Problemas com Samba para funcionar dentro de uma VPN

Wed, 29 Aug 2007 06:30:16 -0700 

Bom dia.

Pessoal é o seguinte... preciso que meu dominio (samba) funcione dentro
de uma VPN (abaixo segue um desenho para melhor entendimento)
Preciso que nas máquinas que serão os Local Master Browser (LMB) de cada
ponto da VPN além de ser um LMB tbm compartilhe arquivos baseando suas
permissoes nos usuários/grupos obtidos a partir do PDC.
Configurei o smb.conf do LMB conforme o manual oficial do site (samba
howto) do samba para obter os usuarios/grupos de um PDC utilizando o
winbind... 
Utilizo no PDC como backend para senhas o smbpasswd.

Se alguem não tiver a idéia de como solucionar o problema que estou
tendo por favor me indique qual seria a melhor maneira de se trabalhar
com o samba numa VPN server-to-server onde os servidores das pontas da
VPN tbm compartilhe arquivos baseando nos usuarios e senhas do PDC.

Segue abaixo a minha estrutura da rede...

                                
                                PDC (samba com smbpasswd) rede 192.168.0.0/24
                                 |
                              firewall (VPN)
                                |||
                        internet | internet
     (vpn)firewall----------------------------------- firewall(vpn)
           |                 internet                   |
           |                                            |       
    LMBSV(samba) rede 192.168.3.0/24      LMB (samba) rede 192.168.2.0/24


        
Segue meu smb.conf do LMBSV  
[global]
        workgroup = KACHAN
        netbios name = LMBSV
        server string = 
        security = DOMAIN
        obey pam restrictions = Yes
        password server = 192.168.0.2
        log level = 10
        log file = /var/log/samba/log.%m
        os level = 65
        preferred master = Yes
        domain master = No
        wins server = 192.168.0.2
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /home/winnt/%D/%U
        winbind separator = /
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        invalid users = root


Configurei tbm o nsswitch.conf conforme pedido...

ka030:~# cat /etc/nsswitch.conf 
passwd:         winbind compat 
group:          winbind compat 
shadow:         winbind compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Quando digito wbinfo -u tenho o retorno de todos os usuários...
ka030:~# wbinfo -u
fernando
apps
dimas
fabricio
pedro
bene
elaine
.
.
.

Porém quando digito o comando wbinfo -g tenho o retorno apenas de dois
grupo padrões...
ka030:~# wbinfo -g
BUILTIN/administrators
BUILTIN/users


E abaixo segue o log de /var/log/samba/log.winbind da máquina que tenta
buscar os grupos no meu servidor com o comando wbinfo -g.
[2007/08/29 09:21:11, 6] nsswitch/winbindd.c:new_connection(601)
  accepted socket 18
[2007/08/29 09:21:11, 10] nsswitch/winbindd.c:process_request(287)
  process_request: request fn INTERFACE_VERSION
[2007/08/29 09:21:11, 3]
nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2007/08/29 09:21:11, 10] nsswitch/winbindd.c:process_request(287)
  process_request: request fn WINBINDD_PRIV_PIPE_DIR
[2007/08/29 09:21:11, 3]
nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2007/08/29 09:21:11, 6] nsswitch/winbindd.c:new_connection(601)
  accepted socket 25
[2007/08/29 09:21:11, 10] nsswitch/winbindd.c:process_request(287)
  process_request: request fn LIST_GROUPS
[2007/08/29 09:21:11, 3]
nsswitch/winbindd_group.c:winbindd_list_groups(907)
  [    0]: list groups
[2007/08/29 09:21:11, 4]
nsswitch/winbindd_group.c:get_sam_group_entries(605)
  get_sam_group_entries: BUILTIN or local domain; enumerating local
groups as well
[2007/08/29 09:21:11, 4]
nsswitch/winbindd_group.c:get_sam_group_entries(614)
  get_sam_group_entries: Returned 2 local groups
[2007/08/29 09:21:11, 4]
nsswitch/winbindd_group.c:get_sam_group_entries(605)
  get_sam_group_entries: BUILTIN or local domain; enumerating local
groups as well
[2007/08/29 09:21:11, 3]
nsswitch/winbindd_group.c:get_sam_group_entries(610)
  get_sam_group_entries: Failed to enumerate domain local groups!
[2007/08/29 09:21:11, 10]
nsswitch/winbindd_cache.c:refresh_sequence_number(430)
  refresh_sequence_number: KACHAN time ok
[2007/08/29 09:21:11, 10]
nsswitch/winbindd_cache.c:refresh_sequence_number(459)
  refresh_sequence_number: KACHAN seq number is now 1188391201
[2007/08/29 09:21:11, 10] nsswitch/winbindd_cache.c:centry_expired(501)
  centry_expired: Key GL/KACHAN/domain for domain KACHAN is good.
[2007/08/29 09:21:11, 10] nsswitch/winbindd_cache.c:wcache_fetch(588)
  wcache_fetch: returning entry GL/KACHAN/domain for domain KACHAN
[2007/08/29 09:21:11, 10]
nsswitch/winbindd_cache.c:enum_dom_groups(1121)
  enum_dom_groups: [Cached] - cached list for domain KACHAN status:
NT_STATUS_OK

E ao tentar mudar a permissao de algumas pasta dentro do LMB utilizando
um usuario e grupo do PDC tenho a seguind msg de erro.

ka030:/home/fernando# chown edna:comercial teste/
chown: `edna:comercial': grupo inválido

Ou seja o usuário ele encontra mas não o grupo "comercial"...

Alguem tem alguma idéia do que pode estar acontecendo? Ou outra forma
que eu possa estar trabalhando para obter o mesmo resultado?


Obrigado pela atencao 
Fernando Faria Mariano

Responder a