Differences

This shows you the differences between two versions of the page.

--- doc:appunti:linux:lezioni:samba_domain [2009/08/07 18:47] – niccolo
+++ doc:appunti:linux:lezioni:samba_domain [2023/12/20 16:11] (current) – [Backup e restore password Samba] niccolo
@@ Line 115: / Line 115: @@
 mount -o remount,usrquota,grpquota /home
 quotacheck --user --group --create-files /home
+quotaon /home
 </code>
@@ Line 247: / Line 248: @@
 ==== Condivisione cartelle ====
+FIXME: Negli esempi che seguono compare l'opzione **force directory security mode**, che è stata rimossa da Samba 4.0.
 Per comodità tutte le cartelle condivise tramite Samba sono contenute nella directory **''/home/samba/''**.
+Attenzione: la direttiva **''force directory mode''** in alcuni casi non è sufficiente a garantire i permessi sulle cartelle create, ad esempio con client Mac. Diventa necessaria la **''force directory security mode''**, che interviene dopo che il client SMB manipola i permessi di sicurezza NT.
 === Cartella pubblica ===
@@ Line 271: / Line 276: @@
    directory mask = 0777
    force directory mode = 0777
+   force directory security mode = 0777
 </file>
@@ Line 300: / Line 306: @@
    directory mask = 02775
    force directory mode = 02775
+   force directory security mode = 02775
 </file>
@@ Line 349: / Line 356: @@
    directory mask = 02770
    force directory mode = 02770
+   force directory security mode = 02770
    valid users = %S
 </file>
@@ Line 364: / Line 372: @@
    directory mask = 02770
    force directory mode = 02770
+   force directory security mode = 02770
 </file>
@@ Line 370: / Line 379: @@
 L'interfaccia di amministrazoine di Swat risponde all'URL **%%http://samba_host:901/%%**. Per accedere si possono utilizzare le credenziali dell'utente **root** Unix.
+==== Backup e restore password Samba ====
+È possibile fare un dump (**export**) di tutti gli account Samba esistenti (e le relative password) in un file:
+<code>
+pdbedit -e smbpasswd:/root/samba-users.backup
+</code>
+Per recuperare gli account e le password si esegue l'**import**
+<code>
+pdbedit -i smbpasswd:/root/samba-users.backup
+</code>
+Verificare lo UID nel file di esportazione: nel sistema destinazione gli utenti devono avere lo stesso UID. In alternativa è possibile editare il file ''smbpasswd'' che contiene il backup e modificare gli UID prima dell'importazione.
+===== Troubleshooting =====
+==== Login/password diversi per cartelle sullo stesso server ====
+Quando Windows deve accedere ad una cartella condivisa tenta inizialmente usando la stessa login/password utilizzata per il logon, se fallisce chiede all'utente una nuova accoppiata login/password.
+Se successivamente si tenta di accedere ad un'altra risorsa condivisa, ma **che risiede sullo stesso server remoto**, Windows **non è in grado di utilizzare un login diverso**. Il messaggio di errore è:
+<code>
+Le connessioni multiple a un server o a una risorsa condivisa da parte dello stesso utente,
+utilizzando più di un nome utente, non sono consentite. Interrompere tutte le connessioni
+precedenti al server o alla risorsa condivisa e riprovare.
+</code>
+Questo accade ad esempio se prima si accede ad una cartella in modalità Guest (e quindi qualunque login/password vengono accettati) e poi si tenta di accedere ad un'altra cartella per la quale è necessario un login/password diversi.
+Per interrompere una connessione di rete, dal Prompt dei comandi si controlla quali sono attive e quindi la si interrompe:
+<code>
+net use
+net use \\192.168.3.74\pdf /delete
+</code>
+Per qualche tempo la sessione con il server pare sempre funzionale, sebbene non compaia nell'elenco di **''net use''**. Si dice che per forzare la chiusura immediata della sessione si possa usare il comando:
+<code>
+net session \\192.168.3.74 /delete
+</code>
+Un workaround per **utilizzare nome di login diversi sullo stesso server** è indicato in questo [[http://social.technet.microsoft.com/Forums/windows/en-US/f3ee2c61-a5c7-48b3-a3bf-23ea323da699/connecting-to-multiple-shares-on-a-single-server-with-multiple-credentials-system-error-1219-?forum=itprovistanetworking|post]], in pratica si definisce un nome alternativo per lo stesso server (ad esempio mettendolo in ''C:\Windows\System32\drivers\etc\hosts'') e si effettua il browse di tale risorsa di rete; Windows viene ingannato e non capisce che si tratta dello stesso server remoto. Oltre ad un nome diverso si può anche utilizzare l'indirizzo IP.
+==== Protocollo NTLMv1 ====
+Alcuni device (es. stampanti multifunzione) utilizzano il protocollo SMB per dialogare con il mondo Windows, ma hanno versioni obsolete del protocollo di autenticazione. Ad esempio una multifunzione **Ricoh MP3003** può invare le scansioni su uno share di rete con autenticazione, ma supporta solo il protocollo //NTLM encrypted password response// che è disabilitato per impostazione predefinita in **Samba 4**. Un tentativo di autenticazione fallisce con questo log:
+<file>
+ntlm_password_check: NTLMv1 passwords NOT PERMITTED for user username
+ntlm_password_check: NEITHER LanMan nor NT password supplied for user username
+check_winbind_security: Not using winbind, requested domain [WORKGROUP] was for this SAM.
+check_ntlm_password:  Authentication for user [username] -> [username] FAILED with error NT_STATUS_WRONG_PASSWORD
+</file>
+Nonostante il fatto che Microsoft consigli di aggiornare il software incriminato (in questo caso sarebbe il firmware della multifunzione), è possibile accettare anche il protocollo deprecato impostando in **smb.conf**:
+<file>
+lanman auth = yes
+ntlm auth = yes
+</file>