Projet

Général

Profil

Demande #34692

Analyse log cd74

Ajouté par Gilles Grandgérard il y a plus d'un an. Mis à jour il y a environ un an.

Statut:
Classée sans suite
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
10/10/2022
Echéance:
% réalisé:

0%


Description

Mail Arnaud du 6/10/2022

Histoire de gagner un peu de temps pour demain matin, nous vous résumons ce que nous avons remarqué et serait, à priori, responsable des désagréments rencontrés principalement sur Firefox et LibreOffice.

Tout vient justement de LibreOffice. Vous devez vous rappeler nos soucis l’an passé sur les nouveaux comptes qui, aléatoirement, n’arrivaient pas à lancer l’application.

Cela touchait tous les établissements…sauf UN : le collège de Cran-Gevrier.

Mais tout cela a changé cette rentrée, où les mêmes dysfonctionnements sont apparus également pour eux. Ce qui a changé : Le passage cet été de leur serveur Scribe de la version 2.7.1 à la 2.8.1.

Nous avons commencé à soupçonner la version de samba. Et en observant, nous avons remarqué que même après qu’un utilisateur a fermé sa session Windows, il peut apparaitre encore sous Samba.

Exemples : Hier nous avons utilisé un compte test sur un collège, nous nous sommes connecté le matin et l’avons déconnecté vers midi. Et pourtant, dans l’aprem, avec un smbstatus –b le compte est toujours présent, ainsi que d’autres utilisateurs (pourtant eux aussi déconnectés).

Dans un autre établissement, hier vers 17h30, j’ai même vu 4 fois le même utilisateur toujours connecté.

Nous avions déjà remarqué qu’après un arrêt brutal d’une session (typiquement une coupure de courant), quand l’utilisateur se reconnectait, on pouvait trouver 2 fois ce dernier avec un smbstatus –b, ce qui l’empêchait de démarrer Firefox (message d’erreur indiquant des soucis de droits d’accès).

Nous supposons que ceci a donc également un lien avec nos soucis de LibreOffice qui a du mal à créer son répertoire de configuration dans le Appdata (pour rappel redirigé vers son Perso).

Suite Visio :
  • Voir présence 'ntlm_auth=yes' dans smb.conf ?
  • Ajouter 'deadtime = 15' dans smb.conf
  • fournir les logs.

Sur ADDC:

pb droits lxc ?

Oct  7 11:51:19 addc ntpd[72]: local_clock: ntp_loopfilter.c line 818: ntp_adjtime: Operation not permitted

Oct  5 21:00:26 addc kernel: [6581343.849802] audit: type=1400 audit(1664996426.885:200): apparmor="DENIED" operation="connect" profile="/usr/sbin/slapd" name="/run/samba/winbindd/pipe" pid=3102408 comm="slapd" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0

Sur le membre :

Jun 23 11:25:35 scribe kernel: [ 1304.356458] audit: type=1400 audit(1624440335.852:71): apparmor="DENIED" operation="connect" profile="/usr/sbin/slapd" name="/run/samba/winbindd/pipe" pid=36073 comm="slapd" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0
Jun 23 11:25:39 scribe kernel: [ 1307.667503] audit: type=1400 audit(1624440339.161:72): apparmor="DENIED" operation="connect" profile="/usr/sbin/mysqld" name="/run/samba/winbindd/pipe" pid=36151 comm="mysqld" requested_mask="wr" denied_mask="wr" fsuid=0 ouid=0
2022-10-07T16:00:56.197893+02:00 scribe.0740931k.etab smbd_audit:   chdir_current_service: vfs_ChDir(/home/adhomes/borban) failed: Permission non accordée. Current token: uid=13658, gid=10515, 5 groups: 13658 10515 2000 2001 2002

voir le thread https://lists.samba.org/archive/samba/2021-January/234208.html
a voir pb idmap 2000 : 13658 10515 sont dans le range AD, 2000 2001 2002 ne le sont pas !
IL EST FORT PROBABLE QUE L ORIGINE DU PB SOIT LE PB IDMAP !
[2022/10/03 12:37:15.142830,  0] ../../source3/libsmb/trusts_util.c:379(trust_pw_change)
  2022/10/03 12:37:15 : trust_pw_change(0740931K): Verifying passwords remotely netlogon_creds_cli:CLI[SCRIBE/SCRIBE$]/SRV[ADDC/0740931K].
[2022/10/03 12:37:15.145941,  0] ../../source3/libsmb/trusts_util.c:451(trust_pw_change)
  2022/10/03 12:37:15 : trust_pw_change(0740931K): Verified old password remotely using netlogon_creds_cli:CLI[SCRIBE/SCRIBE$]/SRV[ADDC/0740931K]
[2022/10/03 12:37:15.145993,  0] ../../source3/libsmb/trusts_util.c:491(trust_pw_change)
  2022/10/03 12:37:15 : trust_pw_change(0740931K): Changed password locally
[2022/10/03 12:37:15.190458,  0] ../../source3/libsmb/trusts_util.c:544(trust_pw_change)
  2022/10/03 12:37:15 : trust_pw_change(0740931K): Changed password remotely using netlogon_creds_cli:CLI[SCRIBE/SCRIBE$]/SRV[ADDC/0740931K]
[2022/10/03 12:37:15.192270,  0] ../../source3/libsmb/trusts_util.c:563(trust_pw_change)
  2022/10/03 12:37:15 : trust_pw_change(0740931K): Finished password change.
[2022/10/03 12:37:15.194459,  0] ../../source3/libsmb/trusts_util.c:615(trust_pw_change)
  2022/10/03 12:37:15 : trust_pw_change(0740931K): Verified new password remotely using netlogon_creds_cli:CLI[SCRIBE/SCRIBE$]/SRV[ADDC/0740931K]
[2022/10/03 14:33:34.816734,  0] ../../source3/libads/kerberos_util.c:73(ads_kinit_password)
  kerberos_kinit_password SCRIBE$@0740931K.ETAB failed: Preauthentication failed

Bizarre, le changement de mot de passe du compte machine (SCRIBE$) ne s'est pas bien passé ! (est-ce du à la présence de ntml_auth dans le smb.conf ?)

dans auth.debug.log

2022-10-03T11:36:24.452486+02:00 scribe.0740931k.etab saslauthd[783]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-03T13:41:13.424465+02:00 scribe.0740931k.etab saslauthd[787]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-04T08:17:20.081935+02:00 scribe.0740931k.etab saslauthd[785]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-04T09:10:36.111520+02:00 scribe.0740931k.etab saslauthd[786]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-04T11:32:50.001680+02:00 scribe.0740931k.etab saslauthd[783]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-06T10:29:10.628320+02:00 scribe.0740931k.etab saslauthd[784]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-07T09:11:22.548194+02:00 scribe.0740931k.etab saslauthd[785]: ldap_simple_bind() failed -1 (Can't contact LDAP server).
2022-10-07T10:35:34.886815+02:00 scribe.0740931k.etab saslauthd[786]: ldap_simple_bind() failed -1 (Can't contact LDAP server).

Révisions associées

Révision 5ab5a870 (diff)
Ajouté par Philippe Caseiro il y a plus d'un an

Revert "migration de casFolder si nécessaire (ref #34692)"

This reverts commit e8145dd62b4f17a170331bbc86e0bbb9690bb357.

Historique

#1 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#2 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#3 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#4 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#5 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#6 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#7 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#8 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#9 Mis à jour par Gilles Grandgérard il y a plus d'un an

  • Description mis à jour (diff)

#10 Mis à jour par Gilles Grandgérard il y a environ un an

  • Statut changé de Nouveau à Classée sans suite

Traité dans autre scénario

Formats disponibles : Atom PDF