Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Samba 4 + RSAT + GPO
395 views
Skip to first unread message
Laotrasolucion
Aug 8, 2016, 9:10:03 PM8/8/16
to
Hola,
Estoy en el intento de crear un dominio con samba 4 y clientes
windows/linux. Instale samba4 desde los repositorios, hice el provisión
de la siguiente manera.
samba-tool domain provision --use-rfc2307 --use-xattrs=yes --realm
test.lan --domain test --adminpass XXXXXX --server-role=dc --dns
SAMBA_INTERNAL --use-ntvfs
Pude meter 3 maquinas de prueba en el domino, hasta el momento funciona
todo bien (creación de usuarios/grupos/, permisos/ACLs, DNS, etc)
Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear
unidades, configurar proxy en los navegadores, etc. Pero me tope con el
problema de que al intentar crear una GPO desde el cliente RSAT, me
indica lo siguiente:
"el sistema no puede encontrar el archivo especificado"
Entonces intente crearlos con samba-tools
samba-tool gpo create map_d_unit -Uadministrator
Password for [TEST\administrator]:
GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
(No tengo idea como modificar desde la consola esa GPO)
Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
algún cambio.
A mi parece todo apunta a un problema de permisos que no tengo en
cuenta. Ustedes que opinan?
Les dejo mi configuración y si necesitan algún otro dato me lo hacen saber.
smb.conf
[global]
workgroup = TEST
realm = test.lan
netbios name = PDC
server role = active directory domain controller
dns forwarder = 8.8.8.8
server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind,
ntp_signd, kcc, dnsupdate, dns, smb
dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon,
lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6,
backupkey, dnsserver, winreg, srvsvc
idmap_ldb:use rfc2307 = yes
[netlogon]
path = /var/lib/samba/sysvol/turbolar.lan/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
Level del arbol:
Domain and forest function level for domain 'DC=test,DC=lan'
Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2
Estoy en el intento de crear un dominio con samba 4 y clientes
windows/linux. Instale samba4 desde los repositorios, hice el provisión
de la siguiente manera.
samba-tool domain provision --use-rfc2307 --use-xattrs=yes --realm
test.lan --domain test --adminpass XXXXXX --server-role=dc --dns
SAMBA_INTERNAL --use-ntvfs
Pude meter 3 maquinas de prueba en el domino, hasta el momento funciona
todo bien (creación de usuarios/grupos/, permisos/ACLs, DNS, etc)
Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear
unidades, configurar proxy en los navegadores, etc. Pero me tope con el
problema de que al intentar crear una GPO desde el cliente RSAT, me
indica lo siguiente:
"el sistema no puede encontrar el archivo especificado"
Entonces intente crearlos con samba-tools
samba-tool gpo create map_d_unit -Uadministrator
Password for [TEST\administrator]:
GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
(No tengo idea como modificar desde la consola esa GPO)
Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
algún cambio.
A mi parece todo apunta a un problema de permisos que no tengo en
cuenta. Ustedes que opinan?
Les dejo mi configuración y si necesitan algún otro dato me lo hacen saber.
smb.conf
[global]
workgroup = TEST
realm = test.lan
netbios name = PDC
server role = active directory domain controller
dns forwarder = 8.8.8.8
server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind,
ntp_signd, kcc, dnsupdate, dns, smb
dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon,
lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6,
backupkey, dnsserver, winreg, srvsvc
idmap_ldb:use rfc2307 = yes
[netlogon]
path = /var/lib/samba/sysvol/turbolar.lan/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
Level del arbol:
Domain and forest function level for domain 'DC=test,DC=lan'
Forest function level: (Windows) 2008 R2
Domain function level: (Windows) 2008 R2
Lowest function level of a DC: (Windows) 2008 R2
Camaleón
Aug 9, 2016, 9:20:03 AM8/9/16
to
El Mon, 08 Aug 2016 22:04:40 -0300, Laotrasolucion escribió:
> Estoy en el intento de crear un dominio con samba 4 y clientes
> windows/linux. Instale samba4 desde los repositorios, hice el provisión
> de la siguiente manera.
(...)
> Estoy en el intento de crear un dominio con samba 4 y clientes
> windows/linux. Instale samba4 desde los repositorios, hice el provisión
> de la siguiente manera.
> Entonces intente ir un poco mas lejos y crear un par de GPOs para mapear
> unidades, configurar proxy en los navegadores, etc. Pero me tope con el
> problema de que al intentar crear una GPO desde el cliente RSAT, me
> indica lo siguiente:
>
> "el sistema no puede encontrar el archivo especificado"
>
> Entonces intente crearlos con samba-tools
>
> samba-tool gpo create map_d_unit -Uadministrator Password for
> [TEST\administrator]:
> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
>
> (No tengo idea como modificar desde la consola esa GPO)
>
> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
> algún cambio.
> A mi parece todo apunta a un problema de permisos que no tengo en
> cuenta. Ustedes que opinan?
Si tienes un windows con un AD configurado donde probar el funcionamiento
de RSAT convendría que lo hicieras para ver si de esa forma te permite
guardar los cambios que hagas en las GPO. Quizá el problema sea de RSAT y
no de samba.
Saludos,
--
Camaleón
Laotrasolucion
Aug 9, 2016, 10:00:03 AM8/9/16
to
El 09/08/16 a las 10:17, Camaleón escribió:
gracias por responder. Errores desde samba4 no tengo, si los tengo desde
los clientes.
Me parece que son problemas del aplicativo, tengo que probar instalar
otro pdc y verificar.
RSAT
"El programa lanzó un comando pero la longitud del comando es incorrecta"
"Error (0x800700002) al guardar el archivo de configuración. El sistema
no puede encontrar el archivo especificado"
Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
tener al menos los grupos de "domain admins" "domain users"
root@pdc:/var/lib/samba# getfacl sysvol/
# file: sysvol/
# owner: root
# group: root
user::rwx
group::rwx
other::r-x
Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
desde ya muchas gracias.
Camaleón
Aug 9, 2016, 11:10:03 AM8/9/16
to
El Tue, 09 Aug 2016 10:58:35 -0300, Laotrasolucion escribió:
> El 09/08/16 a las 10:17, Camaleón escribió:
> El 09/08/16 a las 10:17, Camaleón escribió:
(...)
>>> Entonces intente ir un poco mas lejos y crear un par de GPOs para
>>> mapear unidades, configurar proxy en los navegadores, etc. Pero me
>>> tope con el problema de que al intentar crear una GPO desde el cliente
>>> RSAT, me indica lo siguiente:
>>>
>>> "el sistema no puede encontrar el archivo especificado"
>>>
>>> Entonces intente crearlos con samba-tools
>>>
>>> samba-tool gpo create map_d_unit -Uadministrator Password for
>>> [TEST\administrator]:
>>> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
>>>
>>> (No tengo idea como modificar desde la consola esa GPO)
>>>
>>> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
>>> algún cambio.
>>
>> ¿Algún error?
>>
>>> A mi parece todo apunta a un problema de permisos que no tengo en
>>> cuenta. Ustedes que opinan?
>>
>> (...)
>>
>> Si tienes un windows con un AD configurado donde probar el
>> funcionamiento de RSAT convendría que lo hicieras para ver si de esa
>> forma te permite guardar los cambios que hagas en las GPO. Quizá el
>> problema sea de RSAT y no de samba.
>>
>
>>> Entonces intente ir un poco mas lejos y crear un par de GPOs para
>>> mapear unidades, configurar proxy en los navegadores, etc. Pero me
>>> tope con el problema de que al intentar crear una GPO desde el cliente
>>> RSAT, me indica lo siguiente:
>>>
>>> "el sistema no puede encontrar el archivo especificado"
>>>
>>> Entonces intente crearlos con samba-tools
>>>
>>> samba-tool gpo create map_d_unit -Uadministrator Password for
>>> [TEST\administrator]:
>>> GPO 'map_d_unit' created as {4BBA8B43-0B1E-4E5A-AB38-9CC06C01B1CC}
>>>
>>> (No tengo idea como modificar desde la consola esa GPO)
>>>
>>> Desde Rsat puedo leer y modificar, pero no me deja guardar si realizo
>>> algún cambio.
>>
>> ¿Algún error?
>>
>>> A mi parece todo apunta a un problema de permisos que no tengo en
>>> cuenta. Ustedes que opinan?
>>
>> (...)
>>
>> Si tienes un windows con un AD configurado donde probar el
>> funcionamiento de RSAT convendría que lo hicieras para ver si de esa
>> forma te permite guardar los cambios que hagas en las GPO. Quizá el
>> problema sea de RSAT y no de samba.
>>
>
> gracias por responder. Errores desde samba4 no tengo, si los tengo desde
> los clientes.
>
> Me parece que son problemas del aplicativo, tengo que probar instalar
> otro pdc y verificar.
>
> RSAT "El programa lanzó un comando pero la longitud del comando es
> incorrecta"
>
> "Error (0x800700002) al guardar el archivo de configuración. El sistema
> no puede encontrar el archivo especificado"
Parecen errores genéricos de Windows más bien, pero sí, es importante que
> los clientes.
>
> Me parece que son problemas del aplicativo, tengo que probar instalar
> otro pdc y verificar.
>
> RSAT "El programa lanzó un comando pero la longitud del comando es
> incorrecta"
>
> "Error (0x800700002) al guardar el archivo de configuración. El sistema
> no puede encontrar el archivo especificado"
descartes problemas bien con la instalación de Windows bien con RSAT.
> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
> tener al menos los grupos de "domain admins" "domain users"
>
>
> root@pdc:/var/lib/samba# getfacl sysvol/
> # file: sysvol/
> # owner: root # group: root user::rwx group::rwx other::r-x
>
>
> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
>
> desde ya muchas gracias.
Lo que sí puedes hacer es apuntar los valores que tiene actualmente por
si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si
coinciden con los que tenías (comando extraído de la wiki¹ de Samba):
***
Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will
check the ACLs instead)
# samba-tool ntacl sysvolreset
***
¹ https://wiki.samba.org/index.php/Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs
Saludos,
--
Camaleón
Laotrasolucion
Aug 9, 2016, 11:40:03 AM8/9/16
to
El 09/08/16 a las 11:58, Camaleón escribió:
casualmente probé varias de las soluciones de samba, en el caso que
nombras @camaleon no me dio errores de ningún tipo.
Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain
controller". Probé instalarlo y con RSAT puedo crear las GPO sin
problemas, leer/escribir/modificar archivos en la unidad compartida sysvol.
Estoy investigando cual puede ser la causa de esto, por ahora vi que la
carpeta sysvol tiene definidos grupos por default con ACL y el grupo es
3000000 que no tengo idea de donde lo obtiene.
root@dc1 lib/samba# getfacl sysvol/
# file: sysvol/
# owner: root
# group: 3000000
# owner: root
user::rwx
user:root:rwx
group::rwx
group:3000000:rwx
group:3000001:r-x
group:3000002:rwx
group:3000003:r-x
mask::rwx
other::---
default:user::rwx
default:user:root:rwx
default:group::---
default:group:3000000:rwx
default:group:3000001:r-x
default:group:3000002:rwx
default:group:3000003:r-x
default:mask::rwx
default:other::---
¹https://www.turnkeylinux.org/domain-controller
Camaleón
Aug 9, 2016, 12:30:03 PM8/9/16
to
El Tue, 09 Aug 2016 12:34:52 -0300, Laotrasolucion escribió:
> El 09/08/16 a las 11:58, Camaleón escribió:
(...)
>>> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
>>> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
>>> tener al menos los grupos de "domain admins" "domain users"
>>>
>>>
>>> root@pdc:/var/lib/samba# getfacl sysvol/
>>> # file: sysvol/
>>> # owner: root # group: root user::rwx group::rwx other::r-x
>>>
>>>
>>> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
>>> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
>>>
>>> desde ya muchas gracias.
>>
>> Pues sobre los permisos adecuados de ese recurso, ni idea :-?
>>
>> Lo que sí puedes hacer es apuntar los valores que tiene actualmente por
>> si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si
>> coinciden con los que tenías (comando extraído de la wiki¹ de Samba):
>>
>> ***
>> Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will
>> check the ACLs instead)
>> # samba-tool ntacl sysvolreset ***
>>
>> ¹
>> https://wiki.samba.org/index.php/
Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs
>>
>
predeterminados sobre el recurso sysvol, nada más. Si te hubiera dado
algún error hubiera sido extraño.
> Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain
> controller". Probé instalarlo y con RSAT puedo crear las GPO sin
> problemas, leer/escribir/modificar archivos en la unidad compartida
> sysvol.
Interesa que trabajes con los mismos usuarios y el mismo archivo de GPO
que tienes en samba, no vaya a ser que tenga algún problema.
> Estoy investigando cual puede ser la causa de esto, por ahora vi que la
> carpeta sysvol tiene definidos grupos por default con ACL y el grupo es
> 3000000 que no tengo idea de donde lo obtiene.
>
> root@dc1 lib/samba# getfacl sysvol/
> # file: sysvol/
> # owner: root # group: 3000000 user::rwx user:root:rwx group::rwx
> group:3000000:rwx group:3000001:r-x group:3000002:rwx group:3000003:r-x
> mask::rwx other::---
> default:user::rwx default:user:root:rwx default:group::---
> default:group:3000000:rwx default:group:3000001:r-x
> default:group:3000002:rwx default:group:3000003:r-x default:mask::rwx
> default:other::---
Los permisos han cambiado, sí. Pues si te sigue dando el mismo error,
comprueba que tengas bien configurada la utilidad RSAT:
https://wiki.samba.org/index.php/Installing_RSAT
Saludos,
--
Camaleón
> El 09/08/16 a las 11:58, Camaleón escribió:
(...)
>>> Lo que si me pareció raro y corrijanme si no es así, es que la carpeta
>>> sysvol no tiene ACL definidos para grupos de AD. Pienso que deberia
>>> tener al menos los grupos de "domain admins" "domain users"
>>>
>>>
>>> root@pdc:/var/lib/samba# getfacl sysvol/
>>> # file: sysvol/
>>> # owner: root # group: root user::rwx group::rwx other::r-x
>>>
>>>
>>> Y cuando quiero crear un archivo en una unidad compartida, por ejemplo
>>> sysvol, me deja crearlo pero no me deja modificarlo o guardarlo.
>>>
>>> desde ya muchas gracias.
>>
>> Pues sobre los permisos adecuados de ese recurso, ni idea :-?
>>
>> Lo que sí puedes hacer es apuntar los valores que tiene actualmente por
>> si algo saliera mal y quisieras recuperarlos y reiniciarlos para ver si
>> coinciden con los que tenías (comando extraído de la wiki¹ de Samba):
>>
>> ***
>> Reset wrong SysVol ACLs (if you use the "sysvolcheck" option, it will
>> check the ACLs instead)
>> # samba-tool ntacl sysvolreset ***
>>
>> ¹
>> https://wiki.samba.org/index.php/
Updating_Samba#Update_an_early_Samba_4_version_on_Samba_Active_Directory_DCs
>>
>
> casualmente probé varias de las soluciones de samba, en el caso que
> nombras @camaleon no me dio errores de ningún tipo.
El comando no tiene que darte errores sino establecer los permisos
> nombras @camaleon no me dio errores de ningún tipo.
predeterminados sobre el recurso sysvol, nada más. Si te hubiera dado
algún error hubiera sido extraño.
> Navegando por ahí encontré un pdc en jessie que se llama "turnkey domain
> controller". Probé instalarlo y con RSAT puedo crear las GPO sin
> problemas, leer/escribir/modificar archivos en la unidad compartida
> sysvol.
que tienes en samba, no vaya a ser que tenga algún problema.
> Estoy investigando cual puede ser la causa de esto, por ahora vi que la
> carpeta sysvol tiene definidos grupos por default con ACL y el grupo es
> 3000000 que no tengo idea de donde lo obtiene.
>
> root@dc1 lib/samba# getfacl sysvol/
> # file: sysvol/
> # owner: root # group: 3000000 user::rwx user:root:rwx group::rwx
> group:3000000:rwx group:3000001:r-x group:3000002:rwx group:3000003:r-x
> mask::rwx other::---
> default:user::rwx default:user:root:rwx default:group::---
> default:group:3000000:rwx default:group:3000001:r-x
> default:group:3000002:rwx default:group:3000003:r-x default:mask::rwx
> default:other::---
comprueba que tengas bien configurada la utilidad RSAT:
https://wiki.samba.org/index.php/Installing_RSAT
Saludos,
--
Camaleón
Laotrasolucion
Aug 10, 2016, 11:20:02 AM8/10/16
to
El 09/08/16 a las 13:22, Camaleón escribió:
Después de renegar un buen rato y probar varias configuraciones, tuve
suerte.
Habilite el servicio s3fs (fuse) en smb.conf para poder editar los FS en
el pdc y crear las gpo sin problemas. No era un problema de samba, ni
rsat, ni los clientes. el problema como siempre digo suele estar entre
el teclado y la silla.
Dejo la configuración del pdc por si a alguien le resulta útil.
/etc/resolv.conf
search test.lan
nameserver 172.21.0.2
nameserver 172.21.0.254
/etc/krb5.conf
[libdefaults]
default_realm = TEST.LAN
dns_lookup_realm = false
dns_lookup_kdc = true
/etc/samba/smb.conf
# Global parameters
[global]
workgroup = TEST
realm = test.lan
netbios name = PDC
server role = active directory domain controller
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl,
winbind, ntp_signd, kcc, dnsupdate, dns
idmap_ldb:use rfc2307 = yes
[netlogon]
path = /var/lib/samba/sysvol/test.lan/scripts
[netlogon]
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
¹https://wiki.samba.org/index.php/Samba4/s3fs
[sysvol]
path = /var/lib/samba/sysvol
read only = No
0 new messages