シナリオ

Question 1

これは、ログオン時に /var/cache/samba/netsamlogon_cache.tdb にキャッシュされたグループ情報によって発生したようです。 '-n' は winbind に LDAP に対するクエリをキャッシュしないように指示しましたが、その TDB ファイルにメンバーシップ情報が存在することで、状況が混乱したのではないかと思います。

Answer

これは、ログオン時に /var/cache/samba/netsamlogon_cache.tdb にキャッシュされたグループ情報によって発生したようです。 '-n' は winbind に LDAP に対するクエリをキャッシュしないように指示しましたが、その TDB ファイルにメンバーシップ情報が存在することで、状況が混乱したのではないかと思います。

Question 2

私はなんとかマルチンの紛失した記事を手に入れた（https://marcinm.co.uk/group-membership-not-updating-in-winbind/) をメールで尋ねてみました。これが少なくとも何人かの人の役に立つと確信しているので、彼のブログ投稿全体をここに掲載します。

シナリオ

smbd を実行しているファイルサーバーsecurity=ads(つまり、ドメインメンバーとして動作) では、ユーザーは Samba 共有に接続し、最初の接続時にグループメンバーシップが正しく取得されますが、その後は更新されません。

根本的な原因

Samba は、グループメンバーシップが AD ドメインコントローラーによって計算されたときにそれを更新します。これは、ユーザーが smbd および winbind を実行しているサーバーにログインした場合にのみ計算されます。これは、wbinfo -aKerberos 化された SMB ログインによってのみトリガーされます。これは重大な制限であり、ユーザーがログインしないマシンではグループメンバーシップがまったく認識されないことを意味するため、ユーザーがログインせずに AD からユーザーのグループメンバーシップを取得するフォールバックグループメンバーシップコードが開発されましたが、winbind によって使用されるマシンアカウントにはユーザーグループメンバーシップを要求する権限がないため、結果は信頼できないため不安定であると見なされています。したがって、winbind はこれに依存することはありません。グループメンバーシップがまったく認識されていない場合はこれを呼び出しますが、キャッシュされたグループメンバーシップを更新するためにこれを使用することはありません。その結果、いくつかのシナリオでは、winbind はユーザーグループメンバーシップを一度取得し、それ以降は更新しません。

グループメンバーシップのキャッシュを無効にすることはできません。つまり、に行を追加してもsmb.conf、このような動作を無効にする方法はありません。これは Samba の問題ではなく、AD 設計の問題であることに注意してください。このような動作は、Windows の動作と一致しており、実質的には、ユーザーがログイン時に認証すると、AD グループメンバーシップが更新されます。

ユーザーのグループメンバーシップを強制的に更新する方法

グループメンバーシップは、netsamlogon_cache.tdbtdbtool (Samba のすべてのバージョン) または (Samba 4.7 以降) で調査できるという名前のファイルにキャッシュされますnet cache samlogon。そのファイルからキャッシュされたエントリを削除すると、フォールバック更新コードを呼び出してその結果を戻すことで、グループメンバーシップの 1 回限りの更新がトリガーされnetsamlogon_cache.tdb、その後は再び永久にキャッシュされます。

tdbtoolの方法:

$ wbinfo -n user.name
S-1-5-21-3023451936-689652692-1079546996-40725 SID_USER (1)

SID に追加し\0、引用符で囲みます:

$ tdbtool netsamlogon_cache.tdb delete "S-1-5-21-3023451936-689652692-1079546996-40725\0"

グループメンバーシップはOSが必要としたときに初めて更新されます。tdbファイルに入力されるまで数分間待ちます。

ネットキャッシュサムログオンの方法:

$ net cache samlogon list|head
SID                                                Name                                     When cached
---------------------------------------------------------------------------------------------------------------------------
S-1-5-21-3023451936-689652692-1079546996-40725     DOM\user.name                            Tue Apr 27 07:59:19 AM 2018 BST
S-1-5-21-3023451936-689652692-1079546996-41432     DOM\user.name2                           Tue Apr 27 02:13:33 PM 2018 BST

$ net cache samlogon delete S-1-5-21-3023451936-689652692-1079546996-40725

以前と同じです - グループメンバーシップは、OS が必要としたときに初めて更新されます。tdb ファイルに情報が入力されるまで数分間待ちます。

Answer

私はなんとかマルチンの紛失した記事を手に入れた（https://marcinm.co.uk/group-membership-not-updating-in-winbind/) をメールで尋ねてみました。これが少なくとも何人かの人の役に立つと確信しているので、彼のブログ投稿全体をここに掲載します。

シナリオ

smbd を実行しているファイルサーバーsecurity=ads(つまり、ドメインメンバーとして動作) では、ユーザーは Samba 共有に接続し、最初の接続時にグループメンバーシップが正しく取得されますが、その後は更新されません。

根本的な原因

Samba は、グループメンバーシップが AD ドメインコントローラーによって計算されたときにそれを更新します。これは、ユーザーが smbd および winbind を実行しているサーバーにログインした場合にのみ計算されます。これは、wbinfo -aKerberos 化された SMB ログインによってのみトリガーされます。これは重大な制限であり、ユーザーがログインしないマシンではグループメンバーシップがまったく認識されないことを意味するため、ユーザーがログインせずに AD からユーザーのグループメンバーシップを取得するフォールバックグループメンバーシップコードが開発されましたが、winbind によって使用されるマシンアカウントにはユーザーグループメンバーシップを要求する権限がないため、結果は信頼できないため不安定であると見なされています。したがって、winbind はこれに依存することはありません。グループメンバーシップがまったく認識されていない場合はこれを呼び出しますが、キャッシュされたグループメンバーシップを更新するためにこれを使用することはありません。その結果、いくつかのシナリオでは、winbind はユーザーグループメンバーシップを一度取得し、それ以降は更新しません。

グループメンバーシップのキャッシュを無効にすることはできません。つまり、に行を追加してもsmb.conf、このような動作を無効にする方法はありません。これは Samba の問題ではなく、AD 設計の問題であることに注意してください。このような動作は、Windows の動作と一致しており、実質的には、ユーザーがログイン時に認証すると、AD グループメンバーシップが更新されます。

ユーザーのグループメンバーシップを強制的に更新する方法

グループメンバーシップは、netsamlogon_cache.tdbtdbtool (Samba のすべてのバージョン) または (Samba 4.7 以降) で調査できるという名前のファイルにキャッシュされますnet cache samlogon。そのファイルからキャッシュされたエントリを削除すると、フォールバック更新コードを呼び出してその結果を戻すことで、グループメンバーシップの 1 回限りの更新がトリガーされnetsamlogon_cache.tdb、その後は再び永久にキャッシュされます。

tdbtoolの方法:

$ wbinfo -n user.name
S-1-5-21-3023451936-689652692-1079546996-40725 SID_USER (1)

SID に追加し\0、引用符で囲みます:

$ tdbtool netsamlogon_cache.tdb delete "S-1-5-21-3023451936-689652692-1079546996-40725\0"

グループメンバーシップはOSが必要としたときに初めて更新されます。tdbファイルに入力されるまで数分間待ちます。

ネットキャッシュサムログオンの方法:

$ net cache samlogon list|head
SID                                                Name                                     When cached
---------------------------------------------------------------------------------------------------------------------------
S-1-5-21-3023451936-689652692-1079546996-40725     DOM\user.name                            Tue Apr 27 07:59:19 AM 2018 BST
S-1-5-21-3023451936-689652692-1079546996-41432     DOM\user.name2                           Tue Apr 27 02:13:33 PM 2018 BST

$ net cache samlogon delete S-1-5-21-3023451936-689652692-1079546996-40725

以前と同じです - グループメンバーシップは、OS が必要としたときに初めて更新されます。tdb ファイルに情報が入力されるまで数分間待ちます。

Question 3

私が唯一考えたことは、非常に漠然としたものではありますが、これはインフラストラクチャマスター (ドメイン間でグループメンバーシップを更新する役割を担う) との通信に関係している可能性があるということです。

Answer

私が唯一考えたことは、非常に漠然としたものではありますが、これはインフラストラクチャマスター (ドメイン間でグループメンバーシップを更新する役割を担う) との通信に関係している可能性があるということです。

Question 4

私も同じようなことがありました。問題を解決するために、「authconfig --disablecache --update」を実行しました。もちろん、ログオンが遅くなりました。

Answer

私も同じようなことがありました。問題を解決するために、「authconfig --disablecache --update」を実行しました。もちろん、ログオンが遅くなりました。

シナリオ

答え1

答え2

シナリオ

根本的な原因

ユーザーのグループメンバーシップを強制的に更新する方法

tdbtoolの方法:

ネットキャッシュサムログオンの方法:

答え3

答え4

関連情報