Benutzeranmeldung nach Samba-4-Migration

Liebes Forum,

ich habe letzte Woche bei einem Kunden ein UCS-Update von 3.1.1 auf 4.1.3 durchgeführt und danach auf Samba 4 migriert.
Sie lief ausgesprochen reibungslos - nach Abschluss konnten sich alle Benutzer wieder an ihren Workstations anmelden und es mussten keine Clients neu gejoined werden.

Nun ist aber etwas sehr eigenartiges aufgetreten, was wir zuvor vor Ort leider nicht getestet haben:

Benutzer können sich nur auf Workstations anmelden, auf denen sie schon einmal angemeldet waren.
Wenn sie es auf einem anderen Gerät versuchen, erhalten sie die Meldung “Es stehen keine Anmeldeserver zur Verfügung.”, was natürlich Unsinn ist.
Wie kann das sein?

Davon abgesehen gibt es auch noch Performance-Probleme. Sie sind nicht gravierend, aber stören doch bei der Arbeit.
Ich habe bisher noch wenig Erfahrung im Tuning von Samba 4.
Hat jemand dazu eine gute Anleitung - evtl. speziell für Univention? Ich konnte dazu leider noch nicht viel finden.

TIA,
Roland.

Hallo nochmal,

inzwischen hat sich die Sache zwar schon geklärt, ich habe aber noch eine Frage dazu:

Grund für das eigenartige Verhalten war die Tatsache, dass zwischen dem Client-Netzwerk und den Servern eine sehr restriktive Firewall-Policy geschalten war.
So konnte z.B. auch kein Rechner neu der Domäne gejoint werden, weil die Antwort des Servers auf eine LDAP-Anfrage (389, UDP) auf einem hohen UDP-Port zurückkam und den Client nie erreicht hat.
Daher dann auch die Fehlermeldung beim Join, die in etwa so lautete: “Die DNS-Abfrage _ldap._tcp.dc._msdcs.firma.at konnte zwar aufgelöst werden, der Anmeldeserver ist jedoch nicht erreichbar. Kontrollieren Sie, ob er eingeschaltet und erreichbar ist.”
Und erreichbar war er eben tatsächlich nicht. Nachdem alle hohen UDP-Ports ab 49152 offen waren, kam beim Join sofort die Antwort des Servers mit der Abfrage des Domänenadminkennworts.

Langer Rede, kurzer Sinn:
Wir haben nun schon sehr viele Ports geöffnet (siehe Liste unten), aber es scheint immer noch nicht für einen reibungslosen Ablauf zu reichen.
Welche Ports sind noch nötig, bzw. macht es nach einer derartigen Öffnung überhaupt noch Sinn diese Regeln einzusetzen? (etwa um wenigstens die nicht benötigten Port unter 1024 zu schützen)

erlaubte Ports von Server nach Client: (response)

88 tcp/udp
445 tcp/udp
123 udp
389 tcp/udp
135 tcp
3268 tcp
3269 tcp
range 49000 bis 65535 udp

erlaubte Ports von Clients nach Server:

folgende Ports waren zu wenig:
88 tcp/udp
445 tcp/udp
123 udp
389 tcp/udp
135 tcp
3268 tcp
3269 tcp

Moin Herr Gsell,

zum Thema Firewall. Sie sollten sich die Liste derjenigen Ports, die ein Client auf dem Server erreichen können muss, direkt auf dem DC Master abschauen können. UCS bringt ja eine eigene Firewall mit. Dabei werden alle benötigten Ports in UCR-Variablen unterhalb von »security/packetfilter/…« abgelegt; die von Univention mitgelieferten jeweils von »security/packetfilter/package/…«.

Also einfach mal nachschauen: ucr search --brief security/packetfilter/package

Das ist eine ganze Menge. Sie brauchen auf jeden Fall die vom Paket »univention-samba4«; die anderen bei Bedarf natürlich auch.

In der anderen Richtung (vom Server in Richtung Client) sollten eigentlich gar keine Verbindungen benötigt werden. Was ich damit meine: der Server muss von sich aus keine Verbindungen zum Client aufbauen können. Daher sind eigentlich nur die vom Client in Richtung Server relevant. Jede moderne Firewall sollte die Antwortpakete wiederum automatisch zulassen; bei einer manuellen Konfiguration unter Linux wäre das mit einem Zulassen vom State ESTABLISHED,RELATED erledigt.

Gruß,
mosu

Ok, danke.

Ich habe inzwischen das hier “gefunden”: (bzw. jemand hat es für mich gefunden)
sdb.univention.de/solution_id_1255.html

Interessanterweise fehlt hier Port 445.

Mastodon