Ich versuche, einen FreeNAS 9.1.1-Server mit CIFS-Freigaben mit LDAP-Authentifizierung einzurichten.
Ich habe einen OpenLDAP-Server eingerichtet, ihn mit gefüllt smbldap-populate, ein Benutzerkonto für mich selbst hinzugefügt und den LDAP-Client auf FreeNAS so konfiguriert, dass er das Verzeichnis verwendet. Mir scheint, dass FreeNAS die Benutzer und Gruppen problemlos abrufen kann, da die Ausgabe getent passwdund getent groupdie Entitäten auflistet, die ich auf meinem OpenLDAP-Server eingerichtet habe.
So weit, so gut. Ich habe nun ein neues ZFS-Volume erstellt und es so eingerichtet, dass es meinem LDAP-Benutzerkonto gehört und dasDomänenadministratorenGruppe.
Wenn ich jetzt versuche, die Freigabe zu verwenden, indem ich sie net use \\freenas\zfs0-sharein meiner Windows-Befehlszeile eingebe, erhalte ich das folgende Ergebnis:
System error 59 has occured.
An unexpected network error occurred.
In meiner FreeNAS-Konsole erhalte ich die folgende Ausgabe:
freenas smbd: auth/check_samsec.c:491(check_sam_security)
check_sam_security: make_server_info_sam() failed with NT_STATUS_UNSUCCESSFUL
Was bedeutet dieser Fehler und wie kann ich ihn beheben?
Antwort1
Um die Ursache dieses Problems zu finden, habe ich Samba zunächst im interaktiven Modus mit einer höheren Debug-Ebene gestartet, um in der Ausgabe nach Meldungen zu suchen, die helfen könnten:
/usr/local/sbin/smbd --interactive --debuglevel=3
Jetzt habe ich hilfreichere Ausgaben als zuvor:
check_ntlm_password: Checking password for unmapped user [WORKGROUP]\[osalzburg]@[LDAP] with the new password interface
check_ntlm_password: mapped user is: [FREENAS]\[osalzburg]@[LDAP]
init_sam_from_ldap: Entry found for user: osalzburg
Primary group S-1-5-21-1400563477-347728745-2499486669-512 for user osalzburg is a UNKNOWN and not a domain group
Forcing Primary Group to 'Domain Users' for osalzburg
The primary group domain sid(S-1-5-21-1134279832-878937066-538846017-513) does not match the domain sid(S-1-5-21-1400563477-347728745-2499486669) for osalzburg(S-1-5-21-1400563477-347728745-2499486669-3002)
check_sam_security: make_server_info_sam() failed with 'NT_STATUS_UNSUCCESSFUL'
check_ntlm_password: Authentication for user [osalzburg] -> [osalzburg] FAILED with error NT_STATUS_UNSUCCESSFUL
error packet at smbd/sesssetup.c(124) cmd=115 (SMBsesssetupX) NT_STATUS_UNSUCCESSFUL
Server exit (failed to receive smb request)
Terminated: 15
Der Schlüssel hier ist der Teil:
The primary group domain sid
(S-1-5-21-1134279832-878937066-538846017-513) does not match the domain sid
(S-1-5-21-1400563477-347728745-2499486669) for osalzburg(S-1-5-21-1400563477-347728745-2499486669-3002)
Um die Nichtübereinstimmung zu beheben, habe ich den sambaSIDWert meines FREENAS sambaDomainNameEintrags geändert S-1-5-21-1400563477-347728745-2499486669indieser Fehlerbericht-Kommentar.
Ich bin nicht sicher, wo genau ich mein Setup vermasselt habe, aber das Ausführen von Samba mit Debug-Ausgabe war der Schlüssel zum Finden der Problemursache.