Tengo una instalación de Samba4 configurada como controlador de dominio de respaldo:
james@photon:~$ testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_BDC
Press enter to see a dump of your service definitions
[global]
workgroup = NT4Domain
server string = %h NT4 BDC (Samba4, Linux)
interfaces = lo, eth1
bind interfaces only = Yes
server role = classic backup domain controller
map to guest = Bad User
obey pam restrictions = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
name resolve order = wins, bcast, hosts
client signing = if_required
server signing = if_required
add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
add group script = /usr/sbin/smbldap-groupadd -p '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
add machine script = /usr/sbin/smbldap-useradd -w '%u' -t 1
logon script = scripts\logon.cmd
logon path = \\%L\profiles\%U
logon drive = H:
logon home = \\%L\%U
domain logons = Yes
domain master = No
dns proxy = No
wins server = ip.of.nt4.box
ldap admin dn = cn=admin,dc=thisdomain
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=People
ldap passwd sync = yes
ldap suffix = dc=thisdomain
ldap ssl = no
ldap timeout = 20
ldap user suffix = ou=People
usershare allow guests = Yes
panic action = /usr/share/samba/panic-action %d
winbind cache time = 3600
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind offline logon = Yes
idmap config * : backend = tdb
ea support = Yes
map acl inherit = Yes
[homes]
comment = Home Directories
valid users = %S
read only = No
create mask = 0775
directory mask = 0775
browseable = No
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = Yes
[profiles]
comment = Users profiles
path = /home/samba/profiles
create mask = 0600
directory mask = 0700
browseable = No
[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printable = Yes
print ok = Yes
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
write list = root, @lpadmin
Está unido a mi dominio NT4. Se puede acceder a la impresora compartida, el recurso compartido de inicio de sesión de red es visible y los usuarios correctos (configurados localmente) de las máquinas Windows del dominio pueden ver y explorar los recursos compartidos de los usuarios. La cuenta de la máquina es visible en el controlador de dominio NT4. Funciona.
Sin embargo, no puedo hacer que net rpc vampire funcione. Hay varios cientos de cuentas de usuario almacenadas en el controlador de dominio NT4 y necesito sincronizarlas con la instancia LDAP (en funcionamiento) en la máquina Samba para que podamos desmantelar la máquina NT4.
james@photon:~$ sudo net rpc join -U NT4AdminAccount%secret
Joined domain NT4Domain.
Sin embargo:
sudo net rpc vampire -U NT4AdminAccount%secret
DC is not running Active Directory
cli_rpc_pipe_open_schannel: failed to get schannel session key from server 127.0.0.1 for domain NT4Domain.
Could not initialise schannel netlogon pipe. Error was NT_STATUS_ACCESS_DENIED
Y:
sudo net rpc vampire -S NT4DC -U NT4AdminAccount%secret
DC is not running Active Directory
cli_rpc_pipe_open_schannel: failed to get schannel session key from server data1 for domain ATMOS.
Could not initialise schannel netlogon pipe. Error was NT_STATUS_INVALID_COMPUTER_NAME
Las líneas relevantes que veo cuando intento ejecutar Vampire con -d=10 son:
result : NT_STATUS_INVALID_COMPUTER_NAME
get_schannel_session_key_common: rpccli_netlogon_setup_creds failed with result NT_STATUS_INVALID_COMPUTER_NAME to server NT4DC, domain NT4Domain, machine account SAMBASERVER.
cli_rpc_pipe_open_schannel: failed to get schannel session key from server data1 for domain ATMOS.
Could not initialise schannel netlogon pipe. Error was NT_STATUS_INVALID_COMPUTER_NAME
return code = -1
Freeing parametrics:
Entonces, después de todo eso, ¿qué pasa? ¿El vampiro ahora está roto? Sigo leyendo que ha quedado obsoleto, pero toda la documentación que he visto para hacer esto con la unión al dominio de la herramienta samba trata sobre cómo unirse a un dominio del directorio activo. Eso no es lo que queremos hacer. También estoy leyendo mucho sobre Kerberos en el contexto del error de la clave de sesión de schannel, pero eso también es una cuestión del directorio activo, ¿no? Pensé que NT4 usaba LANMAN para aquellas funciones que ahora cubre Kerberos. Parece que sólo tengo dificultades con la operación vampírica. Todo lo demás parece estar funcionando bien...
Gracias de antemano.