Thomas Bork
2019-02-21 16:29:54 UTC
Hi @all,
es steht eine eisfair-Samba-Version 7.1.0 mit dem Status 'unstable' für
eisfair-64 zur Verfügung.
Hierfür wird die Samba-Serie 4.9.x genutzt, da unser bisher verwendetes
Samba aus der Serie 4.7.x demnächst (bei Erscheinen von 4.10.0) nicht
einmal mehr Sicherheits-Updates erhält:
https://wiki.samba.org/index.php/Samba_Release_Planning
Achtung!
Samba 4.9.x verhält sich in einigen Dingen völlig anders, als die bisher
verwendete Linie 4.7.x:
1.
Läuft ein Samba im Netz mit 4.9.x als PDC, läuft ein anderer Rechner mit
Samba 4.9.x als Member-Server (SAMBA_PASSWORD_SERVER ist nicht leer) und
man möchte auf die Freigaben des Member-Servers von einem
Windows-Rechner zugreifen, der nicht in die Domäne integriert wurde,
kann man sich mehr nicht wie bisher möglich mit
Benutzer und Passort
authentifizieren, sondern man muss zwingend
Domäne\Benutzer und Passwort verwenden.
2.
Konfigurationen mit einem externen Samba-Passwort-Server
(SAMBA_PASSWORD_SERVER ist nicht leer) benötigen ab Samba 4.8.x einen
zusätzlichen Dienst (winbindd).
Sauber funktioniert das aber alles nur, wenn die User _nur_ auf dem
externen Server existieren. Lokal dürfen diese nicht angelegt sein. Hat
jemand vorher (vor Samba 4.9.x) schon SAMBA_PASSWORD_SERVER gesetzt,
wurden erfolgreich authentifizierte User aber automatisch als
System-User angelegt. Das muss man nun rückgängig machen:
Zuerst müssen die von solcherart angelegten System-Usern abgelegten
Dateien den Usern auf dem PDC übereignet werden. Dann sollten diese
System-User auf dem Member-Server gelöscht werden.
Alle folgenden Informationen beziehen sich jeweils auf dem Member-Server:
Anzeige der Samba-User:
pdbedit -Lw | grep -v "^.*$:" | sort -t: -k2n
Hier darf keine Ausgabe mehr erfolgen, wenn alles bereinigt wurde!
Anzeige der durch ältere Versionen automatisch angelegten System-User:
getent passwd | grep 'samba_auto_user'
Hier darf keine Ausgabe mehr erfolgen, wenn alles bereinigt wurde!
Anzeige der Samba-User des PDC (SAMBA_PASSWORD_SERVER):
wbinfo -u
Anzeige der Domänengruppen des PDC (SAMBA_PASSWORD_SERVER):
wbinfo -g
Anzeige der Informationen eines spezifischen Users des PDC
(SAMBA_PASSWORD_SERVER):
getent passwd DOMAENE\\USERNAME
Das interne Changelog:
6.8.0 --> 7.1.0
---------------
- 4.9.4 (4.9.4-for-eisfair-64-patch-1, status unstable).
- Require base 2.8.12.
- New build of cifs-utils 6.8.
- /tmp/preinstall.sh:
Save samba versions earlier 4.9.
- /tmp/install.sh:
- Deactivate resetting of /etc/nsswitch.conf.
- Link libnss_winbind.so:
sambalibdir=`smbd -b | grep LIBDIR | awk '{ print $2 }'`
rm -f /lib64/libnss_winbind.so
rm -f /lib64/libnss_winbind.so.2
ln -s ${sambalibdir}/libnss_winbind.so.2 /lib64/
ln -s /lib64/libnss_winbind.so.2 /lib64/libnss_winbind.so
- /var/install/config.d/samba.sh:
- If using SAMBA_PASSWORD_SERVER, then writing
password server = $password_server
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# hier muss in SAMBA_WORKGROUP die externe domaene stehen
idmap config $SAMBA_WORKGROUP : backend = rid
idmap config $SAMBA_WORKGROUP : range = 10000-999999
template shell = /bin/bash
template homedir = /home/%u
#winbind enum users = yes
#winbind enum groups = yes
#winbind use default domain = yes
to smb.conf, because since version 4.8 member servers are
needing a running winbindd.
- If using SAMBA_PASSWORD_SERVER, then executing
if ! grep -q 'winbind' /etc/nsswitch.conf
then
mecho --info "Adding winbind to /etc/nsswitch.conf ..."
{
echo "passwd: compat winbind"
echo "group: compat winbind"
} >/etc/nsswitch.conf.samba
chmod 0644 /etc/nsswitch.conf.samba
chown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
fi
, because since version 4.8 member servers are needing
a running winbindd.
- If using SAMBA_PASSWORD_SERVER, then adding pam_winbind.so
to /etc/pam.d with
pam-config -a --force --winbind
and writing /etc/security/pam_winbind.conf.
- If not using SAMBA_PASSWORD_SERVER, then executing
if [ -s /etc/nsswitch.conf.samba ] # /etc/nsswitch.conf.samba
vorhanden und nicht leer
then
mecho --info "Resetting /etc/nsswitch.conf to defaults ..."
chown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
rm -f /etc/nsswitch.conf.samba
fi
- If not using SAMBA_PASSWORD_SERVER, then removing pam_winbind.so
from /etc/pam.d with
pam-config -d --winbind
and deleting /etc/security/pam_winbind.conf.
- Only warn that there are no samba users configured, if not using
SAMBA_PASSWORD_SERVER.
- Using new path for netcalc.
- /etc/check.d/samba.ext:
if (samba_pdc && samba_password_server != "")
then
error "You cannot set SAMBA_PDC='yes' and SAMBA_PASSWORD_SERVER
at the same time!"
fi
- /var/install/config.d/samba-update.sh:
if [ "$SAMBA_PDC" = "yes" ]
then
SAMBA_PASSWORD_SERVER=''
fi
- /etc/init.d/samba:
- In do_loadnmbd remove winbindd_cache.tdb.
- In do_startsamba execute do_loadwinbindd if
SAMBA_PASSWORD_SERVER is set, because since version 4.8 member servers
are needing a running winbindd.
- In stop execute
if [ $winbinddstatus = alive ]
then
boot_mesg " - Stopping winbindd ..."
for signal in "TERM" "INT" "HUP" "KILL"
do
/usr/bin/killall -$signal winbindd
if [ $? -eq 0 ]
then
echo_ok
break
fi
boot_mesg " Warning: killall -$signal winbindd failed."
echo_warning
sleep 1
done
sleep 1
rm -f $winbinddpidfile
else
boot_mesg " Warning: winbindd is not running."
echo_warning
fi
, because since version 4.8 member servers are needing
a running winbindd.
- /var/install/deinstall/samba:
- Remove /var/log/log.wb-?* and /var/log/log.winbind?*.
- Remove pam_winbind.so from /etc/pam.d with
pam-config -d --winbind
and deleting /etc/security/pam_winbind.conf.
- Remove /etc/netlogon_creds_cli.tdb*.
- /var/install/bin/samba-join-domain:
Reworked.
- /var/install/bin/samba-lookup-all:
Using new path for netcalc.
- /var/install/bin/samba-print-pdf:
Using new path for uuencode.
Dieses Paket bei https://pack-eis.de:
=====================================
https://www.pack-eis.de/index.php?p=29448
Changelog:
==========
https://www.pack-eis.de/?action=showfile&pid=29448&filename=usr/share/doc/samba/changes.txt
Das dazugehörige devel-Paket bei https://pack-eis.de:
=====================================================
https://www.pack-eis.de/index.php?p=29449
Changelog:
==========
https://www.pack-eis.de/?action=showfile&pid=29449&filename=usr/share/doc/samba-dev/changes.txt
Die Änderungen im Samba-Changelog im Überblick:
===============================================
https://www.samba.org/samba/history/samba-4.8.0.html
https://www.samba.org/samba/history/samba-4.9.0.html
https://www.samba.org/samba/history/samba-4.9.1.html
https://www.samba.org/samba/history/samba-4.9.2.html
https://www.samba.org/samba/history/samba-4.9.3.html
https://www.samba.org/samba/history/samba-4.9.4.html
Ich danke allen Mitgliedern des Teams für Tests und Unterstützung und
wünsche allen Anwendern weiterhin viel Spass mit eisfair!
Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.
es steht eine eisfair-Samba-Version 7.1.0 mit dem Status 'unstable' für
eisfair-64 zur Verfügung.
Hierfür wird die Samba-Serie 4.9.x genutzt, da unser bisher verwendetes
Samba aus der Serie 4.7.x demnächst (bei Erscheinen von 4.10.0) nicht
einmal mehr Sicherheits-Updates erhält:
https://wiki.samba.org/index.php/Samba_Release_Planning
Achtung!
Samba 4.9.x verhält sich in einigen Dingen völlig anders, als die bisher
verwendete Linie 4.7.x:
1.
Läuft ein Samba im Netz mit 4.9.x als PDC, läuft ein anderer Rechner mit
Samba 4.9.x als Member-Server (SAMBA_PASSWORD_SERVER ist nicht leer) und
man möchte auf die Freigaben des Member-Servers von einem
Windows-Rechner zugreifen, der nicht in die Domäne integriert wurde,
kann man sich mehr nicht wie bisher möglich mit
Benutzer und Passort
authentifizieren, sondern man muss zwingend
Domäne\Benutzer und Passwort verwenden.
2.
Konfigurationen mit einem externen Samba-Passwort-Server
(SAMBA_PASSWORD_SERVER ist nicht leer) benötigen ab Samba 4.8.x einen
zusätzlichen Dienst (winbindd).
Sauber funktioniert das aber alles nur, wenn die User _nur_ auf dem
externen Server existieren. Lokal dürfen diese nicht angelegt sein. Hat
jemand vorher (vor Samba 4.9.x) schon SAMBA_PASSWORD_SERVER gesetzt,
wurden erfolgreich authentifizierte User aber automatisch als
System-User angelegt. Das muss man nun rückgängig machen:
Zuerst müssen die von solcherart angelegten System-Usern abgelegten
Dateien den Usern auf dem PDC übereignet werden. Dann sollten diese
System-User auf dem Member-Server gelöscht werden.
Alle folgenden Informationen beziehen sich jeweils auf dem Member-Server:
Anzeige der Samba-User:
pdbedit -Lw | grep -v "^.*$:" | sort -t: -k2n
Hier darf keine Ausgabe mehr erfolgen, wenn alles bereinigt wurde!
Anzeige der durch ältere Versionen automatisch angelegten System-User:
getent passwd | grep 'samba_auto_user'
Hier darf keine Ausgabe mehr erfolgen, wenn alles bereinigt wurde!
Anzeige der Samba-User des PDC (SAMBA_PASSWORD_SERVER):
wbinfo -u
Anzeige der Domänengruppen des PDC (SAMBA_PASSWORD_SERVER):
wbinfo -g
Anzeige der Informationen eines spezifischen Users des PDC
(SAMBA_PASSWORD_SERVER):
getent passwd DOMAENE\\USERNAME
Das interne Changelog:
6.8.0 --> 7.1.0
---------------
- 4.9.4 (4.9.4-for-eisfair-64-patch-1, status unstable).
- Require base 2.8.12.
- New build of cifs-utils 6.8.
- /tmp/preinstall.sh:
Save samba versions earlier 4.9.
- /tmp/install.sh:
- Deactivate resetting of /etc/nsswitch.conf.
- Link libnss_winbind.so:
sambalibdir=`smbd -b | grep LIBDIR | awk '{ print $2 }'`
rm -f /lib64/libnss_winbind.so
rm -f /lib64/libnss_winbind.so.2
ln -s ${sambalibdir}/libnss_winbind.so.2 /lib64/
ln -s /lib64/libnss_winbind.so.2 /lib64/libnss_winbind.so
- /var/install/config.d/samba.sh:
- If using SAMBA_PASSWORD_SERVER, then writing
password server = $password_server
idmap config * : backend = tdb
idmap config * : range = 3000-7999
# hier muss in SAMBA_WORKGROUP die externe domaene stehen
idmap config $SAMBA_WORKGROUP : backend = rid
idmap config $SAMBA_WORKGROUP : range = 10000-999999
template shell = /bin/bash
template homedir = /home/%u
#winbind enum users = yes
#winbind enum groups = yes
#winbind use default domain = yes
to smb.conf, because since version 4.8 member servers are
needing a running winbindd.
- If using SAMBA_PASSWORD_SERVER, then executing
if ! grep -q 'winbind' /etc/nsswitch.conf
then
mecho --info "Adding winbind to /etc/nsswitch.conf ..."
{
echo "passwd: compat winbind"
echo "group: compat winbind"
} >/etc/nsswitch.conf.samba
chmod 0644 /etc/nsswitch.conf.samba
chown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
fi
, because since version 4.8 member servers are needing
a running winbindd.
- If using SAMBA_PASSWORD_SERVER, then adding pam_winbind.so
to /etc/pam.d with
pam-config -a --force --winbind
and writing /etc/security/pam_winbind.conf.
- If not using SAMBA_PASSWORD_SERVER, then executing
if [ -s /etc/nsswitch.conf.samba ] # /etc/nsswitch.conf.samba
vorhanden und nicht leer
then
mecho --info "Resetting /etc/nsswitch.conf to defaults ..."
/etc/nsswitch.conf.samba
chmod 0644 /etc/nsswitch.conf.sambachown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
rm -f /etc/nsswitch.conf.samba
fi
- If not using SAMBA_PASSWORD_SERVER, then removing pam_winbind.so
from /etc/pam.d with
pam-config -d --winbind
and deleting /etc/security/pam_winbind.conf.
- Only warn that there are no samba users configured, if not using
SAMBA_PASSWORD_SERVER.
- Using new path for netcalc.
- /etc/check.d/samba.ext:
if (samba_pdc && samba_password_server != "")
then
error "You cannot set SAMBA_PDC='yes' and SAMBA_PASSWORD_SERVER
at the same time!"
fi
- /var/install/config.d/samba-update.sh:
if [ "$SAMBA_PDC" = "yes" ]
then
SAMBA_PASSWORD_SERVER=''
fi
- /etc/init.d/samba:
- In do_loadnmbd remove winbindd_cache.tdb.
- In do_startsamba execute do_loadwinbindd if
SAMBA_PASSWORD_SERVER is set, because since version 4.8 member servers
are needing a running winbindd.
- In stop execute
if [ $winbinddstatus = alive ]
then
boot_mesg " - Stopping winbindd ..."
for signal in "TERM" "INT" "HUP" "KILL"
do
/usr/bin/killall -$signal winbindd
if [ $? -eq 0 ]
then
echo_ok
break
fi
boot_mesg " Warning: killall -$signal winbindd failed."
echo_warning
sleep 1
done
sleep 1
rm -f $winbinddpidfile
else
boot_mesg " Warning: winbindd is not running."
echo_warning
fi
, because since version 4.8 member servers are needing
a running winbindd.
- /var/install/deinstall/samba:
- Remove /var/log/log.wb-?* and /var/log/log.winbind?*.
- Remove pam_winbind.so from /etc/pam.d with
pam-config -d --winbind
and deleting /etc/security/pam_winbind.conf.
- Remove /etc/netlogon_creds_cli.tdb*.
- /var/install/bin/samba-join-domain:
Reworked.
- /var/install/bin/samba-lookup-all:
Using new path for netcalc.
- /var/install/bin/samba-print-pdf:
Using new path for uuencode.
Dieses Paket bei https://pack-eis.de:
=====================================
https://www.pack-eis.de/index.php?p=29448
Changelog:
==========
https://www.pack-eis.de/?action=showfile&pid=29448&filename=usr/share/doc/samba/changes.txt
Das dazugehörige devel-Paket bei https://pack-eis.de:
=====================================================
https://www.pack-eis.de/index.php?p=29449
Changelog:
==========
https://www.pack-eis.de/?action=showfile&pid=29449&filename=usr/share/doc/samba-dev/changes.txt
Die Änderungen im Samba-Changelog im Überblick:
===============================================
https://www.samba.org/samba/history/samba-4.8.0.html
https://www.samba.org/samba/history/samba-4.9.0.html
https://www.samba.org/samba/history/samba-4.9.1.html
https://www.samba.org/samba/history/samba-4.9.2.html
https://www.samba.org/samba/history/samba-4.9.3.html
https://www.samba.org/samba/history/samba-4.9.4.html
Ich danke allen Mitgliedern des Teams für Tests und Unterstützung und
wünsche allen Anwendern weiterhin viel Spass mit eisfair!
Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.
--
der tom
[eisfair-team]
der tom
[eisfair-team]