ich habe seit unsrer Netzwerk-Umstellung (neues Netz nach draußen, damit neue IPs und GWs) ein Problem mit dem ldap-Zugriff.
Meine Firewall-Liveansicht meldet den eingehenden ldap-Verkehr vom externen Server, der korrekt an 10.0.0.1:636 weitergeleitet wird.
Bei Untis/Nextcloud/Moodle ist aber kein Login möglich, die ldap-Connection schlägt fehl. telnet auf Port 636 auf die IP meines ldap-Proxys funktioniert, vom Proxy auf die externe IP der OPNsense aber nicht. Wobei sich die Anfragen wie gesagt in der Liveansicht der Firewall niederschlagen.
Jetzt würde ich gerne sehen, was der Samba auf dem Server macht. Ich habe in /etc/samba/smb.conf.admin die Zeilen:
eingetragen und neu gestartet (mit smbcontrol all reload-config, systemctl restart smbd liefert Fehlermeldung), aber in dem Verzeichnis landet nur ein leeres File mit der IP des Rechners, an dem ich gerade sitze, sonst finden sich da keine relevanten Informationen.
Wie kann ich sehen, ob und wie der ldap auf die Anfragen von draußen reagiert?
Die LDAP-Einträge landen normalerweise in /var/log/samba/log.samba.
Auf einen externen Server würde einen Test mit ldapsearch führen, vielleicht taucht da eine nutzliche Fehlermeldung.
in der log.samba sehe ich den letzen Neustart mit den beiden letzten Zeilen:
[2024/08/06 10:24:471799, 0] …/…/lib/util/util_runcmd.c:355(samba_runcmd_io_handler)
/usr/sbin/samba_kcc: Global parameter log level found in service section!
Überschreibt letzteres meine Einträge in der smb.conf.admin?
Sonst kommt da nichts mehr.
Wenn ich mich auf einem Client einlogge, gibt es aber ein log-File mit seiner IP, da drin stehen dann Einträge vom type „Authorization“ und dem Usernamen. Aber für die externen Anfragen sehe ich da nichts. Es gibt eine smbd.log mit 0 byte…
Die Konfiguration folgt ja dem wenig standardisierten INI-Dateiformat. Da werden Abschnitte mit eckigen Klammern eingeleitet. Der Eintrag beschwert sich, dass der Parameter log level nicht in der in der Kategorie [global] sondern in einem Abschnitt folgt, der einen Service (eine Freigabe) definiert.
Wenn ein include Dateiname in deiner smb.conf steht, dann spielt es schon eine Rolle, welches der zuletzt definierte Abschnitt vor dem include ist und ob deine eigene Konfigurationsdatei Dateiname dann nochmal einen Abschnitt [global] definiert. Wobei ich jetzt nicht weiß, ob und wie ein Verhalten definiert ist, wenn es zwei [global]-Abschnitte gibt.