Cenário

Question 1

Parece que isso foi causado pelo armazenamento em cache das informações do grupo no momento do logon em /var/cache/samba/netsamlogon_cache.tdb. Eu acho que embora '-n' tenha instruído o winbind a não armazenar em cache suas consultas no LDAP, a presença das informações de associação naquele arquivo TDB foi suficiente para bagunçar as coisas.

Answer

Parece que isso foi causado pelo armazenamento em cache das informações do grupo no momento do logon em /var/cache/samba/netsamlogon_cache.tdb. Eu acho que embora '-n' tenha instruído o winbind a não armazenar em cache suas consultas no LDAP, a presença das informações de associação naquele arquivo TDB foi suficiente para bagunçar as coisas.

Question 2

Consegui encontrar o artigo perdido de Marcin (https://marcinm.co.uk/group-membership-not-updating-in-winbind/) perguntando a ele por e-mail. Como tenho certeza de que isso ajudará pelo menos algumas pessoas, aqui está a postagem completa do blog:

Cenário

Servidor de arquivos executando smbd security=ads(ou seja, atuando como membro do domínio), o usuário se conecta ao compartilhamento Samba e obtém a associação ao grupo capturada corretamente ao se conectar pela primeira vez - e nunca é atualizado depois disso.

Causa raiz

O Samba atualiza a associação ao grupo quando é calculada pelo controlador de domínio AD e é calculada somente quando o usuário efetua login em um servidor executando smbd e winbind. Que é acionado wbinfo -aapenas por login SMB kerberizado. Como esta é uma limitação séria, o que significa que nenhuma associação ao grupo seria conhecida em máquinas nas quais o usuário nunca efetua login, foi desenvolvido um código de associação ao grupo substituto que extrai a associação do usuário ao grupo do AD sem o login do usuário, mas como conta de máquina usada pelo winbind não tem o direito de solicitar a adesão a um grupo de usuários, é considerado instável e seus resultados não são confiáveis. Portanto, o winbind nunca depende dele - ele o chamará quando nenhuma associação ao grupo for conhecida, mas nunca será usado para atualizar as associações ao grupo em cache. Como resultado disso - em alguns cenários, o winbind captura associações de grupos de usuários uma vez e nunca as atualiza depois disso.

Não é possível desabilitar o cache de membros do grupo, ou seja, não há como desabilitar tal comportamento colocando uma linha em smb.conf. Observe que este não é um problema do Samba, mas um problema de design do AD, tal comportamento é consistente com a maneira como o Windows se comporta, que efetivamente é que a associação ao grupo AD é atualizada quando um usuário se autentica durante o login.

Como forçar a atualização da associação ao grupo para um usuário

A associação ao grupo é armazenada em cache em um arquivo chamado netsamlogon_cache.tdbque pode ser investigado pelo tdbtool (todas as versões do Samba) ou net cache samlogon(Samba 4.7 ou mais recente). A exclusão de entradas em cache desse arquivo aciona uma atualização única das associações ao grupo, chamando o código de atualização de fallback e colocando seu resultado de volta netsamlogon_cache.tdb- e depois disso elas são armazenadas em cache para sempre novamente.

maneira tdbtool:

$ wbinfo -n user.name
S-1-5-21-3023451936-689652692-1079546996-40725 SID_USER (1)

anexe \0ao SID e coloque-o entre aspas:

$ tdbtool netsamlogon_cache.tdb delete "S-1-5-21-3023451936-689652692-1079546996-40725\0"

a associação ao grupo será atualizada na primeira vez que o sistema operacional precisar, aguarde alguns minutos para que o arquivo tdb seja preenchido,

forma de samlogon do cache de rede:

$ net cache samlogon list|head
SID                                                Name                                     When cached
---------------------------------------------------------------------------------------------------------------------------
S-1-5-21-3023451936-689652692-1079546996-40725     DOM\user.name                            Tue Apr 27 07:59:19 AM 2018 BST
S-1-5-21-3023451936-689652692-1079546996-41432     DOM\user.name2                           Tue Apr 27 02:13:33 PM 2018 BST

$ net cache samlogon delete S-1-5-21-3023451936-689652692-1079546996-40725

O mesmo que anteriormente - a associação ao grupo será atualizada na primeira vez que o sistema operacional precisar, aguarde alguns minutos para que o arquivo tdb seja preenchido.

Answer

Consegui encontrar o artigo perdido de Marcin (https://marcinm.co.uk/group-membership-not-updating-in-winbind/) perguntando a ele por e-mail. Como tenho certeza de que isso ajudará pelo menos algumas pessoas, aqui está a postagem completa do blog:

Cenário

Servidor de arquivos executando smbd security=ads(ou seja, atuando como membro do domínio), o usuário se conecta ao compartilhamento Samba e obtém a associação ao grupo capturada corretamente ao se conectar pela primeira vez - e nunca é atualizado depois disso.

Causa raiz

O Samba atualiza a associação ao grupo quando é calculada pelo controlador de domínio AD e é calculada somente quando o usuário efetua login em um servidor executando smbd e winbind. Que é acionado wbinfo -aapenas por login SMB kerberizado. Como esta é uma limitação séria, o que significa que nenhuma associação ao grupo seria conhecida em máquinas nas quais o usuário nunca efetua login, foi desenvolvido um código de associação ao grupo substituto que extrai a associação do usuário ao grupo do AD sem o login do usuário, mas como conta de máquina usada pelo winbind não tem o direito de solicitar a adesão a um grupo de usuários, é considerado instável e seus resultados não são confiáveis. Portanto, o winbind nunca depende dele - ele o chamará quando nenhuma associação ao grupo for conhecida, mas nunca será usado para atualizar as associações ao grupo em cache. Como resultado disso - em alguns cenários, o winbind captura associações de grupos de usuários uma vez e nunca as atualiza depois disso.

Não é possível desabilitar o cache de membros do grupo, ou seja, não há como desabilitar tal comportamento colocando uma linha em smb.conf. Observe que este não é um problema do Samba, mas um problema de design do AD, tal comportamento é consistente com a maneira como o Windows se comporta, que efetivamente é que a associação ao grupo AD é atualizada quando um usuário se autentica durante o login.

Como forçar a atualização da associação ao grupo para um usuário

A associação ao grupo é armazenada em cache em um arquivo chamado netsamlogon_cache.tdbque pode ser investigado pelo tdbtool (todas as versões do Samba) ou net cache samlogon(Samba 4.7 ou mais recente). A exclusão de entradas em cache desse arquivo aciona uma atualização única das associações ao grupo, chamando o código de atualização de fallback e colocando seu resultado de volta netsamlogon_cache.tdb- e depois disso elas são armazenadas em cache para sempre novamente.

maneira tdbtool:

$ wbinfo -n user.name
S-1-5-21-3023451936-689652692-1079546996-40725 SID_USER (1)

anexe \0ao SID e coloque-o entre aspas:

$ tdbtool netsamlogon_cache.tdb delete "S-1-5-21-3023451936-689652692-1079546996-40725\0"

a associação ao grupo será atualizada na primeira vez que o sistema operacional precisar, aguarde alguns minutos para que o arquivo tdb seja preenchido,

forma de samlogon do cache de rede:

$ net cache samlogon list|head
SID                                                Name                                     When cached
---------------------------------------------------------------------------------------------------------------------------
S-1-5-21-3023451936-689652692-1079546996-40725     DOM\user.name                            Tue Apr 27 07:59:19 AM 2018 BST
S-1-5-21-3023451936-689652692-1079546996-41432     DOM\user.name2                           Tue Apr 27 02:13:33 PM 2018 BST

$ net cache samlogon delete S-1-5-21-3023451936-689652692-1079546996-40725

O mesmo que anteriormente - a associação ao grupo será atualizada na primeira vez que o sistema operacional precisar, aguarde alguns minutos para que o arquivo tdb seja preenchido.

Question 3

Meu único pensamento, e muito vago, é que pode ter algo a ver com a comunicação com o seu mestre de infraestrutura (que é responsável por atualizar as associações de grupos entre domínios).

Answer

Meu único pensamento, e muito vago, é que pode ter algo a ver com a comunicação com o seu mestre de infraestrutura (que é responsável por atualizar as associações de grupos entre domínios).

Question 4

Eu tive algo semelhante. Para corrigir o problema, executei "authconfig --disablecache --update". É claro que isso tornou os logons lentos.

Answer

Eu tive algo semelhante. Para corrigir o problema, executei "authconfig --disablecache --update". É claro que isso tornou os logons lentos.

Cenário

Responder1

Responder2

Cenário

Causa raiz

Como forçar a atualização da associação ao grupo para um usuário

maneira tdbtool:

forma de samlogon do cache de rede:

Responder3

Responder4

informação relacionada