:15:38 master smbd[23060]: pam_mkhomedir(samba:session): User unknown. Wenn man samba/pam/restrictions=no setzt und das Homeverzeichnis des Benutzers nicht existiert hat man leider den Effekt von Bug 794: root@master:~# smbclient //localhost/Administrator -UAdministrator%univention GSSAPI to 'localhost' does not make sense Connection to \\localhost\Administrator failed - NT_STATUS_BAD_NETWORK_NAME
Ein Test per pam_winbind und/oder "winbind use default domain" war nicht erfolgreich. Vermutlich müssen wir hier den Benutzernamen umschreiben, analog zu pam_univentionmailcyrus.
Das Paket univention-samba4 bringt jetzt einen angepassten PAM-Stack 'samba' mit, der im session-Teil das neue PAM-Modul pam_univentionsambadomain aufruft, welches den eingehenden Benutzernamen daraufhin überprüft, ob er das Format "$windows_domain"+username hat. Falls ja, dann wird der Benutzername für die Open-Session Phase auf den kurzen Benutzernamen gemapped. Damit sehen die nachfolgenden Module in dieser Phase den üblichen kurzen Benutzernamen, der per nss_ldap auflösbar sein sollte. Das mkhomedir Modul legt dann das Homeverzeichnis an und der smbclient-Zugriff verläuft erfolgreich.
Logon für neue Benutzer funktioniert jetzt (amd64 und i386).
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"