Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
olenevod
мл. сержант
Сообщения: 77
Зарегистрирован: 2008-06-18 8:42:49

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение olenevod » 2017-10-22 18:30:34

сломал себе всю голову.
имеем. две виртуальные машины с Freebsd 11.1. На первой стоит самба 4.6.6 как контроллер домена. всё работает, из оффтопика управляется через ADUC, шары работают.
Ставлю вторую машинку FreeBSD 11.1 ставлю самбу 4.6.8 (уже такая в портах), настраиваю строго по мануалу.https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member. не забываю. согласно мануалу же собирать с опцией EXP_MODULES. настраиваю керберос, билет получаю.
smb.conf
[global]
security = ADS
workgroup = PISK
realm = PISK.NPO

log file = /var/log/samba/%m.log
log level = 1

idmap config * : backend = tdb
idmap config * : range = 3000-7999
winbind enum users = yes
winbind enum groups = yes
# winbind nss info = rfc2307 для самбы <4.6.0
idmap config PISK : unix_nss_info = yes
idmap config PISK:backend = ad
idmap config PISK:schema_mode = rfc2307
idmap config PISK:range = 3000000-9999999
username map = /usr/local/etc/user.map

выбор ранга обусловлен тем, что перввый заведённый пользователь в AD получил id 3000019
    AD#getent passwd PISK\\user
    PISK\user:*:3000019:20:User:/home/PISK/user:/bin/false
завожу member в домен
    net ads join -UAdministrator
проверяю
    # wbinfo --ping-dc
    checking the NETLOGON for domain[PISK] dc connection to "ad.pisk.npo" succeeded
wbinfo -u список пользователей даёт. а дальше затык.

getinfo passwd PISK\\Administrator ничего не даёт, a wbinfo -i
    # wbinfo -i PISK\\Administrator
    failed to call wbcGetpwnam: WBC_ERR_DOMAIN_NOT_FOUND
    Could not get info for user PISK\Administrator
Если задаю заведомо неверный ранг (первое число меньше второго) то wbinfo -i отрабатывает, но выдаёт заведомо неверный id из ранга умолчания (т.е.3000) и, естетсвенно в оффтопике шары не работают.

поиск по тырнету (как и указания в мануале) приводят только к ссылкам на правильные создания в Linux мягких ссылок на библиотеку libnss_winbind.so.2 , а таковая во фре отсутствует как класс.....

PS. точно такая же ошибка вылезает на AD. если в wbinfo указать заведомо неверного пользователя (или ошибиться в имени пользователя)

Вот не понимаю, неужели никто на фре не ставит 4-ю самбу в качестве мембер сервера....

PPS. ну и проблему с селфджойном в 4.6.х тоже никто не снимал. ля 4.6.6 придумали костыль, но в 4.6.8 он уже не работает.

Отправлено спустя 12 минут 45 секунд:
да. добавление. самба 4.5.14 не работает точно так же.

larchik
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-01-09 17:11:11

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение larchik » 2017-11-03 10:16:44

в общем, решил проблему.
В обязательном порядке необходимо при заведении пользователей в домене указывать unix-атрибуты. Пользователи с указанными атрибутами нормально определяются, без них - возникает ошибка. И, да, пользователю Administrator нельзя давать атрибут. (ну так написано в мануале)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34910
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение Alex Keda » 2017-11-17 22:23:29

а какие именно аттрибуты?
Убей их всех! Бог потом рассортирует...

larchik
проходил мимо
Сообщения: 8
Зарегистрирован: 2016-01-09 17:11:11

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение larchik » 2017-11-18 22:01:33

в оффтопике в ADUC в свойствах учётной записи на вкладке UNIX-аттрибуты указать NIS домен (по умолчанию не указан, даёт выбрать домен с названием windows-домена), второй аттрибут UID - назначается автоматически (добаляется 1 к предыдущему) или GID для группы, и первичную группу.
Есть нюанс группа, которая будет первичной должна быть создана до создания пользователя).
И ещё один нюанс. в RSAT для win10 эта вкладка отсутствует. микрософт отказались от поддержки NIS доменов Однако пока оставии возможность править атриуты вручную через дополнительные настройки.
так что у меня стоит виртуалка с win7и администрирую через неё.
там ещё один неприятный баг (или это фича?) нарисовался. , Управление шарами осуществляется через стандартное "управление компьютером" путём присоединения к freeesbd c самбой. так вот изменение расширенных ACL (эмуляция NTFS разрешений) возможна только пользователем - владельцем файла/каталога в ufs , но никак не членом группы в UFS и, уж тем болеее, не другими пользователями.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 34910
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение Alex Keda » 2017-11-19 16:17:02

на винде также, помоему.
уж не другими пользователями - точно абсолютно
Убей их всех! Бог потом рассортирует...

Аватара пользователя
olenevod
мл. сержант
Сообщения: 77
Зарегистрирован: 2008-06-18 8:42:49

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение olenevod » 2017-11-19 17:07:02

не, в винде, если права на изменение атрибутов дал (а полные права - это и изменение атрибутов тоже) какой-ниудь группе (хотьвсем) тогдаони могут менять права, а тут - только тот, кто во фре (а не в самбе) являтся u , на права в самбе вообще не распространяется.

FiL
ст. лейтенант
Сообщения: 1320
Зарегистрирован: 2010-02-05 0:21:40

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение FiL » 2017-11-20 9:07:29

потому как самба рулит только правами на шару. а права на файл (типа ntfs permissions) - это уже фря с ее unix permissions. а там всегда права на изменение прав только у хозяина файла. Вроде если пользоваться extended acl, то можно и группе дать права. Но я не проверял, а то с этими acl постоянно какие-то проблемы вылазят потом

Аватара пользователя
olenevod
мл. сержант
Сообщения: 77
Зарегистрирован: 2008-06-18 8:42:49

Samba4 как член домена WBC_ERR_DOMAIN_NOT_FOUND

Непрочитанное сообщение olenevod » 2017-11-20 21:37:19

а я проверял. нифига нет прав у группы. но те права, что владелец выставил в самбе (именно расширенные ацл представляются как права безопаснотти, ане права на шару) они действуют на файлы и каталоги. но само право менять права принадлежит только unix владельцу.


Вернуться в «FreeBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей