Samba Migration 3 > 4

roland.gsell · May 12, 2015, 12:59pm

Ich bin noch einen Schritt weiter zurückgegangen.

Diesmal habe ich als Basis meinen Snapshot von der UCS 3.2.5-Neuinstallation genommen, bei der nur die Basis-SID geändert wurde.
Dann habe ich einen einzelnen Test-User angelegt und danach die Samba-4-Migration durchgeführt.
Sie schlägt dann auch nicht fehl, zeigt aber auch nicht erwartete Fehlermeldungen:

[...]
GROUP 'Domain Admins'
GROUP SID 'S-1-5-21-2657495056-2441450391-3094810640-512'
Inconsistent SAM -- group member uid not in our domain
Ignoring group 'Domain Admins' S-1-5-21-2657495056-2441450391-3094810640-512 listed but then not found: Unable to enumerate group members, (-1073741596,NT_STATUS_INTERNAL_DB_CORRUPTION)

[...]

Exporting users
sid S-1-5-21-2657495056-2441450391-3094810640-5002 does not belong to our domain
sid S-1-5-21-2657495056-2441450391-3094810640-500 does not belong to our domain
sid S-1-5-21-2657495056-2441450391-3094810640-5006 does not belong to our domain
sid S-1-5-21-2657495056-2441450391-3094810640-5008 does not belong to our domain
sid S-1-5-21-2657495056-2441450391-3094810640-5010 does not belong to our domain
Next rid = 1000

[...]

Setting up fake yp server settings
Once the above files are installed, your Samba4 server will be ready to use
Admin password:        .xs[D6N-$v&Poo
Server Role:           active directory domain controller
Hostname:              univention1
NetBIOS Domain:        GFM
DNS Domain:            gfm.local
DOMAIN SID:            S-1-5-21-1279396558-1320036956-2672020403
Importing WINS database
[...]

Es wurde also für meine Domäne eine neue SID angelegt. Genau das will ich vermeiden - es soll die verwendet werden, die ich angegeben habe.
Diese SID steht dann im LDAP an genau diesen zwei Stellen:

Ein Eintrag für eine temporäre SID:

dn: cn=S-1-5-21-1279396558-1320036956-2672020403-5002,cn=sid,cn=temporary,cn=u
 nivention,dc=gfm,dc=local
objectClass: top
objectClass: lock
lockTime: 1427890025
cn: S-1-5-21-1279396558-1320036956-2672020403-5002
structuralObjectClass: lock
entryUUID: a899e610-6cb2-1034-935e-a3b5f97aa76f
creatorsName: cn=admin,dc=gfm,dc=local
createTimestamp: 20150401120205Z
entryCSN: 20150401120205.259071Z#000000#000#000000
modifiersName: cn=admin,dc=gfm,dc=local
modifyTimestamp: 20150401120205Z

Und einer für die Domäne:

dn: sambaDomainName=GFM,dc=gfm,dc=local
sambaDomainName: GFM
sambaSID: S-1-5-21-1279396558-1320036956-2672020403
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
sambaNextUserRid: 1000
structuralObjectClass: sambaDomain
entryUUID: 16feac92-8ce5-1034-8509-c797228dc2cc
creatorsName: cn=admin,dc=gfm,dc=local
createTimestamp: 20150512112342Z
sambaPwdHistoryLength: 0
sambaLogonToChgPwd: 0
sambaMinPwdAge: 0
sambaLockoutObservationWindow: 30
sambaLockoutThreshold: 0
sambaForceLogoff: -1
sambaRefuseMachinePwdChange: 0
sambaMinPwdLength: 8
sambaLockoutDuration: 0
sambaMaxPwdAge: 0
entryCSN: 20150512115706.808183Z#000000#000#000000
modifiersName: cn=admin,dc=gfm,dc=local
modifyTimestamp: 20150512115706Z

Sonst existiert der Wert S-1-5-21-1279396558-1320036956-2672020403 im LDAP nicht. Alle anderen Objekte haben die alte SID, die ich behalten wollte.

Wenn ich mit meinen 270 Usern, die ich in der anderen Testumgebung schon importiert habe, soweit kommen würde, wäre ich schon froh - auch wenn ich gerne hätte, dass im S4 auch die alte SID verwendet wird und nicht die neu erstellte:

root@univention1:~# univention-s4search cn=Gsell
# record 1
dn: CN=Gsell,CN=Users,DC=gfm,DC=local
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Gsell
sn: Roland
instanceType: 4
whenCreated: 20150512115601.0Z
displayName: Roland
uSNCreated: 3853
name: Gsell
objectGUID: 29a9d78e-b859-4a6a-8b78-b066e4bdf239
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1279396558-1320036956-2672020403-1103
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: Gsell
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=gfm,DC=local
userAccountControl: 512
userPrincipalName: Gsell@GFM.LOCAL
pwdLastSet: 130759035030000000
whenChanged: 20150512115602.0Z
uSNChanged: 3855
distinguishedName: CN=Gsell,CN=Users,DC=gfm,DC=local

Geht das überhaupt?