Архив форумов ЦИТФорума

[i.k]

кто-нить реализовывал?
никак с самбой не могу подружить свое желание сделать так, чтоб пользователь в любой момент мог поменять пароль самостоятельно, через стандартную процедуру смены пароля предусмотренную виндой.. (

[i.k]

linux 9.0 ce
samba 3
работаю через webmin

[Sol]

не знаю как у тебя.. а у меня пользователи находящиеся в домене под samba .. давят (на w2k) ctrl-alt-del , выбирают пункт сменить пароль ..и меняют свой доменный пароль..
по моему там никаких лишних телодвижений (в плане настройки самбы) не нужно делать..
_________________
In My Humble Opinion

[i.k]

пишет: неверное имя пользователя или старый пароль. пароли вводятся с учетом регистра.

даже стараясь не дышать и набирать свой логин и пароль по буквам - получаю тоже самое..

ты можешь кинуть значения http://pdc:10000/samba/swat.cgi/globals [это если через webmin]?
интересует конкретно:
Security Options
Logging Options
Logon Options

[and3008]

Илья, блин! Ну кто через http передается короткое имя компа? Кто тебе поможет-то?

Вываливай свой smb.conf сюда. Секция global наиболее интересна.

IP и имена компов замени на лабуду какую-нито.

[i.k]

# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date:

# Global parameters
[global]
workgroup = TOFFICE
server string = Domain in Office
username map = /etc/samba/smbusers
log level = 1
log file = /var/log/samba/log.%m
name resolve order = wins lmhosts bcast
time server = Yes
max open files = 50000
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
add user script = /usr/sbin/useradd -d /samba/homes/%u -g samba -s /bin/false %u
add machine script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %u
logon script = %U.cmd
logon path = \\x.x.x.6\profiles\%u
logon drive = H:
logon home = \\doffice\%U
domain logons = Yes
os level = 250
preferred master = Yes
domain master = Yes
dns proxy = No
wins server = x.x.x.15
ldap ssl = no
idmap uid = 10000-30000
idmap gid = 10000-30000
template homedir = /samba/homes/%u
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
admin users = @ntadmin


[install]
valid users = @samba,@admins
read list = @samba
user = @samba,@admins
create mode = 775
path = /samba/install
write list = @admins
directory mode = 775
force group = admins

[profiles]
writeable = yes
create mode = 0600
path = /samba/profiles
directory mode = 0700
force group = samba

[homes]
read only = No
create mask = 0600
directory mask = 0700

[netlogon]
path = /samba/netlogon
browseable = No

[i.k]

спасибо, андрюха..

[and3008]

man smb.conf

Параметр password chat тебе наиболее симпатичен.

[i.k]

переделывать задрался.. так и не пойму - при чём тут chat passwd?

[global]
workgroup = TOFFICE
add machine script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %U
add user script = /usr/sbin/useradd -d /samba/homes/ %U -g samba -s /bin/false %U
server string = Domain in Office
domain master = Yes
dns proxy = No
wins server = x.x.x.15
ldap ssl = no
idmap uid = 10000-30000
idmap gid = 10000-30000
template homedir = /samba/homes/%u
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
admin users = @ntadmin
logon script = %U.cmd
logon path = \\x.x.x.6\profiles\%u
logon drive = H:
logon home = \\doffice\%U
domain logons = Yes
os level = 250
preferred master = Yes
unix password sync = yes
smb passwd file = /etc/samba/smbpasswd
passwd program = /usr/bin/passwd %u
passwd chat = *new*password* %n\n *retype*new*password* %n\n *passwd:*passwd*update*successfully* но ведь это ж просто описание диалога при смене пароля через командную строку.. [?!]
username map = /etc/samba/smbusers
log level = 1
log file = /var/log/samba/log.%m
name resolve order = wins lmhosts bcast
time server = Yes
max open files = 50000
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
pam password change = yes
null passwords = no

по-прежнему пишет: неверное имя пользователя или старый пароль. пароли вводятся с учетом регистра... сцуко..!

[and3008]

smb passwd file = /etc/samba/smbpasswd
passwd program = /usr/bin/passwd %u

Т.е. используем файл паролей для Самбы - smbpasswd, а прогой passwd меняем системный пароль. И еще удивляемся, а почему не сходится? И не сойдется! Пароль, при таком раскладе, меняй прогой smbpasswd !

[i.k]

блин.. еп-та.. скорее бы утро.. дочуру в садик, а сам молнией на работу.. :D

[Sol]

*****
unix password sync = yes
smb passwd file = /etc/samba/smbpasswd
passwd program = /usr/bin/passwd %u
passwd chat = *new*password* %n\n *retype*new*password* %n\n *passwd:*passwd*update*successfully*

****
у меня вот так в конфе стоит..
Да.. первоначально я пароль задаю через smbpasswd .. Но потом юзеры меняют свой пароль из винды!
_________________
In My Humble Opinion

[i.k]

вообщем, пришёл с утра.. и:

[global]
workgroup = TOFFICE
security = user
password server = doffice
add machine script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %u
add user script = /usr/sbin/useradd -d /samba/homes/ %u -g samba -s /bin/false %u
server string = Domain in Office
domain master = Yes
dns proxy = No
wins server = 192.168.1.15
ldap ssl = no
idmap uid = 10000-30000
idmap gid = 10000-30000
template homedir = /samba/homes/%u
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
admin users = @ntadmin
logon script = %U.cmd
logon path = \\192.168.1.6\profiles\%u
logon drive = H:
logon home = \\doffice\%U
domain logons = Yes
os level = 250
preferred master = Yes
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
unix password sync = yes
passwd program = /usr/bin/smbpasswd %u
passwd chat = *new*password* %n\n *retype*new*password* %n\n *passwd:*passwd*update*successfully*
username map = /etc/samba/smbusers
log level = 1
log file = /var/log/samba/log.%m
name resolve order = wins lmhosts bcast
time server = Yes
max open files = 50000
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
pam password change = yes
null passwords = no
passwd level = 4


это как понимать? я так и не понял, важно эту опцию задействовать?
# 6. Domain Control Options:
# Enable this if you want Samba to be a domain logon server for
# Windows95 workstations or Primary Domain Controller for WinNT and
# Win2k

; domain logons = yes


и ещё здесь, я как-то не вкурил, этого ж по сути достаточно для включения опции изменения паролей с win-машин:
# The following are needed to allow password changing from Windows to
# also update the Linux system password.
# NOTE: Use these with 'encrypt passwords' and 'smb passwd file' above.
# NOTE2: You do NOT need these to allow workstations to change only
# the encrypted SMB passwords. They allow the Unix password
# to be kept in sync with the SMB password.
; unix password sync = Yes


и это мы тоже конечно же разрешаем, но[!!] это взято из примера и выделеное красным в этом примере именно так:
You either need to setup a passwd program and passwd chat, or
# enable pam password change
; pam password change = yes
; passwd program = /usr/bin/passwd %u #smb passwd file = /etc/samba/smbpasswd
- при этом, это из примера
; passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password*
# %n\n
;*passwd:*all*authentication*tokens*updated*successfully*

или дело в этом? :

# Use password server option only with security = server or security = # domain
# When using security = domain, you should use password server = *
; password server =
; password server = *


а может какая-то дополнительная служба должна быть настроена\запущена?

или я ужОс какой деревященко или: люди добрые не дайте умереть во младе лет так и не узнав в чём секрет этой настройки...! короче: спасите-помогите..

[i.k]

Sol, у тебя параметр security = чему?

[i.k]

собственно, содержание /etc/samba/smbusers:

# Unix_name = SMB_name1 SMB_name2 ...
root = administrator admin
nobody = guest pcguest smbguest

[and3008]

Самба может интегрироваться с ОС, может не интегрироваться, может интегрироваться с доменом Windows.

Если Самба является контроллером домена, то имеет смысл хранить пароли в /etc/passwd и прогой passwd их менять

Если Самба в "непонятном" режиме, то храним пароли в /etc/samba/smbpasswd, для смены пароля используем прогу smbpasswd, файлом smbuser проводим соответствие РЕАЛЬНЫЙ СИСТЕМНЫЙ ЮЗВЕР = ВИРТУАЛЬНЫЙ ЮЗВЕРЬ ИЗ SMBPASSWD

Если Самба заинтегрирована в домен, то авторизацию проводит внешний сервер указанный в password server, список юзверей предоставляет winbind, для полного счастья нужна и файловая система с поддержкой ACL, это ext3 + патчи или XFS (с ACL от рождения).

Есть еще одно извращение. Хранить пароли в LDAP. Но это для искушенных гурманов, понимающих что делают. Новичкам категорически не рекомендую.

[i.k]

то, что меня убивает - это вполне понятное состояние самбы как полноценного контроллера домена, но мне не совсем понятно содержание /etc/passwd в котором я увидел:
user1:x:511:508::/samba/homes/user1:/bin/false
user2:x:512:508:Sidorova A.A.:/samba/homes/user2:/bin/false
user3:x:513:508:Petrova A.A.:/samba/homes/user3:/bin/false
user4:x:514:508::/samba/homes/user4:/bin/false

т.е. в данном случае получается, что в файле паролей на самом деле паролей-то и нет? может ли это быть связано с тем, что пользователей я создаю через webmin, а не чз командную строку?

[i.k]

получается, что:
smb passwd file = /etc/passwd,
а:
passwd program = /usr/bin/passwd %u [?]
если я щаз такую связку ставлю, надо заново всех пользователей создавать? а то, что сейчас в passwd находится куды денется? и пользователей мне теперича уже через webmin не вводить? или просто достаточно разобраться в настройках webmin, что все то, что он кидал в /etc/passwd теперь надо кидать в /etc/smb/smbpasswd?

[i.k]

плюхаю в /etc/webmin/samba/config:

smbgroupedit=/usr/bin/smbgroupedit
start_cmd=samba
swat_path=/usr/sbin/swat
samba_server=/usr/sbin/smbd
samba_status_program=/usr/bin/smbstatus
name_server=/usr/sbin/nmbd
run_from_inetd=0
text_lists=0
smb_passwd=/etc/samba/smbpasswd
samba_password_program=/usr/bin/smbpasswd
net=/usr/bin/net
sort_mode=0
list_printers_command=lpc status | grep "[A-z0-9]:" | sed -e 's/://g'
pdbedit=/usr/bin/pdbedit
stop_cmd=stop
smb_conf=/etc/samba/smb.conf
dont_convert=-499
sync_delete=1
sync_add=1
sync_change=1

мде.. кто б мне сказал, что у меня произойдет когда я поменяю
smb_passwd=/etc/samba/smbpasswd
samba_password_program=/usr/bin/smbpasswd на
smb_passwd=/etc/passwd
samba_password_program=/usr/bin/smbpasswd
a?
ведь похерится все к чертовой матери..

[and3008]

Эта... Сними уже с ручника-то.

man smbpasswd
man passwd

Хранить то, что записывает прога smbpasswd в /etc/passwd идея дибильная.

Доки уже читай по Самбе-то. Хорош умным-то быть...

[i.k]

попробовал.. жопка вышла с контроллером домена..
ушел читать man'ы..

[i.k]

сделал. месяц уже как радуюсь, но:
- смена пароля доступна только для вновь создаваемых [для старых логинов необходима перерегистрация]
- ошибка при смене такая же как и в нижеприведенном письме:
On Wed, Apr 28, 2004 at 09:28:32AM +0400, Alex Deiter wrote:
> Добрый день!
>
> samba 3.0.2a PDC
>
> После установки обновления KB828741 на windows 2000 sp4 пользователи не
> могут поменять пароль: "смена пароля невозможна, так как домен DOMAIN
> недоступен". Причём пароль на самом деле меняется.
>
> Аналогичная картина на samba 2.2.8,
> клиенты w2k, XP с установленным KB828741.
>
> Кто нибудь наступал ?
Да. С обновлением MS04-012 Microsoft изменила реализацию NTLMSSP так, что
реализация в Samba стала возвращать неверные структуры. Это show stopper
для 3.0.4, который должен быть исправлен в ближайшую неделю.

Это поведение уже наблюдалось в прошлом и совершенно не удивляет --
девиация реализации в условиях практического монополизма.

Подробности можно найти здесь (Винсент ошибся в номере Security Bulletin):
http://lists.samba.org/archive/samba-technical/2004-April/035573.htmlhttp://lists.samba.org/archive/samba-technical/2004-April/035573.html

Это первое открытое письмо сотрудника Microsoft в samba-technical@ за
последние года четыре.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/http://www.samba.org/
ALT Linux Team http://www.altlinux.org/http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/

бум надеяться , что и это рассосется..