[Eisfair] [e1] Samba 7.1.0 (Status 'unstable')

Thomas Bork tom at eisfair.org
Do Feb 21 17:27:02 CET 2019


Hi @all,

es steht eine eisfair-Samba-Version 7.1.0 mit dem Status 'unstable' für 
eisfair-1 zur Verfügung.

Hierfür wird die Samba-Serie 4.9.x genutzt, da unser bisher verwendetes 
Samba aus der Serie 4.7.x demnächst (bei Erscheinen von 4.10.0) nicht 
einmal mehr Sicherheits-Updates erhält:

https://wiki.samba.org/index.php/Samba_Release_Planning

Achtung!
Samba 4.9.x verhält sich in einigen Dingen völlig anders, als die bisher 
verwendete Linie 4.7.x:

1.
Läuft ein Samba im Netz mit 4.9.x als PDC, läuft ein anderer Rechner mit 
Samba 4.9.x als Member-Server (SAMBA_PASSWORD_SERVER ist nicht leer) und 
man möchte auf die Freigaben des Member-Servers von einem 
Windows-Rechner zugreifen, der nicht in die Domäne integriert wurde, 
kann man sich mehr nicht wie bisher möglich mit

Benutzer und Passort

authentifizieren, sondern man muss zwingend

Domäne\Benutzer und Passwort verwenden.


2.
Konfigurationen mit einem externen Samba-Passwort-Server 
(SAMBA_PASSWORD_SERVER ist nicht leer) benötigen ab Samba 4.8.x einen 
zusätzlichen Dienst (winbindd).

Sauber funktioniert das aber alles nur, wenn die User _nur_ auf dem 
externen Server existieren. Lokal dürfen diese nicht angelegt sein. Hat 
jemand vorher (vor Samba 4.9.x) schon SAMBA_PASSWORD_SERVER gesetzt, 
wurden erfolgreich authentifizierte User aber automatisch als 
System-User angelegt. Das muss man nun rückgängig machen:

Zuerst müssen die von solcherart angelegten System-Usern abgelegten 
Dateien den Usern auf dem PDC übereignet werden. Dann sollten diese 
System-User auf dem Member-Server gelöscht werden.

Alle folgenden Informationen beziehen sich jeweils auf dem Member-Server:

Anzeige der Samba-User:
pdbedit -Lw | grep -v "^.*$:" | sort -t: -k2n

Hier darf keine Ausgabe mehr erfolgen, wenn alles bereinigt wurde!

Anzeige der durch ältere Versionen automatisch angelegten System-User:
getent passwd | grep 'samba_auto_user'

Hier darf keine Ausgabe mehr erfolgen, wenn alles bereinigt wurde!

Anzeige der Samba-User des PDC (SAMBA_PASSWORD_SERVER):
wbinfo -u

Anzeige der Domänengruppen des PDC (SAMBA_PASSWORD_SERVER):
wbinfo -g

Anzeige der Informationen eines spezifischen Users des PDC 
(SAMBA_PASSWORD_SERVER):
getent passwd DOMAENE\\USERNAME



Das interne Changelog:

6.8.0 --> 7.1.0
---------------
- 4.9.4 (4.9.4-for-eisfair-1-patch-1, status unstable).
- Require base 2.8.12.
- New build of cifs-utils 6.8.
- /tmp/preinstall.sh:
   Save samba versions earlier 4.9.
- /tmp/install.sh:
   - Deactivate resetting of /etc/nsswitch.conf.
   - Link libnss_winbind.so:
     sambalibdir=`smbd -b | grep LIBDIR | awk '{ print $2 }'`
     rm -f /lib/libnss_winbind.so
     rm -f /lib/libnss_winbind.so.2
     ln -s ${sambalibdir}/libnss_winbind.so.2 /lib/
     ln -s /lib/libnss_winbind.so.2 /lib/libnss_winbind.so
- /var/install/config.d/samba.sh:
   - If using SAMBA_PASSWORD_SERVER, then writing
     password server = $password_server
     idmap config * : backend = tdb
     idmap config * : range = 3000-7999
     # hier muss in SAMBA_WORKGROUP die externe domaene stehen
     idmap config $SAMBA_WORKGROUP : backend = rid
     idmap config $SAMBA_WORKGROUP : range = 10000-999999
     template shell = /bin/bash
     template homedir = /home/%u
     #winbind enum users = yes
     #winbind enum groups = yes
     #winbind use default domain = yes
     to smb.conf, because since version 4.8 member servers are
     needing a running winbindd.
   - If using SAMBA_PASSWORD_SERVER, then executing
     if ! grep -q 'winbind' /etc/nsswitch.conf
     then
         mecho --info "Adding winbind to /etc/nsswitch.conf ..."
         {
         echo "passwd:         compat winbind"
         echo "group:          compat winbind"
         } >/etc/nsswitch.conf.samba

         chmod 0644 /etc/nsswitch.conf.samba
         chown root:root /etc/nsswitch.conf.samba
         /var/install/bin/update-nsswitch samba
     fi
     , because since version 4.8 member servers are needing
     a running winbindd.
   - If using SAMBA_PASSWORD_SERVER, then adding pam_winbind.so
     to /etc/pam.d with
     pam-config -a --force --winbind
     and writing /etc/security/pam_winbind.conf.
   - If not using SAMBA_PASSWORD_SERVER, then executing
     if [ -s /etc/nsswitch.conf.samba ] # /etc/nsswitch.conf.samba 
vorhanden und nicht leer
     then
         mecho --info "Resetting /etc/nsswitch.conf to defaults ..."
         >/etc/nsswitch.conf.samba
         chmod 0644 /etc/nsswitch.conf.samba
         chown root:root /etc/nsswitch.conf.samba
         /var/install/bin/update-nsswitch samba
         rm -f /etc/nsswitch.conf.samba
     fi
   - If not using SAMBA_PASSWORD_SERVER, then removing pam_winbind.so
     from /etc/pam.d with
     pam-config -d --winbind
     and deleting /etc/security/pam_winbind.conf.
   - Only warn that there are no samba users configured, if not using
     SAMBA_PASSWORD_SERVER.
   - Using new path for netcalc.
- /etc/check.d/samba.ext:
   if (samba_pdc && samba_password_server != "")
   then
       error "You cannot set SAMBA_PDC='yes' and SAMBA_PASSWORD_SERVER 
at the same time!"
   fi
- /var/install/config.d/samba-update.sh:
   if [ "$SAMBA_PDC" = "yes" ]
   then
       SAMBA_PASSWORD_SERVER=''
   fi
- /etc/init.d/samba:
   - In do_loadnmbd remove winbindd_cache.tdb.
   - In do_startsamba execute do_loadwinbindd if
     SAMBA_PASSWORD_SERVER is set, because since version 4.8 member servers
     are needing a running winbindd.
   - In stop execute
     if [ $winbinddstatus = alive ]
     then
         boot_mesg "   - Stopping winbindd ..."
         for signal in "TERM" "INT" "HUP" "KILL"
         do
             /usr/bin/killall -$signal winbindd
             if [ $? -eq 0 ]
             then
                 echo_ok
                 break
             fi
             boot_mesg "   Warning: killall -$signal winbindd failed."
             echo_warning
             sleep 1
         done
         sleep 1
         rm -f $winbinddpidfile
     else
         boot_mesg "   Warning: winbindd is not running."
         echo_warning
     fi
     , because since version 4.8 member servers are needing
     a running winbindd.
- /var/install/deinstall/samba:
   - Remove /var/log/log.wb-?* and /var/log/log.winbind?*.
   - Remove pam_winbind.so from /etc/pam.d with
     pam-config -d --winbind
     and deleting /etc/security/pam_winbind.conf.
   - Remove /etc/netlogon_creds_cli.tdb*.
- /var/install/bin/samba-join-domain:
   Reworked.
- /var/install/bin/samba-lookup-all:
   Using new path for netcalc.
- /var/install/bin/samba-print-pdf:
   Using new path for uuencode.


Dieses Paket bei https://pack-eis.de:
=====================================
https://www.pack-eis.de/index.php?p=29446

Changelog:
==========
https://www.pack-eis.de/?action=showfile&pid=29446&filename=usr/share/doc/samba/changes.txt


Das dazugehörige devel-Paket bei https://pack-eis.de:
=====================================================
https://www.pack-eis.de/index.php?p=29447

Changelog:
==========
https://www.pack-eis.de/?action=showfile&pid=29447&filename=usr/share/doc/samba-dev/changes.txt


Die Änderungen im Samba-Changelog im Überblick:
===============================================
https://www.samba.org/samba/history/samba-4.8.0.html
https://www.samba.org/samba/history/samba-4.9.0.html
https://www.samba.org/samba/history/samba-4.9.1.html
https://www.samba.org/samba/history/samba-4.9.2.html
https://www.samba.org/samba/history/samba-4.9.3.html
https://www.samba.org/samba/history/samba-4.9.4.html



Ich danke allen Mitgliedern des Teams für Tests und Unterstützung und 
wünsche allen Anwendern weiterhin viel Spass mit eisfair!


Das Posting geht parallel an spline.eisfair und spline.eisfair.dev.
Produktive Rückmeldungen bitte an spline.eisfair.dev.

-- 
der tom
[eisfair-team]


Mehr Informationen über die Mailingliste Eisfair