Samba + AD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Samba + AD

Непрочитанное сообщение metallic » 2009-06-29 17:00:17

Есть два файловых сервера на самбе, заведенной в домен вин2003.
На одном Debian 5 (lanny) на другом FreeBSD 7.2

На линуксе:

Код: Выделить всё

#mkdir /tmp/testdir

#chown 500:500 /tmp/testdir

#ls -l /tmp
....
drwxr-xr-x 2 admin    пользователи домена 4096 Июн 29 17:29 testdir
....
На фряхе:

Код: Выделить всё

#mkdir /tmp/testdir

#chown 500:500 /tmp/testdir

#ls -l /tmp
....
drwxr-xr-x 2 500    500 4096 Июн 29 17:29 testdir
....
Почему фряха не резолвит идентификаторы доменные, а линукс резолвит?

При этом, если на фряхе по сети от имени доменного админа создать папку и посмотреть ее владельца, то владелец доменный админ, как и положено, но ID у него 10002, хотя в опциях самбы указано

Код: Выделить всё

    	idmap uid=500-15000
    	idmap gid=500-15000

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Samba + AD

Непрочитанное сообщение Alex Keda » 2009-06-29 22:58:11

Код: Выделить всё

testparam -v
============
вообще-то, в линухе зарезервированы до 500 uid'ы а во фре до 1001
поэтому корректней на обоих системах начать хотя бы с 2000 маппинг.
Убей их всех! Бог потом рассортирует...

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Re: Samba + AD

Непрочитанное сообщение metallic » 2009-06-30 9:24:53

спасибо, похоже так и есть

Код: Выделить всё

#id DOMAIN\\admin
uid=10002(DOMAIN\admin) gid=10005(DOMAIN\пользователи домена) и т.д.

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Re: Samba + AD

Непрочитанное сообщение metallic » 2009-06-30 9:58:37

А как заставить самбу менять группу владельца создаваемых файлов на нужную?
force group - не работает :( всегда группа владельца wheel независимо от настроет, хотя force user - работает.

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Re: Samba + AD

Непрочитанное сообщение metallic » 2009-06-30 11:35:30

Вопрос снят

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Samba + AD

Непрочитанное сообщение arkan » 2009-06-30 17:35:56

Кстати народ а случайно никто не сталкивался с такой фигней
была файлопомойка под фрей
ну и сдох системный винт а файло конечно на других винтах
на это файло было очень строго разрулин доступ
потом устанавливается новая система на новый винт и вводится в AD но идентификаторы уже все другие а значит права доступа шиворот на выворот
может можно какнибудь вытягивать со старой системы какоенибудь файло (делать бэкап грубо говоря) чтоб потом если система новая то подкинуть этот файлик и все права доступа сохраняются как раньше
может всеже както реально такое ?

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: Samba + AD

Непрочитанное сообщение sch » 2009-06-30 17:43:26

arkan писал(а):может можно какнибудь вытягивать со старой системы какоенибудь файло (делать бэкап грубо говоря) чтоб потом если система новая то подкинуть этот файлик и все права доступа сохраняются как раньше
может всеже както реально такое ?
Конечено реально. Делаешь бэкап системы, а после аварии восстанавливаешь. 8)

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Samba + AD

Непрочитанное сообщение arkan » 2009-07-01 6:36:52

нее
бэкап всей системы както оно неочень получается
предпочитаю конфиги выдергивать

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Samba + AD

Непрочитанное сообщение Alex Keda » 2009-07-01 10:07:20

Код: Выделить всё

ls -al /var/db/samba/
тут таблицы соответсвтия uid -> sid
=========
а вообще - можно сво базу завести в текстовом файле и вкормить её самбе.
я для пары пользователей пробовал - работает.
можно, в принципе, даже скриптик написатьч тоб тягал и создавал записи...
Убей их всех! Бог потом рассортирует...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Samba + AD

Непрочитанное сообщение arkan » 2009-07-01 13:30:00

тоесть если на новый сервер скормить всю такую директорию /var/db/samba/*
то все будет как надо ?
а если эту директорию раскидать по нескольким файлопомойкам то будет ли работать такое ?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Samba + AD

Непрочитанное сообщение Alex Keda » 2009-07-02 7:57:39

попробуйте.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
portvein
проходил мимо
Сообщения: 1
Зарегистрирован: 2009-07-22 11:53:07

Re: Samba + AD

Непрочитанное сообщение portvein » 2009-07-22 12:49:42

Приветствую!!! Очень интересует один вопрос. жил был сервер(на обычном железе) под freebsd7.0, на сервере было много всего, а именно: openfire+samba+squid+ad+ipfw+natd+и.т.д. Затем купили железо поновее и решили установить на нём всё тоже самое, только фряху взяли 7.2. Т.е. всё это работало параллельно какое-то время, старый сервер 192.168.100.2, новый - 192.168.100.5.... затем старый сервер вырубили, а на новом поменяли ip на 192.168.100.2 (т.е. на тот, что был на старом) поправив соответствующие конфиги - типа подменили сервак... на ДНС-серваке сделали псевдоним, чтоб новый сервер отзывался на старое имя. Всё заработало хорошо и сразу... только не долго((( Через сутки я заметил две вещи:

{proxy - hostname нового сервера, jabber - псевдоним на DNS-сервере}

1. как-то криво работает nat (на сервере есть маршрут до узла 10.0.11.1 в сетке провайдера):

Код: Выделить всё

Трассировка маршрута к 10.0.11.1 с максимальным числом прыжков 30

  1     1 ms     1 ms    10 ms  192.168.100.254                                       //внутренний маршрутизатор
  2    <1 мс    <1 мс  4294967287 ms  proxy [192.168.100.2]                  //интернет-шлюз freebsd 7.2
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     1 ms     1 ms    11 ms  10.0.11.1

Трассировка завершена.
Раньше было так:

Код: Выделить всё

Трассировка маршрута к 10.0.11.1 с максимальным числом прыжков 30

  1     1 ms     1 ms    10 ms  192.168.100.254                            //внутренний маршрутизатор
  2    <1 мс    <1 мс   <1 мс   proxy [192.168.100.2]                    //интернет-шлюз freebsd 7.0
  3    <1 мс    <1 мс   <1 мс   yo.ru [192.168.0.254]                     //внешний маршрутизатор (аппаратный роутер)
  4    <1 мс    <1 мс   <1 мс   траляля1 [щщщ.ыыы.ььь.ъъъ]       //маршрутизатор1 провайдера  
  5    <1 мс    <1 мс   <1 мс   траляля2 [щщщ.ыыы.ььь.ччч]        //маршрутизатор2 провайдера  
  6     1 ms     1 ms    11 ms  10.0.11.1                                       //нужный узел

Трассировка завершена.
при этом всё вроде как работает, пингуется во всяком случае всё нормально

2. Появились косяки с доступом к расшаренным папкам

а именно раньше работало так, на виндовс-машине в проводнике набираем \\proxy и юзаем те папки, в которые нам можно

сейчас:

открываем на виндовс-машине \\proxy, система выдаёт сообщение "бла-бла-бла возможно у вас нет доступа.... не найдено имя пользователя"
в логах самбы создаётся два пустых файла: один log.ip-шнег, второй - log.hostname

открываем на виндовс-машине \\jabber, система выдаёт окно "введите имя пользователя и пароль" вводим доменные имя и пароль, окно вылетает снова с пометкой "неверные имя пользователя или пароль" в логе log.ip-адрес появляется запись:

Код: Выделить всё

[2009/07/22 13:22:55, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
открываем на виндовс-машине \\192.168.100.2 (адрес нашего сервера), система выдаёт окно "введите имя пользователя и пароль" причем в поле имя уже написано имя пользователя, но почему-то транслитом,... т.е. пользователь зашёл под именем DOMAIN\Иванов, а в окне написано DOMAIN\Ivanov, - меняем имя пользователя на нормальное, вводим пароль, - всё прекрасно работает. Логи: log.ip-адрес - без изменений, log.hostname - появилась запись

Код: Выделить всё

[2009/07/22 11:10:23, 1] smbd/service.c:make_connection_snum(1033)
  it-2 (192.168.1.10) connect to service buch_share initially as user KGP+иванов (uid=10009, gid=10012) (pid 1991)
Около 15 пользователей имеют свои папки на этом сервере, у нескольких из них (3-4 человека) всё как работало так и работает (правда у них у всех аккаунты англоязычные, тем не менее есть пользователи с именами типа 4-15 у которых тоже есть косяки), у всех остальных описанная проблема не зависимо от содержания русских букв в названии аккаунта, пользователи не имеющие папок на этом сервере заходят на него без проблем(в смысле могут увидеть список шар) При этом squid работает у всех без каких либо запросов пароля...

Огромное человеческое спасибо всем, кто дочитал до этого места!!! :smile:

В общем я в полной растерянности, проверил всё что можно, всё ок,... есть ли у кого-нибудь предположения, что это может быть? Косяк №2 - Вопрос жизни и смерти!!! :cz2: