[Eisfair] Samba-User und Computer wiederherstellen

Thomas Bork tom at eisfair.org
So Apr 30 12:10:25 CEST 2017


Am 29.04.2017 um 10:37 schrieb Marcus Roeckrath:

> Die Computerdefinitionen dürften aber in /var/lib/samba gesteckt haben;
> Thomas kann dazu aber mehr sagen.

Ein Computer-Account ist nichts anderes als ein User-Account und steckt 
in /etc/passdb.tdb, /etc/passwd, /etc/group, /etc/shadow. Usermappings 
in /etc/user.map.

Bei einem PDC kommt der Teil der Samba-Dokumentation zum Tragen:

Startet Samba das erste Mal als PDC, so wird eine eindeutige SID 
(Security ID) für diesen PDC erzeugt. Diese SID identifiziert die Domäne 
eindeutig. Bei Integration von Clients in die Domäne wird diesen die SID 
zugeordnet. Daraus ergibt sich, dass es nicht ausreicht, einen Client 
als Domänenmitglied einfach identisch zu benennen, um wieder in die 
Domäne zu kommen, da der Client diese SID nicht kennt. Das ist aus 
Sicherheitsgründen absolut sinnvoll!

Setzt man bei irgendwelchen Tests später einmal SAMBA_PDC='no' und 
danach wieder SAMBA_PDC='yes', kann es passieren, dass wiederum eine 
eindeutige SID generiert wird, welche von der vorigen abweicht. Das 
Ergebnis ist verheerend: Kein Client kommt mehr in die Domäne, da die 
Clients ihren PDC mit einer anderen SID assoziieren. Es ist in diesem 
Fall notwendig, alle Clients wieder neu in die Domäne zu integrieren. 
Das gleiche Problem ergibt sich auch bei einer Namensänderung des PDC, 
also genau dann, wenn man den Hostnamen des eisfair-Rechners ändert! Man 
kann das Problem umgehen, indem man vor Änderung von SAMBA_PDC='yes' auf 
SAMBA_PDC='no' und vor einer Namensänderung die SID abspeichert und nach 
Änderung von SAMBA_PDC='no' auf SAMBA_PDC='yes' oder Änderung des Namens 
wieder in Samba einliest. Siehe dazu

             Save Samba SID to /root/MACHINE.SID

und

             Restore Samba SID from /root/MACHINE.SID


Die SID steckt in /etc/secrets.tdb (siehe tdbdump /etc/secrets.tdb). Die 
darf nicht bei laufendem Samba kopiert werden. Zieht man einen PDC um, 
sollte man den neuen Rechner identisch benennen, alle oben genannten 
Dateien, die Samba-Konfiguration /etc/config.d/samba und das 
Samba-lib-Verzeichnis kopieren, da unter /var/lib/samba auch noch die 
Verbindungen von installierten Druckern mit hochgeladenen Treibern stecken.

-- 
der tom
[eisfair-team]


Mehr Informationen über die Mailingliste Eisfair