Fedora 6 + w2k3 AD
3504
17
Mad_Dollar
guru
Не могу подружить. Точнее - не могу подружить файлопомойку на самбе 3-0-27с.
Прикреплен .tar.gz с конфигом самбы, кербероса и винбинды. Самба упорно не хочет пускать в себя членов АД. Причем wbinfo -u, -g, -D - все выдают правильно. Что я делаю не так, и кто сию проблему решит - пиво с меня. (Или вотку). Пробовал уже все, что написано (накурено) в интернете, в том числе и нерусскоговорящими пингвиноводами, включая форумы поддержки рэдхата.
PS в домен машина попадает, kinit срабатывает, klist тоже выдает откэшированные билеты кербероса.
Прикреплен .tar.gz с конфигом самбы, кербероса и винбинды. Самба упорно не хочет пускать в себя членов АД. Причем wbinfo -u, -g, -D - все выдают правильно. Что я делаю не так, и кто сию проблему решит - пиво с меня. (Или вотку). Пробовал уже все, что написано (накурено) в интернете, в том числе и нерусскоговорящими пингвиноводами, включая форумы поддержки рэдхата.
PS в домен машина попадает, kinit срабатывает, klist тоже выдает откэшированные билеты кербероса.
Stalker
IT-нечисть
domain logons = yesЧто это? У тебя с поднятой самбой юзера могут в домен вообще входить?
valid users = @"+BUILTIN+users"Что сие означает?
1. Перед билтин плюса не надо
2. Надо указывать домен
3. Надо типа @"ASM+Domain Users"
Mad_Dollar
guru
Нет. Это "пережиток" для компов с 98 виндой, судя по ману самбы.
Mad_Dollar
guru
ЗЫ консольно тоже члены домена не могут залогинится на файлопомойку.
Stalker
IT-нечисть
Поправил выше....
[global]
workgroup = ASM
security = ads
realm = AVTOSPECMASH.RU
client use spnego = no
Кстати, wbinfo -a user%password работает?
Да, и ещё. Неплохо было бы и nsswitch.conf посмотреть/поправить, хотя не уверен, что это обязательно.
Сейчас читают
ПЛАТЯНОЙ ШКАФ (ПРОЧТЕНИЕ ПРАВИЛ ОБЯЗАТЕЛЬНО!!!) (часть 8)
346354
1000
красота и материнство (часть 18)
155195
1000
Какой дистрибутив Win7 активируется OEM-ключом для ноутбука?
27092
28
разобрался? похоже выпендривается самба ..
Самба не знает где искать SERVER.AVTOSPECMASH.RU, потому как к DNS ее не пускают. Поэтому
вместо
password server = SERVER.AVTOSPECMASH.RU
укажи IP-адрес сервера
и, для надежности, пропиши его в /etc/hosts
а также укажи параметр
host allow = какие_то_адреса
вместо
winbind use default domain = true
укажи
winbind use default domain = yes
и добавь
auth methods = winbind
Удачи.
Самба не знает где искать SERVER.AVTOSPECMASH.RU, потому как к DNS ее не пускают. Поэтому
вместо
password server = SERVER.AVTOSPECMASH.RU
укажи IP-адрес сервера
и, для надежности, пропиши его в /etc/hosts
а также укажи параметр
host allow = какие_то_адреса
вместо
winbind use default domain = true
укажи
winbind use default domain = yes
и добавь
auth methods = winbind
Удачи.
З.Ы. и кусочек лога в студию, при попытке обращения к самбовой шаре
Mad_Dollar
guru
Хм. Не проверял, с утра отпишусь. По идее winbind отрабатывает на получение инфы - а это помоему критичное при авторизации. Но чем черт не шутит - завтра проверю - выложу. nsswitch.conf выложу завтра
Mad_Dollar
guru
Проходит ping server - отрабатывает на полное доменное имя server.avtospecmash.ru - то есть связь есть по идее.
Mad_Dollar
guru
работает.
[ root @ inet2 ~]# wbinfo -a den%password
Результат:
plaintext password authentication succeed.
challenge/response password authentication succeed.
[ root @ inet2 ~]# wbinfo -a den%password
Результат:
plaintext password authentication succeed.
challenge/response password authentication succeed.
Mad_Dollar
guru
Прикрепил nsswitch.conf на всякий случай.
Stalker
IT-нечисть
Чего говорит
getent passwd den
?
И пропиши в smb.conf
idmap backend = rid:ASM=16777216-33554431
getent passwd den
?
И пропиши в smb.conf
idmap backend = rid:ASM=16777216-33554431
Мой совет -- не наворачивай параметров. Алгоритм же стар, как мир -- добавил параметр -- посмотрел логи.
То, что хост пингует сервер AD по имени, еще не значит, что по имени его Samba находит.
зЫ. логи будут?
То, что хост пингует сервер AD по имени, еще не значит, что по имени его Samba находит.
зЫ. логи будут?
Stalker
IT-нечисть
Если уж wbinfo авторизует пользователя нормально - значит всё идёт нормально.
gringo
guru
баксег, разбираццо лень, но своим конфигом поделюсь - у меня как раз такая файлопомойка работаед..
[global]
realm = NSB.LOCAL
workgroup = NSB.LOCAL
netbios name = UUCP
server string = UUCP
encrypt passwords = Yes
security = ADS
password server = *
allow trusted domains = yes
nt acl support = yes
log file = /var/log/samba/log.%U
max log size = 50
socket options = SO_KEEPALIVE O_BROADCAST TCP_NODELAY SO_RCVBUF=4096 SO_SNDBUF=4096
load printers = No
preserve case=yes
short preserve case=yes
domain logons = No
os level = 33
preferred master = No
domain master = No
local master = No
hosts allow = 10.xxx.xxx. 10.xxx.yyy. 10.xxx.zzz.
interfaces = 10.xxx.xxx.218/24
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
printcap name = cups
printing = cups
load printers = yes
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
add user = /usr/sbin/pw useradd %u -d /home/samba/%u -g 600 -m -k /etc/skel_samba -s /sbin/nologin %u
[homes]
comment = Home Directories
read only = No
create mask = 0600
browseable = No
valid users = %S
[Public]
comment = Public
path = /home/samba/incoming
writable = yes
create mask = 0655 # получается 644
guest ok = no
[gringo_smb]
comment = only for gringo
path = /home/samba/gringo
valid users= NSB.LOCAL+gringo # gringo - это пользователь в AD
public = no
writable = yes
printable = no
create mask = 0655 # получается 644
[cb]
comment = CB files
path = /home/samba/cb
valid users= @NSB.LOCAL+CB # CB - это группа в AD
public = no
writable = yes
printable = no
create mask = 0666 # получается 644
# остальные шары поскипаны...
и ишщо
[root@uucp /etc]# cat /etc/krb5.conf
[realms]
NSB.LOCAL = {
kdc = 10.xxx.xxx.5
}
[root@uucp /etc]#
[global]
realm = NSB.LOCAL
workgroup = NSB.LOCAL
netbios name = UUCP
server string = UUCP
encrypt passwords = Yes
security = ADS
password server = *
allow trusted domains = yes
nt acl support = yes
log file = /var/log/samba/log.%U
max log size = 50
socket options = SO_KEEPALIVE O_BROADCAST TCP_NODELAY SO_RCVBUF=4096 SO_SNDBUF=4096
load printers = No
preserve case=yes
short preserve case=yes
domain logons = No
os level = 33
preferred master = No
domain master = No
local master = No
hosts allow = 10.xxx.xxx. 10.xxx.yyy. 10.xxx.zzz.
interfaces = 10.xxx.xxx.218/24
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
printcap name = cups
printing = cups
load printers = yes
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
add user = /usr/sbin/pw useradd %u -d /home/samba/%u -g 600 -m -k /etc/skel_samba -s /sbin/nologin %u
[homes]
comment = Home Directories
read only = No
create mask = 0600
browseable = No
valid users = %S
[Public]
comment = Public
path = /home/samba/incoming
writable = yes
create mask = 0655 # получается 644
guest ok = no
[gringo_smb]
comment = only for gringo
path = /home/samba/gringo
valid users= NSB.LOCAL+gringo # gringo - это пользователь в AD
public = no
writable = yes
printable = no
create mask = 0655 # получается 644
[cb]
comment = CB files
path = /home/samba/cb
valid users= @NSB.LOCAL+CB # CB - это группа в AD
public = no
writable = yes
printable = no
create mask = 0666 # получается 644
# остальные шары поскипаны...
и ишщо
[root@uucp /etc]# cat /etc/krb5.conf
[realms]
NSB.LOCAL = {
kdc = 10.xxx.xxx.5
}
[root@uucp /etc]#