Архив форумов ЦИТФорума

[kolya grechukh]

ситуация такая: samba 2.2.7a пытаюсь заставить работать в домене win2000 как рядовой файл сервер.
ну, написал же :

[global]
workgroup = TDO
winbind separator=#
winbind uid=10000-20000
winbind gid=10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes

netbios name = router
server string = Samba FREESCO Server %v

browseable=yes

security = domain
password server= RESURS

interfaces = 192.168.192.98/24 127.0.0.1/8
bind interfaces only = Yes
encrypt passwords = yes
.....
.....
guest ok = no
hosts allow = 127. 192.168.192.
invalid users = ppp up down block unblock
......
[share1]
path = /mnt/hdd
read only = No
browseable=yes
public=no
valid users=GNS TDO#GNS PNV TDO#PNV
[share2]
path = /mnt/hdd
read only = No
browseable=yes
public=yes

и вот что имеем:
в домен вошли (smbpassw -j TDO...).
winbind работает (wbinfo -p : OK,
юзерлист с PDC выдает, wbinfo -a TDO#GNS%passw
- проходит (чз pdc).

на машине с мд98 - входим в сетевое окружение, все ОК. открываем router - ОК.
share2 - открывается. share1 - просит пароль (а юзера не спрашивает!!!) и никакой пароль не подходит. по идее этом самба должна получать имя и пароль под каким юзверь логинился?
уже 3 сутки тр@x@юсь, man samba наизусть уже знаю ... а толку...

[and3008]

Чем не понравился winbind separator=\ ?

Введена ли UNIX-машина в домен?
Остановить самбу, запустить
smbpasswd -j TDO -r RESURS

Какие права доступа на файловую систему?

Оригинально указываешь interfaces = 192.168.192.98/24 127.0.0.1/8
Зачем маски? Надо только IP-адреса.

А вот это зря
hosts allow = 127. 192.168.192.
Я бы это заремарил на время. А потом явно маски указал. Мало ли чего...

Включи логи на самбе и гляди их чего происходит.

Самбу наизусть не знаешь, иначе не наступал на такие очевидные грабли.

[Dmitry.Karpov http://prof]

W'9x никогда не спрашивает юзера - использует того, под которым ты "вошел в сеть" (извратный термин, как и все M$явное). См.логи Самбы - под каким именем ты ломишься, а она тебя посылает?

[kolya grechukh]

дык я ж не хочу guest! я ж хочу доменных юзеров. в логах показывает 'nobody' - т.е. любой юзер ломится не под своим, а как nobody. если поставил guest account = root, то винда пароль не спрашивает сразу лесет, в логах видно - таки рут.


так мне что, придется руками каждого доменного юзера добавить в линуксе?

[Dmitry.Karpov http://prof]

-

[and3008]

Поставь XFS и Самбу скомпили c поддержкой ACL.
Получишь систему, по сети мало отличающуюся от WinNT 4.0/2000/XP

[kolya grechukh]

а winbind - вроде ж сам создает группы и юзверей, динамически ?..
а если в samba mapping задать всех доменных юзв. -> одного localuser? разделение по доменным логинам будет работать?

[Dmitry.Karpov http://prof]

-

[and3008]

Иметь только один сервер зачастую нельзя.
Ни отказоустойчивости, ни распределения нагрузки...

Решение я предложил.

Кстати, не одним XFS живы ACL. Есть для Линуха патчи позволяющие иметь ACL на ext2 и ReiserFS.
Тогда будет полнейшая гибкость и интегрируемость в имеющеюся инфраструктуру.

[Dmitry.Karpov http://prof]

Как известно, пароли всех пользователей и др.информация о них лежат в одном файле. Можно файловыми атрибутами, сколь бы ни были они развиты, разрешить юзеру менять свой пароль, но не чужие и не свой UID? А можно при смене пароля заставить ввести старый и проверить его корректность? Поэтому надо строить доступ к данным не по файловому API, а по более другому, ориентированному на решаемую задачу.

Один сервер действительно малоустойчив к отказам; а вот по производительности - современные писюки растут так быстро, что при правильной организации работы проблема с масштабированием может существовать только в Windows, но не в Linux/FreeBSD (IMHO).

[kolya grechukh]

>>Честно говоря, я считаю, что в фирме д.б. >>один сервер, и он должен работать под Unix

дык...

но дело в том что сетку ставил не я, на сегодня у нас 2 trusted domains (один под w2k, второй NT4). я вобще перенес бы юзеров в самбу, сделал бы ее PDC и все. но - нельзя

[kolya grechukh]

я не хочу "систему, похожую на НТ". мне сейчас надо получить тестовый сервер и показать принципиальную возможность интеграции с существующим, нт'евым

[and3008]

"систему, похожую на НТ" - это как раз то, что тебе надо для нормальной интеграции.

После установки и настройки пакета Advanced Server на Tru64 на кластер из N-машин с процессорами Alpha, этот кластер тоже выглядит в сети как Windows Server. И все остальные Windows-сервера даже почти не замечают разницы.

Интеграция - это процесс взаимной и стабильной работы, а не личных амбиций.

ACL - как раз и призван решить геморой с написанием в каждом приложении своего "велосипеда" под маркой "права доступа".

[kolya grechukh]

сеть не такая уж здоровая (15 машин), и два домена - абсолютно лишнее. я бы сделал самбу PDC и все.