не проходит авторизация в Squid

[Sindikat88]

Добрый день. Поднимаю сервер по этой иснтрукции http://www.lissyara.su/articles/freebsd ... ejik-ntlm/
Вроде все настроил, только Squid не пускает в интернет.
Вот что написано в логах:
/var/squid/logs/access.log

Код: Выделить всё

1291794385.291      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291794385.506      9 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291794393.697      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291794393.914      9 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291794407.514      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291794407.737      9 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291794940.942      0 192.168.1.25 TCP_DENIED/407 1716 GET http://google.ru/ - NONE/- text/html
1291794941.186      0 192.168.1.25 TCP_DENIED/407 2002 GET http://google.ru/ - NONE/- text/html
1291794941.410      7 192.168.1.25 TCP_DENIED/407 1716 GET http://google.ru/ - NONE/- text/html
1291794946.378      0 192.168.1.25 TCP_DENIED/407 2002 GET http://google.ru/ - NONE/- text/html
1291794946.602     10 192.168.1.25 TCP_DENIED/407 1716 GET http://google.ru/ - NONE/- text/html
1291794947.341      0 192.168.1.25 TCP_DENIED/407 2002 GET http://google.ru/ - NONE/- text/html
1291794947.571     10 192.168.1.25 TCP_DENIED/407 1716 GET http://google.ru/ - NONE/- text/html
1291794948.206      0 192.168.1.25 TCP_DENIED/407 2002 GET http://google.ru/ - NONE/- text/html
1291794948.435      9 192.168.1.25 TCP_DENIED/407 1716 GET http://google.ru/ - NONE/- text/html
1291794972.514      0 192.168.1.25 TCP_DENIED/407 1758 GET http://188.127.243.169/ultra-96 - NONE/- text/html
1291794972.746      0 192.168.1.25 TCP_DENIED/407 2044 GET http://188.127.243.169/ultra-96 - NONE/- text/html
1291796735.767      0 192.168.1.25 TCP_DENIED/407 1761 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796735.988      0 192.168.1.25 TCP_DENIED/407 2047 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796736.210      6 192.168.1.25 TCP_DENIED/407 1761 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796738.314      0 192.168.1.25 TCP_DENIED/407 2047 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796738.538      9 192.168.1.25 TCP_DENIED/407 1761 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796739.113      0 192.168.1.25 TCP_DENIED/407 2047 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796739.342      9 192.168.1.25 TCP_DENIED/407 1761 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796739.925      0 192.168.1.25 TCP_DENIED/407 2047 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796740.145      9 192.168.1.25 TCP_DENIED/407 1761 GET http://go.microsoft.com/fwlink/? - NONE/- text/html
1291796743.791      0 192.168.1.25 TCP_DENIED/407 1824 GET http://out.ac-construction.local/cgi-bin/chpasswd.cgi - NONE/- text/html
1291796744.023      0 192.168.1.25 TCP_DENIED/407 2110 GET http://out.ac-construction.local/cgi-bin/chpasswd.cgi - NONE/- text/html
1291796744.246     10 192.168.1.25 TCP_DENIED/407 1824 GET http://out.ac-construction.local/cgi-bin/chpasswd.cgi - NONE/- text/html
1291796749.347      0 192.168.1.25 TCP_DENIED/407 2110 GET http://out.ac-construction.local/cgi-bin/chpasswd.cgi - NONE/- text/html
1291796749.577      9 192.168.1.25 TCP_DENIED/407 1824 GET http://out.ac-construction.local/cgi-bin/chpasswd.cgi - NONE/- text/html
1291796753.724      0 192.168.1.25 TCP_DENIED/407 1797 GET http://out.ac-construction.local/favicon.ico - NONE/- text/html
1291796753.939      0 192.168.1.25 TCP_DENIED/407 2083 GET http://out.ac-construction.local/favicon.ico - NONE/- text/html
1291796754.172      9 192.168.1.25 TCP_DENIED/407 1797 GET http://out.ac-construction.local/favicon.ico - NONE/- text/html
1291797248.806      0 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291797249.045      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291797249.268      7 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291797263.488      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291797263.852     10 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291797279.548      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291797279.837      9 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291797288.004      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291797288.263     10 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291797318.077      0 192.168.1.25 TCP_DENIED/407 1752 GET http://www.google.ru/gen_204? - NONE/- text/html
1291797318.315      0 192.168.1.25 TCP_DENIED/407 2038 GET http://www.google.ru/gen_204? - NONE/- text/html
1291797318.547      6 192.168.1.25 TCP_DENIED/407 1752 GET http://www.google.ru/gen_204? - NONE/- text/html
1291801826.505      0 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html
1291801826.738      0 192.168.1.25 TCP_DENIED/407 2014 GET http://www.google.ru/ - NONE/- text/html
1291801826.951      7 192.168.1.25 TCP_DENIED/407 1728 GET http://www.google.ru/ - NONE/- text/html

/var/squid/logs/cache.log

Код: Выделить всё

  Login for user [AC-CONSTRUCTION]\[biliy.sergey]@[BILIY25] failed due to [Access denied]
[2010/12/08 11:34:09,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2010/12/08 11:34:09| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'
[2010/12/08 11:34:23,  0] utils/ntlm_auth.c:558(winbind_pw_check)
  Login for user []\[biliy.sergey]@[BILIY25] failed due to [Access denied]
[2010/12/08 11:34:23,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2010/12/08 11:34:23| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'
[2010/12/08 11:34:39,  0] utils/ntlm_auth.c:558(winbind_pw_check)
  Login for user []\[biliy.sergey]@[BILIY25] failed due to [Access denied]
[2010/12/08 11:34:39,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2010/12/08 11:34:39| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'
[2010/12/08 11:34:48,  0] utils/ntlm_auth.c:558(winbind_pw_check)
  Login for user []\[biliy.sergey]@[BILIY25] failed due to [Access denied]
[2010/12/08 11:34:48,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2010/12/08 11:34:48| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'
[2010/12/08 11:35:18,  0] utils/ntlm_auth.c:558(winbind_pw_check)
  Login for user [AC-CONSTRUCTION]\[biliy.sergey]@[BILIY25] failed due to [Access denied]
[2010/12/08 11:35:18,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2010/12/08 11:35:18| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'
2010/12/08 12:49:59| Reconfiguring Squid Cache (version 2.7.STABLE9)...
2010/12/08 12:49:59| FD 29 Closing HTTP connection
2010/12/08 12:49:59| FD 31 Closing ICP connection
2010/12/08 12:49:59| logfileClose: closing log /var/squid/logs/store.log
2010/12/08 12:49:59| logfileClose: closing log /var/squid/logs/access.log
2010/12/08 12:49:59| Including Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2010/12/08 12:49:59| logfileOpen: opening log /var/squid/logs/access.log
2010/12/08 12:49:59| logfileOpen: opening log /var/squid/logs/store.log
2010/12/08 12:49:59| helperOpenServers: Starting 5 'dnsserver' processes
2010/12/08 12:49:59| helperOpenServers: Starting 5 'redirector' processes
2010/12/08 12:49:59| helperStatefulOpenServers: Starting 5 'ntlm_auth' processes
2010/12/08 12:49:59| helperOpenServers: Starting 5 'ntlm_auth' processes
2010/12/08 12:49:59| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 29.
2010/12/08 12:49:59| Accepting ICP messages at 0.0.0.0, port 3130, FD 31.
2010/12/08 12:49:59| WCCP Disabled.
2010/12/08 12:49:59| Loaded Icons.
2010/12/08 12:49:59| Ready to serve requests.
[2010/12/08 12:50:26,  0] utils/ntlm_auth.c:558(winbind_pw_check)
  Login for user [AC-CONSTRUCTION]\[biliy.sergey]@[BILIY25] failed due to [Access denied]
[2010/12/08 12:50:26,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2010/12/08 12:50:26| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

В чем может быть проблема?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Права на /var/db/samba/winbindd_privileged пользователю squid имеются и вообще используй хелпер из поставки самбы, а не из squid'а

[Sindikat88]

Права на /var/db/samba/winbindd_privileged пользователю squid имеются и вообще используй хелпер из поставки самбы, а не из squid'а

Как использовать хелпер из поставки самбы?

[snorlov]

Права на /var/db/samba/winbindd_privileged пользователю squid имеются и вообще используй хелпер из поставки самбы, а не из squid'а

Как использовать хелпер из поставки самбы?

Самба то стоит, вот и пропиши полный путь на ntlm_auth

Код: Выделить всё

/usr/local/bin/ntlm_auth

в конце концов можно пи проверить как он работает ручками...

[Sindikat88]

Хелпер уже стоял из поставки самбы.
Проверял командой

Код: Выделить всё

out# ntlm_auth --helper-protocol=squid-2.5-basic
admin
ERR
^C

Вот мой конфиг самбы:

Код: Выделить всё

[global]
   workgroup = AC-CONSTRUCTION
   server string = out server
   security = ADS
   hosts allow = 192.168.1. 127.
   log file = /var/log/samba34/log.%m
   max log size = 50
   password server = primarydc.ac-construction.local
   realm = AC-CONSTRUCTION.LOCAL
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes

Больше в smb.conf у меня ничего нет

Вот конфиг Squid

Код: Выделить всё

#Recommended minimum configuration per scheme:
#auth_param negotiate program <uncomment and complete this line to activate>
#auth_param negotiate children 5
#auth_param negotiate keep_alive on
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
#auth_param digest program <uncomment and complete this line>
#auth_param digest children 5
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

[snorlov]

Права на каталог /var/db/samba/winbindd_privileged для squid'а выставил?

[Sindikat88]

да. Давал права командой

Код: Выделить всё

chown -R root:squid /var/db/samba34/

[Sindikat88]

так же сделал как написано в посте http://forum.lissyara.su/viewtopic.php? ... 75#p175473

изначально должно быть
chown -R root:wheel /var/db/samba/winbindd_privileged
chmod -R 750 /var/db/samba/winbindd_privileged
перезапускаем самбу и убеждаемся, что она работает winbind не падает
и только потом включив acl делаешь
setfacl -m gr-x /var/db/samba/winbindd_privileged
результат
getfacl /var/db/samba/winbindd_privileged
#owner:root
#group:wheel
user::rwx
group::r-x
groupr-x
mask::r-x
other::---
после чего стартуем squid

Вот что у меня:

Код: Выделить всё

out# getfacl /var/db/samba34/winbindd_privileged
# file: /var/db/samba34/winbindd_privileged
# owner: root
# group: wheel
user::rwx
group::r-x
group:squid:r-x
mask::r-x
other::---

[snorlov]

Проверь как проходит авторизация ручками

Код: Выделить всё

/usr/local/bin/ntlm_auth --username=<пользователь из AD>

после чего запросит пароль и в случае если все нормально вернет

Код: Выделить всё

NT_STATUS_OK: Success (0x0)

Если вернет ошибку разбирайся с самой самбой она у тебя не член AD....

[Sindikat88]

вот что вышло:

Код: Выделить всё

out# /usr/local/bin/ntlm_auth --username=Administrator
password:
NT_STATUS_ACCESS_DENIED: Access denied (0xc0000022)

[snorlov]

Все ясно, разбирайтесь с самбой в AD, начните с синхронизации времени, получении билетика от керберос, вообщем все как обычно...

[Sindikat88]

Странно, ведь команды wbinfo с разными ключами проходят нормально. Куда копать?

[snorlov]

Странно, ведь команды wbinfo с разными ключами проходят нормально. Куда копать?

Код: Выделить всё

kinit
net ads join

[Sindikat88]

Заново ввел машину в домен.
Проблема осталась.
Вот мои конфиги:
cat /usr/local/etc/smb.conf

Код: Выделить всё

out# cat /usr/local/etc/smb.conf
[global]
   workgroup = AC-CONSTRUCTION
   server string = out server
   security = ADS
   hosts allow = 192.168.0. 192.168.1 220.170.220 127.
   log file = /var/log/samba34/log.%m
   max log size = 50
   password server = 192.168.0.3
   realm = AC-CONSTRUCTION.LOCAL
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes

cat /etc/krb5.conf

Код: Выделить всё

out# cat /etc/krb5.conf
[libdefaults]
        default_realm = AC-CONSTRUCTION.LOCAL
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
        AC-CONSTRUCTION.LOCAL = {
                kdc = 192.168.0.3
                admin_server = 192.168.0.3
                kpasswd_server = 192.168.0.3

        }
[domain_realm]
        .ac-construction = AC-CONSTRUCTION.LOCAL

cat /etc/nsswitch.conf

Код: Выделить всё

out# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.4.1 2010/06/14 02:09:06 kensmith Exp $
#
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files

Вот, что делаю:

Код: Выделить всё

out# kinit -p administrator
administrator@AC-CONSTRUCTION.LOCAL's Password:
out# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@AC-CONSTRUCTION.LOCAL

  Issued           Expires          Principal
Dec 10 10:32:53  Dec 10 20:32:52  krbtgt/AC-CONSTRUCTION.LOCAL@AC-CONSTRUCTION.LOCAL
out# net ads join -U administrator
Enter administrator's password:
Using short domain name -- AC-CONSTRUCTION
Joined 'OUT' to realm 'ac-construction.local'

Код: Выделить всё

out# wbinfo -g
exchange servers
exchange organization administrators
exchange recipient administrators
exchange view-only administrators
exchangelegacyinterop
компьютеры домена
издатели сертификатов
гости домена
серверы ras и ias
пользователи домена
владельцы-создатели групповой политики
администраторы предприятия
администраторы домена
администраторы схемы
контроллеры домена
helpservicesgroup
telnetclients
dnsadmins
dnsupdateproxy
$781000-nsqrcesu6qp7
пользователи dhcp
администраторы dhcp
iis_wpg
inet

А дальше:

Код: Выделить всё

out# /usr/local/bin/ntlm_auth --username=Administrator
password:
NT_STATUS_ACCESS_DENIED: Access denied (0xc0000022)

[snorlov]

Код: Выделить всё

wbinfo -u
id administrator
getent passwd
getent group

[Sindikat88]

Код: Выделить всё

out# wbinfo -u
administrator
гость
krbtgt
biliy.sergey
test
...

Код: Выделить всё

out# id administrator
uid=10002(administrator) gid=10029(пользователи домена) groups=10029(пользователи домена),10021(exchange organization administrators),10030(владельцы-создатели групповой политики),10031(администраторы предприятия),10032(администраторы домена),10033(администраторы схемы)

Код: Выделить всё

out# getent passwd
root:$1$opZGDiDx$xxhzevCX/vUIW/M6vf8.A/:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uuci                                                                             co
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
Admin:$1$/A5lxRCG$CQQApOo9fLi2DvFaWeaTO1:1001:0:Sergey:/home/Admin:/bin/sh
squid:*:100:100:Squid caching-proxy pseudo user:/var/squid:/usr/sbin/nologin
mysql:*:88:88:MySQL Daemon:/var/db/mysql:/usr/sbin/nologin
administrator:*:10002:10029:Administrator:/home/AC-CONSTRUCTION/administrator:/b                                                                             in/false
гость:*:10004:10027:Гость:/home/AC-CONSTRUCTION/гость:/bin/false
krbtgt:*:10005:10029:krbtgt:/home/AC-CONSTRUCTION/krbtgt:/bin/false
biliy.sergey:*:10006:10029:Сергей Билый:/home/AC-CONSTRUCTION/biliy.sergey:/bin/                                                                             false
test:*:10000:10029:Test:/home/AC-CONSTRUCTION/test:/bin/false

Код: Выделить всё

out# getent group
wheel:*:0:root
daemon:*:1
kmem:*:2
sys:*:3
tty:*:4
operator:*:5:root
mail:*:6
bin:*:7
news:*:8
man:*:9
games:*:13
ftp:*:14
staff:*:20
sshd:*:22
smmsp:*:25
mailnull:*:26
guest:*:31
bind:*:53
proxy:*:62
authpf:*:63
_pflogd:*:64
_dhcp:*:65
uucp:*:66
dialer:*:68
network:*:69
audit:*:77
www:*:80
nogroup:*:65533
nobody:*:65534
squid:*:100
mysql:*:88
exchange servers:x:10020:servern$
exchange organization administrators:x:10021:administrator
exchange recipient administrators:x:10022
exchange view-only administrators:x:10023
exchangelegacyinterop:x:10024
компьютеры домена:x:10025
издатели сертификатов:x:10026
гости домена:x:10027
серверы ras и ias:x:10028
пользователи домена:x:10029:kamakhin.petr
владельцы-создатели групповой политики:x:10030:administrator
администраторы предприятия:x:10031:administrator,test
администраторы домена:x:10032:administrator,biliy.sergey,olenin.alexander,test
администраторы схемы:x:10033:administrator
контроллеры домена:x:10034
helpservicesgroup:x:10035:support_388945a0
telnetclients:x:10036
dnsadmins:x:10037
dnsupdateproxy:x:10038
$781000-nsqrcesu6qp7:x:10039:servern$
пользователи dhcp:x:10040
администраторы dhcp:x:10041
iis_wpg:x:10042
inet:x:10070:biliy.sergey

[snorlov]

И если сделать шару в самбе, то пускает на нее пользователей домена без всяких вопросов ?Тогда не знаю, может в том что сервер у тебя русский... Кстати, ldap стоит.

[Sindikat88]

Вот строки из /usr/local/etc/smb.conf

Код: Выделить всё

[public]
   path = /home/samba
   guest ok = Yes
   guest only = Yes
   writable = yes

Итог: в папку не пускает. Может я что не так делаю?

[Sindikat88]

На всякий случай прилагаю свой полный smb.conf

Код: Выделить всё

#======================= Global Settings =====================================
[global]
   workgroup = AC-CONSTRUCTION
   server string = out server
   security = ADS
   hosts allow = 192.168.0. 192.168.1 220.170.220 127.
   log file = /var/log/samba34/log.%m
   max log size = 50
   password server = 192.168.0.3
   realm = AC-CONSTRUCTION.LOCAL
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes
 

#============================ Share Definitions ==============================
[homes]
   comment = Home Directories
   browseable = no
   writable = yes

# Un-comment the following and create the netlogon directory for Domain Logons
; [netlogon]
;   comment = Network Logon Service
;   path = /usr/local/samba/lib/netlogon
;   guest ok = yes
;   writable = no
;   share modes = no


# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
;[Profiles]
;    path = /usr/local/samba34/profiles
;    browseable = no
;    guest ok = yes


# NOTE: If you have a BSD-style print system there is no need to 
# specifically define each individual printer
[printers]
   comment = All Printers
   path = %%SAMBA_SPOOL%%
   browseable = no
# Set public = yes to allow user 'guest account' to print
   guest ok = no
   writable = no
   printable = yes

# This one is useful for people to share files
;[tmp]
;   comment = Temporary file space
;   path = /tmp
;   read only = no
;   public = yes

# A publicly accessible directory, but read only, except for people in
# the "staff" group
[public]
   path = /home/samba
   guest ok = Yes
   guest only = Yes
   writable = yes

# Other examples. 
#
# A private printer, usable only by fred. Spool data will be placed in fred's
# home directory. Note that fred must have write access to the spool directory,
# wherever it is.
;[fredsprn]
;   comment = Fred's Printer
;   valid users = fred
;   path = /homes/fred
;   printer = freds_printer
;   public = no
;   writable = no
;   printable = yes

# A private directory, usable only by fred. Note that fred requires write
# access to the directory.
;[fredsdir]
;   comment = Fred's Service
;   path = /usr/somewhere/private
;   valid users = fred
;   public = no
;   writable = yes
;   printable = no

# a service which has a different directory for each machine that connects
# this allows you to tailor configurations to incoming machines. You could
# also use the %U option to tailor it by user name.
# The %m gets replaced with the machine name that is connecting.
;[pchome]
;  comment = PC Directories
;  path = /usr/pc/%m
;  public = no
;  writable = yes

# A publicly accessible directory, read/write to all users. Note that all files
# created in the directory by users will be owned by the default user, so
# any user with access can delete any other user's files. Obviously this
# directory must be writable by the default user. Another user could of course
# be specified, in which case all files would be owned by that user instead.
;[public]
;   path = /usr/somewhere/else/public
;   public = yes
;   only guest = yes
;   writable = yes
;   printable = no

# The following two entries demonstrate how to share a directory so that two
# users can place files there that will be owned by the specific users. In this
# setup, the directory should be writable by both users and should have the
# sticky bit set on it to prevent abuse. Obviously this could be extended to
# as many users as required.
;[myshare]
;   comment = Mary's and Fred's stuff
;   path = /usr/somewhere/shared
;   valid users = mary fred
;   public = no
;   writable = yes
;   printable = no
;   create mask = 0765

[snorlov]

Вот строки из /usr/local/etc/smb.conf

Код: Выделить всё

[public]
   path = /home/samba
   guest ok = Yes
   guest only = Yes
   writable = yes

Итог: в папку не пускает. Может я что не так делаю?

Это то нафиг

Код: Выделить всё

   guest only = Yes

Права каие стоят на /home/samba...
Поставь всем и снова проверь... И что сама самба при этом пишет в лог

Код: Выделить всё

chmod -R 0777 /home/samba

[Sindikat88]

вот что пишет Самба в логе /var/log/samba34/log.192.168.1.25

Код: Выделить всё

[2010/12/10 15:12:23,  0] lib/access.c:410(check_access)
  Denied connection from biliy25.ac-construction.local (192.168.1.25)
[2010/12/10 15:12:23,  1] smbd/process.c:2067(smbd_process)
  Connection denied from 192.168.1.25
[2010/12/10 15:12:23,  0] lib/access.c:410(check_access)
  Denied connection from biliy25.ac-construction.local (192.168.1.25)
[2010/12/10 15:12:23,  1] smbd/process.c:2067(smbd_process)
  Connection denied from 192.168.1.25
[2010/12/10 15:15:24,  0] lib/access.c:410(check_access)
  Denied connection from biliy25.ac-construction.local (192.168.1.25)
[2010/12/10 15:15:24,  1] smbd/process.c:2067(smbd_process)
  Connection denied from 192.168.1.25
[2010/12/10 15:15:24,  0] lib/access.c:410(check_access)
  Denied connection from biliy25.ac-construction.local (192.168.1.25)
[2010/12/10 15:15:24,  1] smbd/process.c:2067(smbd_process)
  Connection denied from 192.168.1.25

Вот что в логе /var/log/samba34/log.smbd

Код: Выделить всё

[2010/12/10 15:14:28,  0] smbd/server.c:1065(main)
  smbd version 3.4.9 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2010/12/10 15:14:28,  1] smbd/files.c:177(file_init)
  file_init: Information only: requested 16384 open files, 11075 are available.
[2010/12/10 15:14:35,  1] libads/cldap.c:156(recv_cldap_netlogon)
  no reply received to cldap netlogon (select timeout 7 sec)

С Виндовой машины пытаюсь зайти на //192.168.1.209 на что получаю ответ: Windows не может получить доступ к устройству //OUT

[Sindikat88]

В чем может заключаться проблема?

[f0s]

вот что пишет Самба в логе /var/log/samba34/log.192.168.1.25

Код: Выделить всё

[2010/12/10 15:12:23,  0] lib/access.c:410(check_access)
  Denied connection from biliy25.ac-construction.local (192.168.1.25)
[2010/12/10 15:12:23,  1] smbd/process.c:2067(smbd_process)
  Connection denied from 192.168.1.25

С Виндовой машины пытаюсь зайти на //192.168.1.209 на что получаю ответ: Windows не может получить доступ к устройству //OUT

проблема в том, что в конфиге самбы не разрешено входить с сети 192.168.1.0/24
ты в конфиге точечеку забыл поставить после 192.168.1.

hosts allow = 192.168.0. 192.168.1 220.170.220 127.