samba 4.3 pam авторизация

svetogor82

имеется FreeBSD 10.3-RELEASE-p4 настраиваю samba43-4.3.9 в итоге не могу раздать права на папку windows не видит вкладку безопасность
cat smb4.conf

Код: Выделить всё

[global]
        workgroup = TEST
        realm = test.local
        netbios name = SAMBA4
        server role = active directory domain controller
        server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, dns, smb
        dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
        idmap_ldb:use rfc2307 = yes
        allow dns updates = nonsecure
        template shell = /bin/tcsh
        template homedir = /usr/home/samba/home/%ACCOUNTNAME%
        obey pam restrictions = yes
        nsupdate command = /usr/local/bin/samba-nsupdate -g
        allow dns updates = nonsecure

        vfs objects = acl_xattr
        map acl inherit = yes
        store dos attributes = yes
        winbind enum groups = yes
        winbind enum users = yes
        winbind use default domain = yes
        dns forwarder = 8.8.8.8
        max log size = 50
        directory name cache size = 0
server signing = auto
winbind refresh tickets = yes
winbind offline logon = yes

[netlogon]
        path = /var/db/samba4/sysvol/test.local/scripts
        read only = No

[sysvol]
        path = /var/db/samba4/sysvol
        read only = No

[soft]
        path = /usr/home/samba/group/soft
        read only = No
        nt acl support = yes
        inherit acls = yes
        inherit owner = yes
        inherit permissions = yes

[1]
        path = /usr/home/samba/group/1
        read only = No
        vfs objects = acl_xattr
        map acl inherit = yes
        store dos attributes = yes

[2]
    path = /usr/home/samba/group/2
    read only = No
    inherit acls = yes
    inherit owner = yes
    inherit permissions = yes
    map acl inherit = yes
    nt acl support = yes

cat /etc/nsswitch.conf

Код: Выделить всё

#group: files ldap
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: releng/10.3/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
group_compat: nis
hosts: files dns
networks: files
#passwd: compat
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
passwd: files winbind
group: files winbind

cat /usr/local/etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = TEST.LOCAL
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
        TEST.LOCAL = {
        kdc = 10.0.100.26
        }

[domain_realms]
        .test.local = TEST.LOCAL

kinit Administrator@TEST.LOCAL проходит нормально по klist отображается нормально
а вот с pam авторизация почему то не проходит

Код: Выделить всё

ls -al /usr/lib/pam_winbind.so
lrwxr-xr-x  1 root  wheel  29 23 май 12:28 /usr/lib/pam_winbind.so -> /usr/local/lib/pam_winbind.so
ls -al /usr/local/lib/pam_winbind.so
-rwxr-xr-x  1 root  wheel  102945  5 июл 06:35 /usr/local/lib/pam_winbind.so

проверяю ldapsearch -D "cn=administrator,cn=Users,dc=test,dc=local" -W -x -b "cn=Users,dc=test,dc=local"

Код: Выделить всё

Enter LDAP Password:
ldap_bind: Strong(er) authentication required (8)
        additional info: BindSimple: Transport encryption required.

cat /etc/pam.d/other

Код: Выделить всё

#
# $FreeBSD: releng/10.3/etc/pam.d/other 197769 2009-10-05 09:28:54Z des $
#
# PAM configuration for the "other" service
# auth
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth sufficient pam_krb5.so no_warn try_first_pass
#auth sufficient pam_ssh.so no_warn try_first_pass
auth required pam_unix.so no_warn try_first_pass

# account
account required pam_nologin.so
account required pam_krb5.so
account required pam_login_access.so
account required pam_unix.so

# session
#session optional pam_ssh.so want_agent
session required pam_permit.so
session required /usr/local/lib/pam_mkhomedir.so skel=/etc/skel umask=0077

# password
password required pam_permit.so

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-08 12:59:32

А acl'ы то на самой файловой системе включены... Че mount кажет...

LBV · Непрочитанное сообщение **LBV** » 2016-07-08 13:39:04

А если это добавить в конфиг самбы

Код: Выделить всё

ldap server require strong auth = no

snorlov · Непрочитанное сообщение **snorlov** » 2016-07-08 17:55:21

LBV писал(а):А если это добавить в конфиг самбы
Код: Выделить всё
ldap server require strong auth = no

При чем здесь это, у вас на фре включены расширенные разрешения или нет, если нет то и суда нет...

forum.lissyara.su