なかのにっき

最新版はこちら。 突っ込みは各日付の BBS エントリのほか、 メール (nakano@st.seikei.ac.jp) や フォーム からどうぞ。 なおスパム除けのため、BBS 機能には 緩い認証を入れて います。 検索エンジンから来た方は、エンジンの方のキャッシュを見るか、 下の簡易検索を試してみてください。


hns - 日記自動生成システム - Version 2.19.5

先月 2023年07月 来月
1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31
Namazu for hns による簡易全文検索
詳しくは 詳細指定/ヘルプを参照して下さい
検索式:

2023年07月18日(火) [n年日記]

#1 Windows Update による samba の不具合

先週半ばから、「このワークステーションとプライマリドメインの信頼関係に失敗しました」なるエラーで samba PDC へのログインに失敗する、という報告を研究室の学生さんから受け、 いろいろ調べていたのだけれど、PowerShell にて
Test-ComputerSecureChannel
False
となること、すなわちクライアント PC とサーバとの間のセキュアチャネルがアカンことが原因とわかる。 -Repair -Credential DOMAIN\admin をつけても修復しない。

いろいろ試行錯誤したが解決せず、調べ回って Samba ML の阿鼻叫喚 に到達。Windows Update 07-2023 (KB5028166) の問題だったとわかる(うへー)。こちらから

The Samba-Bugzilla - Bug 15418 - secure channel faulty since Windows 10/11 update 07/2023

そして

Debian Bug report logs - #1041043 samba domain netlogon broken after windows 10/11 Jul-2023 update

に到達し、bookworm ならパッチのあたった 2:4.17.9+dfsg-0+deb12u3 がリリースされていることを知る。 bullseye 版も出るだろうとは思ったが、三連休の末尾だったのでアップグレードしてしまうことにした。

結局修正バージョンは bookworm-updates に入っていて、PC は無事再接続できた。1 台だけサーバが見えずにドメイン参加にしくった PC があったが、それはクライアント側の設定だと思うのでまた調べる。

…いやここに至るまで、各 PC の domain 参加を外して再登録したり、全部の PC のマシンアカウントを切り直したり、やたら時間を消費した。

最初に報告を受けたあと、症状の出る PC がバタバタ増えていったので、最初は特定の PC が他の PC の通信をブロックしたんじゃないかとか、まさかウィルス?などと思っていたのだけれど、次々に Windows Update が自動で当たっていったからだったのねえ。

ドメイン参加にしくった PC:

確認したら こちら の registry 変更があたってなかったので、あてたら参加できた。 なぜ外れたのかは謎。

#2 [Debian] bookworm upgrade

ということで bookworm へ。いつもの手順だったが ldap で苦戦。 Debian の slapd は bookworm で 2.4 から 2.5 になったのだが、ここでバックエンドが MDB に変わり、また slapd.conf がなくなって設定を cn=config に保存するようになったためか、素直に起動せず一般ユーザのログインができなくてさあ大変。

結論からいうと、Debian の openldap migration tool はよくできていたんだけど(特に DB のダンプ出力をバックアップ保存してくれていたところ。これはマジで助かった)、結構手作業も多くて苦戦した。 おおむね

ubuntu Disclose: Service - Migrating from OpenLDAP 2.4.x to 2.5.x

にあった通りだが、自分が踏んだ手順は以下の通り
  1. /var/backups/slapd/slapd-2.4.57+dfsg-3+deb11u/ 以下から cn=config.ldif と dc=surf,(中略),dc=jp.ldif を /var/tmp/ldap-migration/ みたいなディレクトリにコピーする
  2. /etc/ldap/slapd.d/ を空にする
  3. cn=config.ldif は 2.4.x でダンプした HDB 用の設定なので、MDB 用に編集して登録する。 登録のためのコマンドは以下の通り。
    slapadd -F /etc/ldap/slapd.d -n0 -l 'cn=config.ldif'
    
    このとき、特定のエントリが定義されていない…というメッセージで slapadd が失敗したら、cn=config.ldif を編集してその行を消し、/etc/ldap/slapd.d/ を再び空にしてから再実行する(このループが辛かった)
  4. エラーなく slapadd が修了したら、アカウント情報の入っている DB のダンプを
    slapadd -l dc=surf,...,dc=jp.ldif
    
    で書きもどす
  5. /etc/lsap/slapd.d/ と /var/lib/ldap 以下のオーナーを openldap:openldap にする
  6. systemctl start slapd で起こす
という感じ。結局編集した差分は以下の通り。引用した Ubuntu のページは BDB→MDB だったっぽいけど、うちの場合は HDB→MDB だったので、ちょっとパッチが異なる。

ldap 起きてないので root で作業したんだが、いちいち /etc/ldap/slapd.d/ を消して行う 3 の作業が地獄のようであった…
--- /var/backups/slapd-2.4.57+dfsg-3+deb11u1/cn=config.ldif	2023-07-17 19:13:32.045775850 +0900
+++ cn=config.ldif	2023-07-17 21:48:19.823842621 +0900
@@ -40,7 +40,7 @@
 objectClass: olcModuleList
 cn: module{0}
 olcModulePath: /usr/lib/ldap
-olcModuleLoad: {0}back_hdb
+olcModuleLoad: {0}back_mdb
 structuralObjectClass: olcModuleList
 entryUUID: f8a56bb4-f058-102f-83fc-07df9f685325
 creatorsName: cn=config
@@ -1469,10 +1469,10 @@
 modifiersName: cn=config
 modifyTimestamp: 20110401030749Z
 
-dn: olcDatabase={1}hdb,cn=config
+dn: olcDatabase={1}mdb,cn=config
 objectClass: olcDatabaseConfig
-objectClass: olcHdbConfig
-olcDatabase: {1}hdb
+objectClass: olcMdbConfig
+olcDatabase: {1}mdb
 olcSuffix: dc=surf,dc=st,dc=seikei,dc=ac,dc=jp
 olcAccess: {0} to attrs=userPassword,shadowLastChange,sambaPwdMustChange,sam
  baNTPassword,sambaLMPassword,sambaPwdLastSet by dn="cn=admin,dc=surf,dc=st,
@@ -1487,15 +1487,8 @@
 olcSyncUseSubentry: FALSE
 olcMonitoring: FALSE
 olcDbDirectory: /var/lib/ldap
-olcDbCacheSize: 1000
 olcDbCheckpoint: 512 30
-olcDbConfig: {0}set_cachesize 0 2097152 0
-olcDbConfig: {1}set_lk_max_objects 1500
-olcDbConfig: {2}set_lk_max_locks 1500
-olcDbConfig: {3}set_lk_max_lockers 1500
 olcDbNoSync: FALSE
-olcDbDirtyRead: FALSE
-olcDbIDLcacheSize: 0
 olcDbIndex: objectClass eq
 olcDbIndex: cn eq,subinitial
 olcDbIndex: uid eq
@@ -1513,13 +1506,9 @@
 olcDbIndex: uniqueMember eq
 olcDbIndex: sambaDomainName eq
 olcDbIndex: sambaGroupType eq
-olcDbLinearIndex: FALSE
 olcDbMode: 0600
 olcDbSearchStack: 16
-olcDbShmKey: 0
-olcDbCacheFree: 1
-olcDbDNcacheSize: 0
-structuralObjectClass: olcHdbConfig
+structuralObjectClass: olcMdbConfig
 entryUUID: f8a5f606-f058-102f-8405-07df9f685325
 creatorsName: cn=config
 createTimestamp: 20110401030749Z
コメント [全部読む/投稿する]

以上、1 日分です。
タイトル一覧
カテゴリ分類
book
dept
issp
labo
paper
snap
stock
vsj
Powered by hns-2.19.5, HyperNikkiSystem Project

中野武雄 (NAKANO, Takeo) <nakano@st.seikei.ac.jp> Since 1999-10-07
RSS feed, 更新時刻, LIRS エントリ, アクセス制御 (解説)

中野のホームページへ