SAMBA без LDAP никак не заработывает

[Solar_Wind]

SAMBA без LDAP никак не заработывает уже как третий день

настраивал по этому описанию http://www.lissyara.su/?id=1167

samba запускается, root создается и net join domain -U root работает, с других машин рутом могу заходить и все
скрипты создания груп юзеров и компов доходят только до add_mashine_script
если из виндовой машини пытаюсь присоединить в домен, то доходит до учетная запись пользователя с предложением добавить пользователя или отложить и далее при выборе любого уровня доступа сообщает - учетная запись пользователя user в домене domain не существует
кто чего подскажет? или с таким сталкивался, или какие логи закинуть?
samba 3.0.32_1,1
FreeBSD 7.0 amd64

ЗЫ. гугление пока не помогло, посещение оффсайта и чтение вариантов без LDAP ( здесь http://samba.org/samba/docs/man/Samba-Guide/) что то к просветлению не приводит.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[t-34-85-60]

В своё время у меня тоже не удалось завести самбу так, как это у Лисяры описано. Поэтому пользовался ещё одним источником. Может это вам поможет:

Код: Выделить всё

После того как скрипты написаны, делаем их исполняемыми при помощи chmod:
# cd /usr/local/etc/samba/
# chmod u+x имя_скрипта
проверяем стали ли исполняемыми:
# ls –l

стартуем самбу.
# /usr/local/etc/rc.d/samba start
Проверяем.
# ps -ax | grep smb
должно быть что-то типа:
1810  ??  Ss     0:06.16 /usr/local/sbin/nmbd -D -s /usr/local/etc/smb.conf
 1816  ??  Is     0:00.33 /usr/local/sbin/smbd -D -s /usr/local/etc/smb.conf
 1818  ??  I      0:00.00 /usr/local/sbin/smbd -D -s /usr/local/etc/smb.conf
 3652  p0  S+     0:00.04 /bin/csh -c ps -ax | grep smb

Следующий шаг – создание групп пользователей. Создаём 3 группы:
# pw groupadd nt_workstation
# pw groupadd nt_admins
# pw groupadd nt_users
сопоставляем созданные группы с windows-группами при помощи утилиты net:
•  Гости:
# net groupmap add rid=514 ntgroup="Domain Guests" unixgroup=nobody
•  Пользователи:
# net groupmap add rid=513 ntgroup="Domain Users" unixgroup=users
•  Windows станции:
# net groupmap add rid=515 ntgroup="Domain Computers" unixgroup=nt_workstations
•  Администраторы:
# net groupmap add rid=512 ntgroup="Domain Admins" unixgroup=nt_admins
Число после rid= - это числовой идентификатор основных Windows групп.

Создадим пользователя "test", который будет администратором домена (первичная группа - nt_admins)
# adduser test
# pw groupmod nt_admins -m test

Добавляем пользвоателя test в самбу:
# smbpasswd -a test

Проверяем, вошёл ли пользователь в группу “Domain Admins”
# net rpc group members "Domain Admins" -U test
TESTDOMAIN\test

По умолчанию у группы Domain Admins нет никаких прав кроме кроме назначать и удалять привелегии другим. Дадим группе Domain Admins все права
# net rpc rights grant "Domain Admins" SeMachineAccountPrivilege
SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege
SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege –U test

Вводим сервер в домен:
# net rpc join -U test
Joined domain TESTDOMAIN

Проверяем:
# net rpc testjoin
Join to 'TESTDOMAIN' is OK

test1# net rpc info -U test
Password:
Domain Name: TESTDOMAIN
Domain SID: S-1-5-21-2743657024-3976055885-1262507069
Sequence number: 1216150908
Num users: 1
Num domain groups: 4
Num local groups: 0
 
Ввод в домен с Windows-машины:
1.   ПКМ на иконке "Мой компьютер", выбрать пункт "Свойства"
2.   Перейти на вкладку "Имя компьютера"
3.   Нажать кнопку "Изменить"
4.   Выбрать пункт "Является членом домена:"
5.   Ввести название домена (у меня TESTDOMAIN), кнопка "ОК"
6.   Ввести имя и пароль пользователя, который имеет право на добавление ПК в домен (в примере test)
7.   Перезагрузить Улыбаюсь
8.   В окне ввода имени пароля, нажать кнопку "Параметры" и выбрать домен (в примере TESTDOMAIN)
Добавляем в домен пользовательские машины:
# net rpc user add comp1$ -U test
# net rpc user add comp2$ -U test
# net rpc user add comp3$ -U test

Затем добавляем юзеров:
# net rpc user add user1 -U test
# net rpc user add user2 -U test
# net rpc user add user3 -U test

Следует учесть, что при вводе машины в домен следует добавлять в конце её имени знак $. При вводе пользователя ничего добавлять не надо.

Не забудьте включить добавленных пользователей в группу nt_users:
# pw groupmod nt_users -m user1
# net rpc group addmem "Domain Users" user3 -U test
 
Список комманд для управления доменом
Ниже собраны комманды используемые для управления доменом и получения о нем информации. Чтобы не вводить новые названия, оставил их из примера.

Управление
1.   Добавить/удалить сопоставление:
# net groupmap {add,delete} ntgroup="Domain Users " unixgroup=nt_users
2.   Добавить/удалить пользователя:
# net rpc user {add,delete} user1 -U test
3.   Добавить/удалить компьютер:
# net rpc user {add,delete} comp1$ -U test
4.   Добавить/убрать пользователя в доп. группу:
# net rpc group {addmem,delmem} "Domain Users" user1 -U test
5.   Сменить основную группу пользователя:
# usermod -g nt_users user3
6.   Установить пароль для пользователя:
# smbpasswd user1
7.   Ввести сервер в домен:
# net rpc join –U test
8.   Проверить на вход в домен:
# net rpc testjoin
9.   Добавить права определенной группе:
# net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U test
Информация
1.   Список сопоставлений:
# net groupmap list
2.   Список всех пользователей:
# net rpc user -U test
3.   Список всех групп:
# net rpc group -U test
4.   Список пользователей принадлежащих определенной группе:
# net rpc group members "Domain Users" -U test
5.   Список компьютеров (группа "Domain Computers"):
# net rpc group members "Domain Computers" –U test
6.   Группы, которым принадлежит определенный пользователь:
# net rpc user info user3 -U test
7.   Общая информация о домене:
   # net rpc info -U test

[t-34-85-60]

По сути это компиляция из Мана Лисяры, и ещё одного найденного в нете. Да простят меня создатели этих манов.

[Solar_Wind]

в прынцыпе все команды управления самбой очень вполне доступны к изучению из SWAT - там на каждую есть подробнейшее описалово, но от чего же так происходит у меня как писалось выше - вот в чем эээ вопрос.
может быть это связано с версиями виндов на машинах клиентов ( у меня для экспериментов используется ХРу про) ? может ли это быть связано с тем, что в сети есть контроллер домена на w2k хотя как меня уверяет виндовый админ как мастер он отключен. с LDAP не очень хочется заморачиваться ибо сеть из 30 машин которым нужны только папки на серве и количество машин имеет тенденцию к сокращению

[Yam]

Давайте разбираться по-порядку, честно говоря из того что вы написали практически ничего не понял.

Что здесь имеется в виду? Где доходят? Что запускаете?

скрипты создания груп юзеров и компов доходят только до add_mashine_script

Какая у вас OC? Что за странный способ ввода машины в домен?

если из виндовой машини пытаюсь присоединить в домен, то доходит до учетная запись пользователя с предложением добавить пользователя или отложить и далее при выборе любого уровня доступа сообщает - учетная запись пользователя user в домене domain не существует

Ну и так, на всякий случай, а в реестре Win-клиента ключик RequireSignOrSeal поправили?

[Solar_Wind]

способ присоединения машины с ХР в домен использовал как при вводе в домен АД сервера виндовс, т.е. -> мой компьютер -> свойства -> идентификация -> присоединить компьютер к домену ( вроде так, ХР под руками нет) , там последовательно спрашивается, в какой домен присоединять, запрашивается учетка администратора с правами присоединения и его пароль, доходит до создания пользователя в домене с выбором его группы ( просто, продвинутый пользователь или админ) и на этом появляется надпись "этой рабочей станции не удалось установить доверительные отношения с контроллером домена"

при этом на самбовом сервере создается запись с именем компьютера в passwd через работу скрипта add_machine_script.sh - дальше на самбовом серве ничего не происходит и пользователь уже не добавляется. в реестре присоединяемой машины ключик RequireSignOrSeal менял - никакого результата.

пока просто тупо накорябал скриптец и через bash + expect создал всех юзеров через pw и smbpasswd из файла со списком юзеров и их паролей