Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

allan_sundry

Доброе время суток!
Хочу настроить файлопомойку на FreeBSD + Samba. Помогите разобраться с связкой Samba + Win2003 AD.

Система:

Код: Выделить всё

net# uname -a
FreeBSD net.XXXX.XXX.XX 7.1-RELEASE-p2 FreeBSD 7.1-RELEASE-p2 #0: Mon Feb 16 13:49:52 EET 2009     rsv@net.XXXX.XXX.XX:/usr/obj/usr/src/sys/NET  i386

net# pkg_info | grep samba
samba-3.0.34,1      A free SMB and CIFS client and server for UNIX

/etc/resolv.conf

Код: Выделить всё

net# cat /etc/resolv.conf
domain  XXXX.XXX.XX
nameserver      10.111.0.8
nameserver      10.111.0.21

10.111.0.8 - Datacenter.XXXX.XXX.XX Windows Server 2003 R2 + AD + DNS
/etc/hosts

Код: Выделить всё

net# cat /etc/hosts
::1                         localhost localhost.XXXX.XXX.XX
127.0.0.1               localhost localhost.XXXX.XXX.XX
10.111.0.20            net.XXXX.XXX.XX                  net
10.111.0.8              Datacenter.XXXX.XXX.XX      Datecenter

/etc/krb5.conf

Код: Выделить всё

net# cat /etc/krb5.conf
[libdefaults]
default_realm = XXXX.XXX.XX
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
             host = {
                        rcmd = host
                        ftp = ftp
                       }
             plain = {
                        something = something-else
                        }
                             }
[realms]
        XXXX.XXX.XX = {
        kdc = Datacenter.XXXX.XXX.XX
                        }
[domain_realm]
        .хххх.ххх.хх = XXXX.XXX.XX

smb.conf

Код: Выделить всё

[global]
   workgroup = XXXX
   server string = Network Server
   security = ADS
   hosts allow = 10.111.0. 127.
   load printers = no
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = Datacenter
   realm = XXXX.XXX.XX
   interfaces = 10.111.0.0/24
   local master = no
   os level = 1
   domain master = no
   preferred master = no
   domain logons = no
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes
[Share]
path=/pub3
comment = Share
public = yes
writable = yes

Тесты:

Код: Выделить всё

net# kinit
rsv@XXXX.XXX.XX's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

net# klist -v
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: rsv@XXXX.XXX.XX
    Cache version: 4

Server: krbtgt/XXXX.XXX.XX@XXXX.XXX.XX
Ticket etype: arcfour-hmac-md5, kvno 2
Auth time:  Mar 18 16:28:02 2009
End time:   Mar 19 02:28:02 2009
Renew till: Mar 25 16:28:02 2009
Ticket flags: renewable, initial, pre-authenticated
Addresses: IPv4:10.111.0.20

Сервер без проблем включился в домен.

Код: Выделить всё

net# wbinfo -t
checking the trust secret via RPC calls succeeded

Немного смущает следующий вывод winbind

:

Код: Выделить всё

net# wbinfo -u
гость
администратор
krbtgt
mvv
rsv
gmn
olm
...

Код: Выделить всё

net# wbinfo -g
BUILTIN\administrators
BUILTIN\users
компьютеры домена
гости домена
пользователи домена
владельцы-создатели групповой политики
администраторы схемы
администраторы предприятия
контроллеры домена
администраторы домена
dnsupdateproxy
...

Код: Выделить всё

net# wbinfo -a rsv%пароль
plaintext password authentication succeeded
challenge/response password authentication succeeded

Код: Выделить всё

net# id rsv
uid=1001(rsv) gid=0(wheel) groups=0(wheel)
net# id mov
uid=10004(mov) gid=10005(администраторы домена) groups=10005(администраторы домена)

где rsv - локальный пользователь, а mov - доменный.
При заходе с Windows XP (IP 10.111.0.40) в логе появляются слудующие ошибки

:

Код: Выделить всё

[2009/03/18 16:26:46, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/03/18 16:26:46, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/03/18 16:26:46, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/03/18 16:26:46, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

Пробовал с samba-3.2.8 и samba-3.3.2 - результат аналогичный

.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov · Непрочитанное сообщение **snorlov** » 2009-03-18 18:28:40

Попробуйте в smb.conf

Код: Выделить всё

  auth methods = winbind

allan_sundry

snorlov писал(а):Попробуйте в smb.conf
Код: Выделить всё
  auth methods = winbind

Не помогло

Поставил снова samba-3.3.2, перевнес в домен:

Код: Выделить всё

net# net ads join -U rsv
Enter rsv's password:
Using short domain name -- XXXX
Joined 'NET' to realm 'xxxx.xxx.xx'

В логах по прежнему:

Код: Выделить всё

[2009/03/18 17:53:55,  1] smbd/sesssetup.c:reply_spnego_kerberos(350)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

allan_sundry

После приведения smb.conf к виду:

Код: Выделить всё

[global]
   workgroup = XXXX
   server string = Network Server
   security = ads
   hosts allow = 10.111.0. 127.
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = Datacenter.xxxx.xxx.xx
   realm = XXXX.XXX.XX
   interfaces = 10.111.0.0/24
   local master = no
   os level = 1
   domain master = no
   preferred master = no
   domain logons = no
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   auth methods = winbind
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes

[Share]
path=/pub3
comment = Share
public = yes
writable = yes

samba дает возможность зайти на "шару", но пишет в лог ошибки вида:

Код: Выделить всё

[2009/03/18 19:04:06,  0] lib/charcnv.c:convert_string_allocate(628)
  Conversion error: Illegal multibyte sequence(V9 )
[2009/03/18 19:04:06,  1] librpc/ndr/ndr.c:ndr_pull_error(467)
  ndr_pull_error(5): Bad char conversion
[2009/03/18 19:04:06,  0] libads/authdata.c:decode_pac_data(116)
  can't parse the PAC: NT_STATUS_INVALID_PARAMETER
[2009/03/18 19:04:06,  1] smbd/ipc.c:api_fd_reply(336)
  api_fd_reply: INVALID PIPE HANDLE: 760c
[2009/03/18 19:04:08,  1] smbd/service.c:make_connection_snum(1111)
  10.111.0.40 (10.111.0.40) connect to service Share initially as user XXXX\rsv (uid=10000, gid=10012) (pid 57953)

копаем дальше...

Jan · Непрочитанное сообщение **Jan** » 2009-03-18 22:35:17

Используй

Код: Выделить всё

dos charset = UTF-8
unix charset = UTF-8
display charset = UTF-8

allan_sundry

Jan писал(а):Используй
Код: Выделить всё
dos charset = UTF-8
unix charset = UTF-8
display charset = UTF-8

Спасибо!

Ошибки пропали, на "шару" пускает:

Код: Выделить всё

[2009/03/19 08:43:19,  1] smbd/service.c:make_connection_snum(1111)
  10.111.0.40 (10.111.0.40) connect to service Share initially as user XXXX\rsv (uid=10000, gid=10012) (pid 55253)

но не дает создать файл или папку

, настройки для "шары" следующие:

Код: Выделить всё

[Share]
path=/pub3
comment = Share
valid users = XXXX\rsv
public = yes
writable = yes

Jan · Непрочитанное сообщение **Jan** » 2009-03-19 10:10:22

allan_sundry писал(а): Спасибо!
Ошибки пропали, на "шару" пускает:
Код: Выделить всё
[2009/03/19 08:43:19,  1] smbd/service.c:make_connection_snum(1111)
  10.111.0.40 (10.111.0.40) connect to service Share initially as user XXXX\rsv (uid=10000, gid=10012) (pid 55253)
но не дает создать файл или папку , настройки для "шары" следующие:
Код: Выделить всё
[Share]
path=/pub3
comment = Share
valid users = XXXX\rsv
public = yes
writable = yes

А где сам права на /pub3 ????
симпл:

Код: Выделить всё

[sharing]
  comment = Sharing folder
  path = /fs/
  read list = "@<Твой домен>\Domain Users"
  write list = "@<Твой домен>\Domain Admins"
  read only = No
  create mode = 666
  directory mode = 666
  create mask = 0666

allan_sundry

Jan писал(а):
allan_sundry писал(а): Спасибо!
Ошибки пропали, на "шару" пускает:
Код: Выделить всё
[2009/03/19 08:43:19,  1] smbd/service.c:make_connection_snum(1111)
  10.111.0.40 (10.111.0.40) connect to service Share initially as user XXXX\rsv (uid=10000, gid=10012) (pid 55253)
но не дает создать файл или папку , настройки для "шары" следующие:
Код: Выделить всё
[Share]
path=/pub3
comment = Share
valid users = XXXX\rsv
public = yes
writable = yes
А где сам права на /pub3 ????
симпл:
Код: Выделить всё
[sharing]
  comment = Sharing folder
  path = /fs/
  read list = "@<Твой домен>\Domain Users"
  write list = "@<Твой домен>\Domain Admins"
  read only = No
  create mode = 666
  directory mode = 666
  create mask = 0666

Все равно не дает создавать или удалять файлы и папки

forum.lissyara.su

Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Услуги хостинговой компании Host-Food.ru

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE

Re: Не работает Samba и Windows 2003 AD NT_STATUS_LOGON_FAILURE