Архив форумов ЦИТФорума

[Pingvinenok]

Привет всем!
Ну чего ей еще от меня надо?
smb.conf
[global]
workgroup = MYDOMAIN
realm = W2K3.MYDOMAIN.COM
server string = SAMBA Server
security = DOMAIN
auth methods = winbind
password server = w2k3 w2k3.mydomain.com
log file = /var/log/samba/%m.log
max log size = 50
name resolve order = wins lmhosts bcast
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = /etc/printcap
os level = 33
dns proxy = No
wins server = 172.16.1.1
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
winbind enum groups = Yes
winbind enum users = Yes
winbind nested groups = Yes
valid users = @"mydomain\Domain users"
hosts allow = 172.16., 127.
cups options = raw

[homes]
comment = Home Directories
read only = No

[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No

[distr]
comment = Temporary file space
path = /distr
valid users = @"mydomain\Domain users"
read only = No
guest ok = Yes

В домен через net rpc join включил, если дать wbinfo -a user%pass, то разрешает нормально, net rpc testjoin ОК, а вот wbinfo -u пишет Error looking up domain users (или групп). wbinfo --getdcname=mydomain выдает Could not get dc name for mydomain
wbinfo -N w2k3 - нормально (и для других компов),т.е. разрешение имен через WINS на W2k3 работает
В сети Samba видна, пытаешься зайти - Неизвестное имя пользователя или пароль запрашивает, при этом в логах самбы для моего компа - pdb_init_sam failed!
Может, румбу самбе сплясать? Подскажите пару па!
P.S. Samba 3.0.20, свежая, OC - FC3, сервер W2k3 - W2k3
_________________
Съешь еще мягких французских булок,да выпей чаю!

[and3008]

Хе-хе!
Вчера лично до ночи сидел, лечил подобное.
А все почему? Потому, что ChangeLog надо читать хотя бы иногда.

Беда лечится просто:
wbinfo --set-auth-user='ЮЗЕР%ПАРОЛЬ'

[gooamoko]

Присоединяюсь к сказанному.
Я тоже долго маялся, пока не сделал следующее:
1. Заводим на Windows-машине учетку для samba и наделяем полномочиями необходимыми. Не забыть про пароль.
2. Прописываем в параметре --set-auth-user.

После этого у меня кманда wbinfo -u заработала.
Хех, причем я этот параметр высмотрел в списке всех возможных параметров по wbinfo.
_________________
Что один сделал, другой завсегда сломать сможет

[Pingvinenok]

Да-а... тоже вчера и тоже поздно до этого дорылся..
Причем корректно заработало только тогда, когда учетка в w2k3 = именно 'root'. Вероятно, это зависит, под чьей учеткой работают samba и winbind ?
Теперь другая грабля: samba пускает, только если заведен аналогичный пользователь на linux-машине, причем в smb.conf приходится указывать именно пользователя, а не его группу.
При этом в логах W2k3:
аудит успехов код 680
MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 тыры-пыры
Удаляю учетку на linux'e - аудит успехов тот же, но samba уже не пускает..
В nsswitch.conf у меня прописано верно - files, winbind
??
_________________
Съешь еще мягких французских булок,да выпей чаю!

[Pingvinenok]

Уф-ф..
Скопировал libnss_winbind.so из дистров самбы - его не хватало - вроде заработало.
Сейчас буду тестировать на "чистые" аккаунты и группы w2k3.
Но вот еще вопрос: Судя по направлению развития самбы и виндоз, нужно переползать на ads-уровень аутентификации. Желательно?
_________________
Съешь еще мягких французских булок,да выпей чаю!

[and3008]

Именно.
ADS поддерживает Kerberos и некоторые другие, пока не видимые вкусности.

[Андрей К.]

Проблема №1:
Samba 3.0.14a-3.
Ресурс подключаю из Windows 2003.
В реестре открытые пароли разрешены.
При подключении ресурса выводится приглашение ввести имя пользователя и пароль. Пробую вводить root, Administrator – он их дополняет именем компьютера, на который я вхожу и говорит, что неправильное имя пользователя или пароль. Пробую принудительно дополнять имя пользователя именем домена – всё равно говорит неправильно.
При попытке входа в log Samb’ы ничего не пишется.
Winbind запущен.
net rpc join -S andrew0 -U Administrator выполнилась нормально. Active Directory машину увидел.
В Active Directory пользователя root создал. Команду wbinfo --set-auth-user запускал.
wbinfo -u показывает всех пользователей.
getent passwd показывает пользователей и домена и локальных.
libnss_winbind.so в каталоге /lib есть.


Файл smb.conf:
# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2005/11/04 12:20:01

# Global parameters
[global]
workgroup = HOME
realm = ANDREW0
server string = %h server (Samba %v)
security = DOMAIN
auth methods = winbind
encrypt passwords = No
obey pam restrictions = Yes
password server = andrew0
passdb backend = tdbsam, guest
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
unix password sync = Yes
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
syslog = 0
log file = /var/log/samba/log.%m
max log size = 50
name resolve order = wins lmhosts bcast
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = /etc/printcap
os level = 33
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = 212.212.212.1
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
valid users = '@HOME\Domain users'
cups options = raw

[homes]
comment = Home Directories
create mask = 0700
directory mask = 0700
browseable = No

[printers]
comment = All Printers
path = /tmp
create mask = 0700
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers

[MySamba]
path = /tmp
guest ok = Yes
hosts allow = 212.212.212.1/24, 127.0.0.1/24
hosts deny = 0.0.0.0/0

Проблема №2:
Прочитал в HOWTO по winbind, что можно перевести все программы на аутентификацию через winbind. Цитирую:
Configure Winbind and PAM
If you have made it this far, you know that winbindd and Samba are working together. If you want to use Winbind to provide authentication for other services, keep reading. The PAM configuration files need to be altered in this step. (Did you remember to make backups of your original /etc/pam.d files? If not, do it now.)
You will need a PAM module to use winbindd with these other services. This module will be compiled in the ../source/nsswitch directory by invoking the command:
root# make nsswitch/pam_winbind.so
from the ../source directory. The pam_winbind.so file should be copied to the location of your other PAM security modules. On my Red Hat system, this was the /lib/security directory. On Solaris, the PAM security modules reside in /usr/lib/security.
root# cp ../samba/source/nsswitch/pam_winbind.so /lib/security
Непонятно:
1. Что за директория ../source/nsswitch ? Где она? У меня её нет.
2. В результате перекомпиляции создастся что-ли какой-то другой файл pam_winbind.so ?

[and3008]

[Андрей К.]

Установил параметры read list и write list. Параметр valid users почему-то автоматически изменяется с @’HOME\Domain users’ на @’HOME\Domain, users’ Почему и откуда возникает эта запятая непонятно. Я просто не стал устанавливать этот параметр.


smb.conf:
# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2005/11/04 16:54:48

# Global parameters
[global]
workgroup = HOME
realm = ANDREW0
server string = %h server (Samba %v)
security = DOMAIN
auth methods = winbind
encrypt passwords = No
obey pam restrictions = Yes
password server = andrew0
passdb backend = tdbsam, guest
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
syslog = 0
log file = /var/log/samba/log.%m
max log size = 50
name resolve order = wins lmhosts bcast
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = /etc/printcap
os level = 33
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = 212.212.212.1
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
admin users = HOME\Administrator
read list = HOME\Administrator
write list = HOME\Administrator
cups options = raw

[homes]
comment = Home Directories
create mask = 0700
directory mask = 0700
browseable = No

[printers]
comment = All Printers
path = /tmp
create mask = 0700
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers

[MySamba]
path = /etc
guest ok = Yes
hosts allow = 212.212.212.1/24, 127.0.0.1/24
hosts deny = 0.0.0.0/0

Результат не изменился. Те же симптомы.
Может быть, нужно активизировать параметр unix password sync? А может быть, нужно в реестре Windows 2003 убрать параметр, позволяющий использовать нешифрованные пароли, и активизировать параметр encrypt passwords?

[Pingvinenok]

Проверьте, точно ли libnss_winbind.so из той самбы, которой надо самбы ?
Попробуйте убрать все hosts allow\deny
А почему encrypt passwords = No ?
И еще. У меня, например, в своем конфиге самба корректно понимает только такой формат @"Domain\\UserOrGroup".
А также попробовал оставить только минимально необходимые для работы настройки в global, оставив остальное по умолчанию.
_________________
Съешь еще мягких французских булок,да выпей чаю!

[and3008]

Еще несоответствия:
client NTLMv2 auth = Yes

Но запрещаешь передавать зашифрованные пароли.
encrypt passwords = No

Требуешь аутентификацию через Керберос
realm = ANDREW0

А саму конфигурацию для Керберос на Линксе ты создал? Уверен, что нет.

Доки по Самбе внимательно прочти.