Samba 3.6.13 & Domain Member

[Nolf]

Всем привет.
Подскажите пожалуйста в чем может быть проблема, установил samba, настроил, ввел в домен, запустил.
Проверяю:
wbinfo -u
# Lists AD users
wbinfo -g
# List AD groups
getent passwd
# Should list local users +AD users
getent group
# Should list only local users
Почему команда getent group показывает только локальных пользователей?
- Также заметил проблему с группой Domain Users, а именно команда wbinfo --group-info "domain users" выводит только domain users70001: (выводит без членов группы) , хотя если сделать wbinfo --user-info user выводит [user:*:70369:70001:user:/smb/samba/user:/bin/csh] с чего видно что у данного пользователя группа по умолчанию имеет gid 70001 что соответствует группе domain users
- Еще одна проблема возникла, когда на шару [тест] разрешил только чтения и гостевой доступ, но почему то не пускает пользователей пишет что нет доступа.

Код: Выделить всё

[global]
        workgroup = TEST
        server string = stor
        security = ADS
        realm = IN.TEST.NET
#       passdb backend = tdbsam
        netbiosname = stor1
        loglevel=5
        syslog = 3
        log file = /var/log/samba/%m.log
        max log size = 5000
        encrypt passwords = yes
        guest account = nobody
        template homedir = /smb/samba/%U
        template shell = /bin/csh
        winbind separator = /
#       winbind uid = 10000-20000
#       winbind gid = 10000-20000
        winbind refresh tickets = yes
        winbind trusted domains only = no
        winbind use default domain = yes
        winbind enum users = yes
        winbind enum groups = yes
        wins support = no
        unix charset = UTF8
        display charset = UTF8
        dos charset = cp866
        socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        local master = no
        idmap config TEST : default = yes
        idmap config TEST : backend = ad
        idmap config TEST : range   = 10000 - 20000
        idmap config * : range = 70001-80000
        idmap config * : backend = tdb

[test]
        path = /data/test
        comment = test
        hide dot files = yes
#       veto files = /.??*/
        browseable = yes
        read only = yes
        guest ok = yes
        inherit permissions = yes

Буду рад любой помощи, так как уже не знаю что делать. Заранее спасибо!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Neus]

у мну на SLES в самбе параметр "passdb backend = tdbsam" раскомментирован

workgroup = TEST
realm = IN.TEST.NET

вот тут не понятно
если по аналогии как у мну то должно быть "realm = TEST.NET"

[Nolf]

у мну на SLES в самбе параметр "passdb backend = tdbsam" раскомментирован

workgroup = TEST
realm = IN.TEST.NET

вот тут не понятно
если по аналогии как у мну то должно быть "realm = TEST.NET"

- у меня полное доменное имя - IN.TEST.NET
- "passdb backend = tdbsam" попробую раскоментировать, но вроде данный параметр относится к режиму работы security = DOMAIN

[Neus]

in.test.net это полное имя домена или доменное имя этого сервера?

[Nolf]

in.test.net это полное имя домена или доменное имя этого сервера?

Полное. А короткое просто TEST

[Neus]

вопчем у меня вот так
файл сгенерен мастером подключения к домену в SLES
руками не правлен, работает все - даже выход в инет через ISA Server
ну и на шару Distrib$ доменных юзеров пускает без проблем

Код: Выделить всё

[global]
	workgroup = DMN
	passdb backend = tdbsam
	printing = cups
	printcap name = cups
	printcap cache time = 750
	cups options = raw
	map to guest = Bad User
	include = /etc/samba/dhcp.conf
	logon path = \\%L\profiles\.msprofile
	logon home = \\%L\%U\.9xprofile
	logon drive = P:
	usershare allow guests = No
	idmap gid = 10000-20000
	idmap uid = 10000-20000
	realm = DMN.LOCAL.NET
	security = ADS
	template homedir = /home/%D/%U
	template shell = /bin/bash
	winbind offline logon = yes
	winbind refresh tickets = yes
	ldap suffix = 
	wins server = 
	wins support = No

[Distrib$]
	comment = 
	inherit acls = Yes
	path = /Distrib
	read only = Yes

[Nolf]

to Neus
А можете выложить результаты команды testparm?
А также какая версия OS и SAMBA у вас установлена?

[Neus]

samba-3.6.3-0.18.3

Код: Выделить всё

:~> testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Can't find include file /etc/samba/dhcp.conf
WARNING: The "idmap gid" option is deprecated
WARNING: The "idmap uid" option is deprecated
Processing section "[Distrib$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Код: Выделить всё

:~> cat /etc/SuSE-release 
SUSE Linux Enterprise Server 11 (x86_64)
VERSION = 11
PATCHLEVEL = 2

[Nolf]

Спасибо. А можете еще показать результат того же testparm, только параметра [global]
Заранее спасибо!

[Neus]

Код: Выделить всё

[global]
	workgroup = DMN
	realm = DMN.LOCAL.NET
	security = ADS
	map to guest = Bad User
	passdb backend = tdbsam
	printcap name = cups
	logon path = \\%L\profiles\.msprofile
	logon drive = P:
	logon home = \\%L\%U\.9xprofile
	template shell = /bin/bash
	winbind refresh tickets = Yes
	winbind offline logon = Yes
	idmap config * : range = 10000-20000
	idmap config * : backend = tdb
	cups options = raw

[snorlov]

in.test.net это полное имя домена или доменное имя этого сервера?

Полное. А короткое просто TEST

а вообще билетик то получили от ad... приведите еще krb5.conf

[Nolf]

Да конечно получил тикет, ввел в домен.

Код: Выделить всё

[logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

[libdefaults]
     default_realm = IN.TEST.NET
     ticket_lifetime = 24h
     forwardable = yes

[realms]
        IN.TEST.NET = {
            kdc = AD.IN.TEST.NET
            kdc = KDC.IN.TEST.NET
            admin_server = AD.IN.TEST.NET
            default_domain = IN.TEST.NET
                       }
[domain_realm]
        .in.test.net = IN.TEST.NET
        in.test.net = IN.TEST.NET

[Neus]

у меня такой:

Код: Выделить всё

:~> egrep -v '^#' /etc/krb5.conf 
[libdefaults]
	default_realm = DMN.LOCAL.NET
	clockskew = 300

[realms]
	DMN.LOCAL.NET = {
		kdc = dc.dmn.local.net
		default_domain = dmn.local.net
		admin_server = dc.dmn.local.net
	}

[logging]
	kdc = FILE:/var/log/krb5/krb5kdc.log
	admin_server = FILE:/var/log/krb5/kadmind.log
	default = SYSLOG:NOTICE:DAEMON
[domain_realm]
	.dmn.local.net = DMN.LOCAL.NET
[appdefaults]
	pam = {
		ticket_lifetime = 1d
		renew_lifetime = 1d
		forwardable = true
		proxiable = false
		minimum_uid = 1
	}

[snorlov]

Да конечно получил тикет, ввел в домен.

Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...

[Nolf]

Да конечно получил тикет, ввел в домен.

Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...

То есть вместо workgroup = TEST нужно прописать workgroup = IN.TEST.NET ?

[Neus]

Да конечно получил тикет, ввел в домен.

Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...

вот и меня терзают смутные сомненья
и еще.. если у него домен под виндой, КАК он умудрился суффикс сделать ".test.net"

[snorlov]

Да конечно получил тикет, ввел в домен.

Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...

То есть вместо workgroup = TEST нужно прописать workgroup = IN.TEST.NET ?

Можно так, но я бы прописал просто IN

[Nolf]

появилась странная закономерность:
в шаре добавил:
admin users = @test (в это группе есть пользователь test)
все ок пускает без проблем
добавил еще
write list = @test2 (в это группе есть пользователь test2)
не пускает это пользователя, пишет нет прав на доступ.
также само пробовал valid users = @test2 ничего не дало. пускает на шары только если добавишь пользователя или группу в admin users
Вот почему так? где накосячил?

[snorlov]

Да конечно получил тикет, ввел в домен.

Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...

вот и меня терзают смутные сомненья
и еще.. если у него домен под виндой, КАК он умудрился суффикс сделать ".test.net"

Да префикс любой можно прописать, хоть test.com

[Nolf]

фух проблема решилась очень банально как оказалось!
путь к шарам следующий /data/[шары] так вот на папку /data были установлены права 770 а владелец и группа были root и wheel соответственно.
Всем спасибо за помощь.

[snorlov]

фух проблема решилась очень банально как оказалось!
путь к шарам следующий /data/[шары] так вот на папку /data были установлены права 770 а владелец и группа были root и wheel соответственно.
Всем спасибо за помощь.

А я думал у вас проблема с

Код: Выделить всё

getent passwd
getent group

[Nolf]

проблема только с getent group и она осталась. но на данный момент samba работает.