Авторизация в samba4

[Downloader]

Здравствуйте.
Есть машина (FreeBSD 10.1) на которой работает samba 4.1.
DC не используется
Файловая система - ZFS.
Проблема при авторизации:
1. При входе с аналогичной машины сначала (с первой попытки) выдается "session setup failed: NT_STATUS_UNSUCCESSFUL",
а со второй попытки входит.
2. При входе с Win7, если вход осуществляется из под виндового аккаунта, который зерегистрирован в sambe, то первый раз входит с задержкой.
Если же аккаунт не зарегистрирован или не совпадает пароль, то выдается окно авторизации и ситуация аналогична входу с unix, т.е. с первого раза выдает "...возможно у вас нет прав на использование указанного ресурса..", а со второго входит.

Релевантная часть smb4.conf

Код: Выделить всё

[global]
   dos charset = cp866
   workgroup = exhold
   netbios name = server1
   server role = standalone
   security = user
   hosts deny = 0.0.0.0/0
   hosts allow = 127. 192.168.10.0/25 EXCEPT 192.168.10.0/28
#       Delete of CUPS messages (log.smbd)
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   wins server = 192.168.10.98
   read only = no
   name resolve order = wins bcast
   local master = no
   create mask = 0760
   directory mask = 0770
# ZFS ACLs
    unix extensions = no
    nt acl support  = yes
    inherit acls    = no
    map acl inherit = yes
    vfs objects     = zfsacl
    nfs4:mode       = special
    nfs4:acedup     = merge
    nfs4:chown      = yes
[5_NOAP]
   path = /var/samba/Common/NOAP
   valid users = @NOAP
[6_NOAP_RI]
   path = /var/samba/Common/NOAP/NOAP_LRI
   valid users = @NOAP_RI

В логах samba-сервера ничего нет - временно установил log level = 10 и снова обратился с serv-ex к server1 под пользователем Ermakova_AA (smbclient //server1/6_NOAP_RI -U Ermakova_AA)
Во вложении лог winbind.

Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.

Использовалась Samba4.1.22 с опциями:

Код: Выделить всё

 ACL_SUPPORT    : on
        ADS            : on
        AD_DC          : on
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : on
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : on
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Вместо 4.1 поставил Samba4.3.3 со следующими опциями:

Код: Выделить всё

Options        :
        ACL_SUPPORT    : on
        ADS            : off
        AD_DC          : off
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : off
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : off
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Проблема сохранилась.

Буду рад любой оказанной помощи.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Graf]

Имхо, но после самбы 2, всё что после ZFS ACLs уже не глобальные параметры.
Может поможет, вполне рабочий конфиг, правда с linux путями.
Ресурс /uf выставлен в writeable = no, так как внутри созданы каталоги по отделам на которые раздаются права средствами linux.

Код: Выделить всё

[global]
workgroup = MYDOM
server string = Fileserver
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 3
security = user
passdb backend = tdbsam
invalid users = root
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
map to guest = bad user
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=32768 SO_SNDBUF=32768
printcap name = /etc/printcap

[uf]
path = /uf
writeable = no
browseable = yes
guest ok = no
valid users = @mydom,@users
write list = @mydom,@users
create mask = 1775
directory mask = 1775
printable = no
available = yes
locking = yes
oplocks = no
level2 oplocks = no
inherit permissions = yes

[Downloader]

Имхо, но после самбы 2, всё что после ZFS ACLs уже не глобальные параметры.

Да: ниже приведены опции для расшаренных ресурсов, пример обращения к которым приведен в log.txt
Проверю применимость конфига у меня, хотя, как мне кажется, проблема с доменами.
На что вообще влияют рабочие группы Windows?
Как это ограничивает взаимодействие пользователей разных групп?

[Graf]

Я, наверное, не понял сути проблемы %)
При security = user, пользователи/группы должны существовать на самба-сервере и, для удобства, равны локальным Вынь-пользователям.
Может пригодится:
http://smb-conf.ru/security-g.html

[Downloader]

пользователи/группы должны существовать на самба-сервере

Они существуют: на Unix-машинах у них даже UID совпадает.
С Windows-клиентами различие только в Full name:
на клиентах оно задано на рус.
на сервере (по-моему это поле называется "comment") оно пустое.
В том то и вопрос: конфиг, казалось бы, вообще дефолтный, но работает с проблемами.
В логах (см. выше) ругается ИМХО на рабочие группы.
На другом форуме советовали рыть idmap.

Отправлено спустя 2 часа 51 минуту 20 секунд:
Причем пользователям регулярно заходящим на сервер (расшаренные папки)
заходить по два раза не требуется:
В unix "smbclient //server1/Shate -U User" запрашивает пароль и потом успешно заходит
В windows пароль вводит сама ОС.
Те же, кто заходит нерегулярно (критичный промежуток еще не определил, думаю измеряется днями) должны повторять вход по 2 раза (что в unix, что в windows)

Отправлено спустя 2 минуты 27 секунд:
Причем пользователям регулярно заходящим на сервер (расшаренные папки)
заходить по два раза не требуется:
В unix "smbclient //server1/Shate -U User" запрашивает пароль и потом успешно заходит
В windows пароль вводит сама ОС.
Те же, кто заходит нерегулярно (критичный промежуток еще не определил, думаю измеряется днями) должны повторять вход по 2 раза (что в unix, что в windows)

[Downloader]

Проблема решилась добавлением
idmap config * : default = yes
idmap config * : backend = tdb
idmap config * : range = 10000-11000
в [global]