Szenario

Question 1

Dies scheint dadurch verursacht worden zu sein, dass Gruppeninformationen beim Anmelden in /var/cache/samba/netsamlogon_cache.tdb zwischengespeichert wurden. Ich vermute, dass, obwohl „-n“ Winbind angewiesen hat, seine Abfragen gegen LDAP nicht zwischenzuspeichern, das Vorhandensein der Mitgliedschaftsinformationen in dieser TDB-Datei ausreichte, um alles durcheinander zu bringen.

Answer

Dies scheint dadurch verursacht worden zu sein, dass Gruppeninformationen beim Anmelden in /var/cache/samba/netsamlogon_cache.tdb zwischengespeichert wurden. Ich vermute, dass, obwohl „-n“ Winbind angewiesen hat, seine Abfragen gegen LDAP nicht zwischenzuspeichern, das Vorhandensein der Mitgliedschaftsinformationen in dieser TDB-Datei ausreichte, um alles durcheinander zu bringen.

Question 2

Es gelang mir, Marcins verlorenen Artikel wiederzubeschaffen (https://marcinm.co.uk/Gruppenmitgliedschaft wird in Winbind nicht aktualisiert/), indem Sie ihn per E-Mail fragen. Da ich sicher bin, dass dies zumindest einigen Leuten helfen wird, ist hier sein ganzer Blog-Beitrag:

Szenario

Auf dem Dateiserver wird smbd ausgeführt security=ads(d. h. er fungiert als Domänenmitglied). Der Benutzer stellt eine Verbindung zur Samba-Freigabe her und bekommt beim ersten Verbindungsaufbau die Gruppenmitgliedschaft korrekt erfasst – und sie wird danach nie wieder aktualisiert.

Grundursache

Samba aktualisiert die Gruppenmitgliedschaft, wenn sie vom AD-Domänencontroller berechnet wird, und sie wird nur berechnet, wenn sich der Benutzer bei einem Server anmeldet, auf dem smbd und winbind laufen. Dies wird wbinfo -anur durch eine kerberisierte SMB-Anmeldung ausgelöst. Da dies eine ernste Einschränkung ist, d. h. dass auf Maschinen, an denen sich der Benutzer nie anmeldet, überhaupt keine Gruppenmitgliedschaft bekannt wäre, wurde ein Fallback-Gruppenmitgliedschaftscode entwickelt, der die Gruppenmitgliedschaft des Benutzers aus AD abruft, ohne dass sich der Benutzer anmeldet, aber da das von winbind verwendete Maschinenkonto nicht die Rechte hat, nach einer Benutzergruppenmitgliedschaft zu fragen, gilt er als fehlerhaft und seine Ergebnisse sind unzuverlässig. Daher verlässt sich winbind nie darauf – es ruft es auf, wenn überhaupt keine Gruppenmitgliedschaft bekannt ist, aber es wird nie verwendet, um zwischengespeicherte Gruppenmitgliedschaften zu aktualisieren. Dies hat zur Folge, dass winbind in manchen Szenarien die Benutzergruppenmitgliedschaften einmal erfasst und sie danach nie wieder aktualisiert.

Es ist nicht möglich, das Zwischenspeichern von Gruppenmitgliedschaften zu deaktivieren, d. h. es gibt keine Möglichkeit, dieses Verhalten durch Einfügen einer Zeile zu deaktivieren smb.conf. Beachten Sie, dass dies kein Samba-Problem, sondern ein AD-Designproblem ist. Dieses Verhalten entspricht der Art und Weise, wie sich Windows verhält, was effektiv darin besteht, dass die AD-Gruppenmitgliedschaft aktualisiert wird, wenn sich ein Benutzer bei der Anmeldung authentifiziert.

So erzwingen Sie die Aktualisierung der Gruppenmitgliedschaft für einen Benutzer

Die Gruppenmitgliedschaft wird in einer Datei namens zwischengespeichert netsamlogon_cache.tdb, die mit tdbtool (alle Versionen von Samba) oder net cache samlogon(Samba 4.7 oder neuer) untersucht werden kann. Das Löschen zwischengespeicherter Einträge aus dieser Datei löst eine einmalige Aktualisierung der Gruppenmitgliedschaften aus, indem der Fallback-Aktualisierungscode aufgerufen und sein Ergebnis wieder eingefügt wird netsamlogon_cache.tdb– und danach werden sie wieder dauerhaft zwischengespeichert.

tdbtool-Weg:

$ wbinfo -n user.name
S-1-5-21-3023451936-689652692-1079546996-40725 SID_USER (1)

an SID anhängen \0und in Anführungszeichen setzen:

$ tdbtool netsamlogon_cache.tdb delete "S-1-5-21-3023451936-689652692-1079546996-40725\0"

Die Gruppenmitgliedschaft wird aktualisiert, wenn das Betriebssystem sie zum ersten Mal benötigt. Warten Sie einige Minuten, bis die tdb-Datei ausgefüllt ist.

Net Cache Samlogon-Weg:

$ net cache samlogon list|head
SID                                                Name                                     When cached
---------------------------------------------------------------------------------------------------------------------------
S-1-5-21-3023451936-689652692-1079546996-40725     DOM\user.name                            Tue Apr 27 07:59:19 AM 2018 BST
S-1-5-21-3023451936-689652692-1079546996-41432     DOM\user.name2                           Tue Apr 27 02:13:33 PM 2018 BST

$ net cache samlogon delete S-1-5-21-3023451936-689652692-1079546996-40725

Wie zuvor – die Gruppenmitgliedschaft wird aktualisiert, wenn das Betriebssystem dies zum ersten Mal benötigt. Warten Sie einige Minuten, bis die TDB-Datei aufgefüllt ist.

Answer

Es gelang mir, Marcins verlorenen Artikel wiederzubeschaffen (https://marcinm.co.uk/Gruppenmitgliedschaft wird in Winbind nicht aktualisiert/), indem Sie ihn per E-Mail fragen. Da ich sicher bin, dass dies zumindest einigen Leuten helfen wird, ist hier sein ganzer Blog-Beitrag:

Szenario

Auf dem Dateiserver wird smbd ausgeführt security=ads(d. h. er fungiert als Domänenmitglied). Der Benutzer stellt eine Verbindung zur Samba-Freigabe her und bekommt beim ersten Verbindungsaufbau die Gruppenmitgliedschaft korrekt erfasst – und sie wird danach nie wieder aktualisiert.

Grundursache

Samba aktualisiert die Gruppenmitgliedschaft, wenn sie vom AD-Domänencontroller berechnet wird, und sie wird nur berechnet, wenn sich der Benutzer bei einem Server anmeldet, auf dem smbd und winbind laufen. Dies wird wbinfo -anur durch eine kerberisierte SMB-Anmeldung ausgelöst. Da dies eine ernste Einschränkung ist, d. h. dass auf Maschinen, an denen sich der Benutzer nie anmeldet, überhaupt keine Gruppenmitgliedschaft bekannt wäre, wurde ein Fallback-Gruppenmitgliedschaftscode entwickelt, der die Gruppenmitgliedschaft des Benutzers aus AD abruft, ohne dass sich der Benutzer anmeldet, aber da das von winbind verwendete Maschinenkonto nicht die Rechte hat, nach einer Benutzergruppenmitgliedschaft zu fragen, gilt er als fehlerhaft und seine Ergebnisse sind unzuverlässig. Daher verlässt sich winbind nie darauf – es ruft es auf, wenn überhaupt keine Gruppenmitgliedschaft bekannt ist, aber es wird nie verwendet, um zwischengespeicherte Gruppenmitgliedschaften zu aktualisieren. Dies hat zur Folge, dass winbind in manchen Szenarien die Benutzergruppenmitgliedschaften einmal erfasst und sie danach nie wieder aktualisiert.

Es ist nicht möglich, das Zwischenspeichern von Gruppenmitgliedschaften zu deaktivieren, d. h. es gibt keine Möglichkeit, dieses Verhalten durch Einfügen einer Zeile zu deaktivieren smb.conf. Beachten Sie, dass dies kein Samba-Problem, sondern ein AD-Designproblem ist. Dieses Verhalten entspricht der Art und Weise, wie sich Windows verhält, was effektiv darin besteht, dass die AD-Gruppenmitgliedschaft aktualisiert wird, wenn sich ein Benutzer bei der Anmeldung authentifiziert.

So erzwingen Sie die Aktualisierung der Gruppenmitgliedschaft für einen Benutzer

Die Gruppenmitgliedschaft wird in einer Datei namens zwischengespeichert netsamlogon_cache.tdb, die mit tdbtool (alle Versionen von Samba) oder net cache samlogon(Samba 4.7 oder neuer) untersucht werden kann. Das Löschen zwischengespeicherter Einträge aus dieser Datei löst eine einmalige Aktualisierung der Gruppenmitgliedschaften aus, indem der Fallback-Aktualisierungscode aufgerufen und sein Ergebnis wieder eingefügt wird netsamlogon_cache.tdb– und danach werden sie wieder dauerhaft zwischengespeichert.

tdbtool-Weg:

$ wbinfo -n user.name
S-1-5-21-3023451936-689652692-1079546996-40725 SID_USER (1)

an SID anhängen \0und in Anführungszeichen setzen:

$ tdbtool netsamlogon_cache.tdb delete "S-1-5-21-3023451936-689652692-1079546996-40725\0"

Die Gruppenmitgliedschaft wird aktualisiert, wenn das Betriebssystem sie zum ersten Mal benötigt. Warten Sie einige Minuten, bis die tdb-Datei ausgefüllt ist.

Net Cache Samlogon-Weg:

$ net cache samlogon list|head
SID                                                Name                                     When cached
---------------------------------------------------------------------------------------------------------------------------
S-1-5-21-3023451936-689652692-1079546996-40725     DOM\user.name                            Tue Apr 27 07:59:19 AM 2018 BST
S-1-5-21-3023451936-689652692-1079546996-41432     DOM\user.name2                           Tue Apr 27 02:13:33 PM 2018 BST

$ net cache samlogon delete S-1-5-21-3023451936-689652692-1079546996-40725

Wie zuvor – die Gruppenmitgliedschaft wird aktualisiert, wenn das Betriebssystem dies zum ersten Mal benötigt. Warten Sie einige Minuten, bis die TDB-Datei aufgefüllt ist.

Question 3

Mein einziger Gedanke, und der ist sehr vage, ist, dass es etwas mit der Kommunikation mit Ihrem Infrastrukturmaster zu tun haben könnte (der für die domänenübergreifende Aktualisierung der Gruppenmitgliedschaften verantwortlich ist).

Answer

Mein einziger Gedanke, und der ist sehr vage, ist, dass es etwas mit der Kommunikation mit Ihrem Infrastrukturmaster zu tun haben könnte (der für die domänenübergreifende Aktualisierung der Gruppenmitgliedschaften verantwortlich ist).

Question 4

Ich hatte etwas Ähnliches. Um das Problem zu beheben, habe ich „authconfig --disablecache --update“ ausgeführt. Natürlich wurden die Anmeldungen dadurch langsamer.

Answer

Ich hatte etwas Ähnliches. Um das Problem zu beheben, habe ich „authconfig --disablecache --update“ ausgeführt. Natürlich wurden die Anmeldungen dadurch langsamer.

Szenario

Antwort1

Antwort2

Szenario

Grundursache

So erzwingen Sie die Aktualisierung der Gruppenmitgliedschaft für einen Benutzer

tdbtool-Weg:

Net Cache Samlogon-Weg:

Antwort3

Antwort4

verwandte Informationen