Обсуждаем статью про самбу
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: Обсуждаем статью про самбу
раз в статье нету - значит нигде нету
у меня не осталось доступа к тем серверам
из названия могу потелепатировать что там приведение имени к нижнему регистру и mkdir - больше ничё нету
у меня не осталось доступа к тем серверам
из названия могу потелепатировать что там приведение имени к нижнему регистру и mkdir - больше ничё нету
Убей их всех! Бог потом рассортирует...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- xM
- ст. лейтенант
- Сообщения: 1316
- Зарегистрирован: 2009-01-15 23:57:41
- Откуда: Königsberg
- Контактная информация:
Re: Обсуждаем статью про самбу
Есть глупый вопрос...
Как на основании этого конфига система узнаёт, что нужно вести лог аудита в файле smbd_audit.log ?
Не нашёл явного указания.
Как на основании этого конфига система узнаёт, что нужно вести лог аудита в файле smbd_audit.log ?
Не нашёл явного указания.
IT voodoo blog https://kostikov.co
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2011-02-03 18:11:54
Re: Обсуждаем статью про самбу
Настроил как в статье, появился вопрос, необходимо включить квотирование - ядро и самба 3.4.8 собраны с квотами,
но! когда пользователь создает файлы на шарах, то овнером указывается root и группа-владелец папки,
хотя wbinfo -u -p -t -g всю информацию отдает
getent passwd возвращает список юзеров с uid и gid из промежутка указанного в smb.conf 10000-20000, например:
а в логе самбы:
[2011/02/03 18:07:43, 1] smbd/service.c:1063(make_connection_snum)
srv-4 (192.168.21.6) connect to service all initially as user MYDOMAIN\a_xxx (uid=0, gid=10014) (pid 3312)
то есть uid=0?
если в конфиге самбы указать для шары inherit owner=yes то только тогда при создании объектов в подпапках! шары (а не в корне шары) овнер наследуется, но это не выход, поскольку файлы пользователи могут создать и в чужой папке и квота будет чужая
машина в домене, и чего уже не дописывал в конфиг... вот они на всякий:
добавил и это:
но! когда пользователь создает файлы на шарах, то овнером указывается root и группа-владелец папки,
хотя wbinfo -u -p -t -g всю информацию отдает
getent passwd возвращает список юзеров с uid и gid из промежутка указанного в smb.conf 10000-20000, например:
Код: Выделить всё
azovceva:*:10056:10014:Анна Азовцева:/data/home/MYDOMAIN/azovceva:/bin/sh
michael:*:10061:10014:Михаил Карпеня:/data/home/MYDOMAIN/michael:/bin/sh
[2011/02/03 18:07:43, 1] smbd/service.c:1063(make_connection_snum)
srv-4 (192.168.21.6) connect to service all initially as user MYDOMAIN\a_xxx (uid=0, gid=10014) (pid 3312)
то есть uid=0?
если в конфиге самбы указать для шары inherit owner=yes то только тогда при создании объектов в подпапках! шары (а не в корне шары) овнер наследуется, но это не выход, поскольку файлы пользователи могут создать и в чужой папке и квота будет чужая
Код: Выделить всё
FreeBSD gw-03.lan.mydomain.ru 8.1-RELEASE FreeBSD 8.1-RELEASE #1: Mon Jan 31 20:50:48 MSK 2011 root@gw-03.mydomain.ru:/usr/obj/usr/src/sys/MYKERNEL i386
Код: Выделить всё
gw-03# cat smb.conf
[global]
#unix extensions = no
workgroup = MYDOMAIN
security = ADS
password server = 192.168.1.2
realm = LAN.MYDOMAIN.RU
hosts allow = 192.168.
case sensitive = no
#winbind separator = \\
auth methods = winbind
winbind cache time = 30
idmap uid = 10000-20000
idmap gid = 10000-20000
netbios name = GW-03
server string =
bind interfaces only = Yes
interfaces = rl0
# log level = 10
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
display charset = CP1251
unix charset = KOI8-R
dos charset = CP866
template homedir = /data/home/%D/%U
template shell = /bin/sh
admin users = @"Domain Admins", a_xxx
defer sharing violations = false
winbind enum users = yes
winbind enum groups = yes
[user_data]
comment = Shares for personal users data
path = /data/user_data
admin users = "@MYDOMAIN\Domain Admins"
read only = No
create mask = 0600
directory mask = 0700
locking = no
root preexec = /bin/sh -c '/root/scripts/create_user_data_subdir.sh %U'
force unknown acl user = yes
# vfs - read `man -k vfs | grep Samba`
vfs object = recycle full_audit
recycle:repository = /data/trash/%S
recycle:keeptree= Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp
recycle:directory_mode = 0770
recycle:versions= Yes
recycle:minsize = 1
full_audit:prefix = share=%S; id=%U; ip=%I -->
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority = INFO
[all]
comment =
hosts allow = 192.168.
path = /data/all
#veto files = /*.mp3/*.mpeg/*.mpg/*.avi/*.mkv/quota.user/quota.group/.snap/
read list = @"Domain Users"
write list = @"Domain Users"
admin users = @"Domain Admins"
read only = No
inherit owner = no
inherit acls = yes
inherit permissions = yes
map acl inherit = yes
map archive = no
map read only = no
create mask = 0660
directory mask = 0770
force unknown acl user = yes
delete readonly = yes
# vfs - read `man -k vfs | grep Samba`
vfs object = recycle full_audit
recycle:repository = /data/trash/%S
recycle:keeptree= Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp *.mp3 *.MP3 *.wma *.WMA *.wmv *.WMV *.avi *.AVI *.mpg *.MPG *.mpeg *.MPEG *.m3u *.M3U
recycle:directory_mode = 0770
recycle:versions= Yes
recycle:minsize = 1
full_audit:prefix = share=%S; id=%U; ip=%I -->
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority = INFO
[updates]
comment =
path = /data/updates
read list = "@MYDOMAIN\Domain Users"
write list = "@MYDOMAIN\Domain Admins", MYDOMAIN\kav
admin users = "@MYDOMAIN\Domain Admins", MYDOMAIN\kav
read only = No
map acl inherit = yes
map archive = no
map read only = no
create mask = 0660
directory mask = 0770
force unknown acl user = yes
delete readonly = yes
[trash]
comment =
path = /data/trash
read list = "@MYDOMAIN\Domain Admins"
write list = "@MYDOMAIN\Domain Admins"
admin users = "@MYDOMAIN\Domain Admins"
browseable = no
добавил и это:
Код: Выделить всё
gw-03# cat krb5.conf
[libdefaults]
ticket_lifetime = 86400
default_realm = LAN.MYDOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
LAN.MYDOMAIN.RU = {
kdc = 192.168.1.2
kpasswd_server = 192.168.1.2
admin_server =192.168.1.2
default_domain = LAN.MYDOMAIN.RU
}
[domain_realm]
.lan.mydomain.ru = LAN.MYDOMAIN.RU
lan.mydomain.ru = LAN.MYDOMAIN.RU
[pam]
debug = false
ticket_lifetime = 86400
renew_lifetime = 86400
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false
[logging]
kdc = FILE:/var/log/kerb/krb5kdc.log
admin_server = FILE:/var/log/kerb/kadmin.log
default = FILE:/var/log/kerb/krb5lib.log
Код: Выделить всё
gw-03# cat nsswitch.conf
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
Код: Выделить всё
gw-03# pkg_info
autoconf-2.62 Automatically configure source code on many Un*x platforms
autoconf-wrapper-20071109 Wrapper script for GNU autoconf
cups-client-1.4.3 Common UNIX Printing System: Library cups
dmalloc-5.5.2 Portable debug memory allocation library
e2fsprogs-libuuid-1.41.12 UUID library from e2fsprogs package
gamin-0.1.10_4 A file and directory monitoring system
gettext-0.18_1 GNU gettext package
gio-fam-backend-2.24.1_1 FAM backend for GLib's GIO library
glib-2.24.1_1 Some useful routines of C programming (current stable versi
gmake-3.81_4 GNU version of 'make' utility
gnutls-2.8.6_1 GNU Transport Layer Security library
help2man-1.38.2_1 Automatically generating simple manual pages from program o
iconv-2.0_3 Charset conversion library and utilities
iperf-2.0.4 A tool to measure maximum TCP and UDP bandwidth
isc-dhcp41-server-4.1.1.p1,1 The ISC Dynamic Host Configuration Protocol server
libexecinfo-1.1_3 A library for inspecting program's backtrace
libgcrypt-1.4.5_1 General purpose crypto library based on code used in GnuPG
libgpg-error-1.7_1 Common error values for all GnuPG components
libiconv-1.13.1_1 A character set conversion library
libslang2-2.2.2_1 Routines for rapid alpha-numeric terminal applications deve
libtool-2.2.6b Generic shared library support script
lzo2-2.03_2 Portable speedy, lossless data compression library
m4-1.4.14_1,1 GNU m4
mc-4.7.2_1 Midnight Commander, a free Norton Commander Clone
openldap-client-2.4.23 Open source LDAP client implementation
openvpn-2.1.1_1 Secure IP/Ethernet tunnel daemon
p5-gettext-1.05_3 Message handling functions
pcre-8.02 Perl Compatible Regular Expressions library
perl-5.10.1_1 Practical Extraction and Report Language
pkg-config-0.23_1 A utility to retrieve information about installed libraries
png-1.4.3 Library for manipulating PNG images
popt-1.14_1 A getopt(3) like library with a number of enhancements, fro
python26-2.6.5 An interpreted object-oriented programming language
samba34-3.4.8 A free SMB and CIFS client and server for UNIX
talloc-2.0.1 Hierarchical pool based memory allocator
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2011-02-03 18:11:54
Re: Обсуждаем статью про самбу
отвечу на вопрос сам, дело было в указании директивы для шар, достаточно ее убрать
admin users = "@MYDOMAIN\Domain Admins"
admin users = "@MYDOMAIN\Domain Admins"
-
- проходил мимо
Re: Обсуждаем статью про самбу
kos_fist писал(а):Доброго времени суток!
Возникла странная проблемма с установкой samba-3.0.35_1,1 при инсталяции выводит следующееКод: Выделить всё
[root@gateway /usr/ports/japanese/samba3]# make install clean ===> ja-samba-3.0.35_1,1 Bad autotool stanza: autoconf:262 autoheader:262. *** Error code 1
Гугл вообще ничего не знает даже близко, иль я разучился искатьКод: Выделить всё
[root@gateway /usr/ports/japanese/samba3]# pkg_info | grep auto autoconf-2.68 Automatically configure source code on many Un*x platforms autoconf-wrapper-20101119 Wrapper script for GNU autoconf automake-1.11.1 GNU Standards-compliant Makefile generator (1.11) automake-wrapper-20101119 Wrapper script for GNU automake bsdpan-autodie-2.10 Fatal - Replace functions with equivalents which succeed or
Прошу помощи! Зарание благодарен)))
Вот решение данной проблемы
if you get "Bad autotool stanza: autoconf:262 autoheader:262" when you 'make install', try this:
vi /usr/ports/net/samba3/Makefile
change the USE_AUTOTOOLS= line to read USE_AUTOTOOLS= autoconf autoheader
save and quit the editor
retry the install
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
- ADRE
- майор
- Сообщения: 2645
- Зарегистрирован: 2007-07-26 8:53:49
- Контактная информация:
Re: Обсуждаем статью про самбу
Имхо - решение проблемы - обновить порты. и софт на оси соответственно.alikmulla писал(а):kos_fist писал(а):Доброго времени суток!
Возникла странная проблемма с установкой samba-3.0.35_1,1 при инсталяции выводит следующееКод: Выделить всё
[root@gateway /usr/ports/japanese/samba3]# make install clean ===> ja-samba-3.0.35_1,1 Bad autotool stanza: autoconf:262 autoheader:262. *** Error code 1
Гугл вообще ничего не знает даже близко, иль я разучился искатьКод: Выделить всё
[root@gateway /usr/ports/japanese/samba3]# pkg_info | grep auto autoconf-2.68 Automatically configure source code on many Un*x platforms autoconf-wrapper-20101119 Wrapper script for GNU autoconf automake-1.11.1 GNU Standards-compliant Makefile generator (1.11) automake-wrapper-20101119 Wrapper script for GNU automake bsdpan-autodie-2.10 Fatal - Replace functions with equivalents which succeed or
Прошу помощи! Зарание благодарен)))
Вот решение данной проблемы
if you get "Bad autotool stanza: autoconf:262 autoheader:262" when you 'make install', try this:
vi /usr/ports/net/samba3/Makefile
change the USE_AUTOTOOLS= line to read USE_AUTOTOOLS= autoconf autoheader
save and quit the editor
retry the install
//del
-
- проходил мимо
Re: Обсуждаем статью про самбу
Имеется комп, необходимо поднять файловый сервер на фрибсд, задачи:
- авторизация по ip, AD нет в сети, как нет и DHCP. ip у машин-пользователей статические
- доступ по папкам по пользователям (папка all для всех, папки у каждого личные + папки по доступу 3-4 юзера)
- логирование записи, изменения, удаления
- бэкап с архивацией по расписанию
Может ли такое Самба?!Или есть куда проще готовые решения?!
Подскажите мануал где описано данное решение?! Т.к. во всех мануалах подключение к АД с авторизацией через неё же.
Спасибо.
- авторизация по ip, AD нет в сети, как нет и DHCP. ip у машин-пользователей статические
- доступ по папкам по пользователям (папка all для всех, папки у каждого личные + папки по доступу 3-4 юзера)
- логирование записи, изменения, удаления
- бэкап с архивацией по расписанию
Может ли такое Самба?!Или есть куда проще готовые решения?!
Подскажите мануал где описано данное решение?! Т.к. во всех мануалах подключение к АД с авторизацией через неё же.
Спасибо.
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
да может...
hosts allow = 10.0.1.2 10.0.1.3 10.0.1.5 10.0.2.1 добовляем к созданой нами шаре.
насчет бэкапов...то ту уже дело ваше...пишите скрипт и поезали.
маны смотрите http://www.lissyara.su/articles/freebsd/
По вашему параметрам кучу манов в нете.
hosts allow = 10.0.1.2 10.0.1.3 10.0.1.5 10.0.2.1 добовляем к созданой нами шаре.
насчет бэкапов...то ту уже дело ваше...пишите скрипт и поезали.
маны смотрите http://www.lissyara.su/articles/freebsd/
По вашему параметрам кучу манов в нете.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
-
- проходил мимо
Re: Обсуждаем статью про самбу
Господа, такая ситуация.
Сделал, как написано в статье. Все чудесным образом работает, но только до перезагрузки самбы. После этого машина выходит из домена, соответственно, wbinfo -g показывает только локальные группы, шары для доменных пользователей не видны. Приходится повторно вводить в домен командой net join . Но мне кажется, что так быть не должно? Может быть кто-то сталкивался с подобным? Куда смотреть?
Конфиг самбы
Сделал, как написано в статье. Все чудесным образом работает, но только до перезагрузки самбы. После этого машина выходит из домена, соответственно, wbinfo -g показывает только локальные группы, шары для доменных пользователей не видны. Приходится повторно вводить в домен командой net join . Но мне кажется, что так быть не должно? Может быть кто-то сталкивался с подобным? Куда смотреть?
Конфиг самбы
Код: Выделить всё
[global]
dos charset = 866
unix charset = koi8-r
display charset = koi8-r
workgroup = DOMAIN
realm = DOMAIN.LOCAL
server string = VPN shares server
security = ADS
password server = DOMAIN.LOCAL
log level = 1
log file = /var/log/samba/%m.%U.log
max log size = 50000
defer sharing violations = No
wins server = 192.168.101.1
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /shares/mail/%U
template shell = /bin/csh
winbind separator = \
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
admin users = @"DOMAIN\admins", DOMAIN\admin
passdb backend = tdbsam
[printers]
comment = All Printers
path = /var/spool/samba
guest ok = Yes
printable = Yes
use client driver = Yes
browseable = No
browsable = No
[user_data]
comment = Shares for personal users data
path = /var/shares/user_data
admin users = @"DOMAIN\admins", DOMAIN\admin
read only = No
create mask = 0600
directory mask = 0700
force unknown acl user = Yes
locking = No
root preexec = /bin/sh -c '/root/scripts/create_user_data_subdir.sh %U'
vfs objects = recycle, full_audit
full_audit:priority = INFO
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:prefix = share=%S; id=%U; ip=%I -->
recycle:minsize = 1
recycle:versions = Yes
recycle:directory_mode = 0770
recycle:exclude = *.TMP *.tmp
recycle:maxsize = 0
recycle:version = Yes
recycle:touch_mtime = Yes
recycle:touch = Yes
recycle:keeptree = Yes
recycle:repository = /var/shares/trash/%S
[all]
comment = Common share
path = /var/shares/all
admin users = @"DOMAIN\admins", DOMAIN\admin
read list = @"DOMAIN\Domain Users", @"DOMAIN\Everyone", @"DOMAIN\regionalbranches"
write list = @"DOMAIN\Everyone", @"DOMAIN\Domain Users", @"DOMAIN\regionalbranches", @"DOMAIN\tops"
read only = No
create mask = 0660
directory mask = 0770
force unknown acl user = Yes
map acl inherit = Yes
map archive = No
map readonly = no
delete readonly = Yes
vfs objects = recycle, full_audit
full_audit:priority = INFO
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:prefix = share=%S; id=%U; ip=%I -->
recycle:minsize = 1
recycle:versions = Yes
recycle:directory_mode = 0770
recycle:exclude = *.TMP *.tmp
recycle:maxsize = 0
recycle:version = Yes
recycle:touch_mtime = Yes
recycle:touch = Yes
recycle:keeptree = Yes
recycle:repository = /var/shares/trash/%S
[trash]
path = /var/shares/trash
admin users = @"DOMAIN\admins", @"DOMAIN\tops"
read list = @"DOMAIN\admins"
write list = @"DOMAIN\admins"
browseable = No
browsable = No
[printers]
comment = All Printers
path = /var/spool/samba
guest ok = Yes
printable = Yes
use client driver = Yes
browseable = No
browsable = No
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
cd /usr/local/bet/samba? && make showconfig покажи
testparm покажи
Логи самбы покажи
testparm покажи
Логи самбы покажи
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
-
- проходил мимо
Re: Обсуждаем статью про самбу
testparm
log.nmdb
log.wb-DOMAIN
log.winbindd-idmap
cd /usr/ports/net/samba3
В остальных логах самбы ничего любопытного, а вот почему она стала писать No logon servers???? Контроллер домена работает.
Код: Выделить всё
Load smb config files from /usr/local/etc/smb.conf
max_open_files: sysctl_max (11095) below minimum Windows limit (16384)
rlimit_max: rlimit_max (11095) below minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[user_data]"
Processing section "[all]"
Processing section "[trash]"
Processing section "[printers]"
Loaded services file OK.
ERROR: the 'winbind separator' parameter must be a single character.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
dos charset = 866
unix charset = koi8-r
display charset = koi8-r
workgroup = DOMAIN
realm = DOMAIN.LOCAL
server string = VPN shares server
security = DOMAIN
password server = DOMAIN.LOCAL
log level = 1
log file = /var/log/samba/%m.%U.log
max log size = 50000
defer sharing violations = No
wins server = 192.168.101.1
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /shares/mail/%U
template shell = /bin/csh
winbind separator = winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
admin users = @DOMAIN\admins, DOMAIN\s.man, DOMAIN\admin
[printers]
comment = All Printers
path = /var/spool/samba
guest ok = Yes
printable = Yes
use client driver = Yes
browseable = No
browsable = No
[user_data]
comment = Shares for personal users data
path = /var/shares/user_data
admin users = @DOMAIN\admins, DOMAIN\admin
read only = No
create mask = 0600
directory mask = 0700
force unknown acl user = Yes
locking = No
root preexec = /bin/sh -c '/root/scripts/create_user_data_subdir.sh %U'
vfs objects = recycle, full_audit
recycle:repository = /var/shares/trash/%S
recycle:keeptree = Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp
recycle:directory_mode = 0770
recycle:versions = Yes
recycle:minsize = 1
full_audit:prefix = share=%S; id=%U; ip=%I -->
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority = INFO
[all]
comment = Common share
path = /var/shares/all
admin users = @DOMAIN\admins, DOMAIN\admin
read list = "@DOMAIN\Domain Users", @DOMAIN\Everyone, @DOMAIN\regionalbranches
write list = @DOMAIN\Everyone, "@DOMAIN\Domain Users", @DOMAIN\regionalbranches, @DOMAIN\tops
read only = No
create mask = 0660
directory mask = 0770
force unknown acl user = Yes
map acl inherit = Yes
map archive = No
map readonly = no
delete readonly = Yes
vfs objects = recycle, full_audit
recycle:repository = /var/shares/trash/%S
recycle:keeptree = Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp
recycle:directory_mode = 0770
recycle:versions = Yes
recycle:minsize = 1
full_audit:prefix = share=%S; id=%U; ip=%I -->
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority = INFO
[trash]
path = /var/shares/trash
admin users = @DOMAIN\admins, @DOMAIN\tops
read list = @DOMAIN\admins
write list = @DOMAIN\admins
browseable = No
browsable = No
Код: Выделить всё
*****
[2011/04/22 20:45:31, 0] nmbd/nmbd.c:71(terminate)
Got SIGTERM: going down...
[2011/04/22 20:45:43, 0] nmbd/nmbd.c:855(main)
nmbd version 3.4.8 started.
Copyright Andrew Tridgell and the Samba Team 1992-2009
[2011/04/22 20:46:11, 0] nmbd/nmbd_become_lmb.c:395(become_local_master_stage2)
*****
Samba name server REGVPN is now a local master browser for workgroup DOMAIN on subnet 213.xxx.xxx.xxx
Код: Выделить всё
[2011/04/22 20:26:00, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:31:00, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:36:00, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:41:00, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:42:18, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:42:38, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:45:43, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:45:50, 1] winbindd/winbindd_ads.c:127(ads_cached_connection)
ads_connect for domain DOMAIN failed: No logon servers
log.winbindd-idmap
Код: Выделить всё
[2011/04/22 18:02:24, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/22 18:29:42, 1] winbindd/idmap.c:438(idmap_init_passdb_domain)
Could not init passdb idmap domain
[2011/04/22 18:29:43, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/22 18:29:43, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/22 18:29:43, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/22 18:29:43, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/22 20:43:04, 1] winbindd/idmap.c:438(idmap_init_passdb_domain)
Could not init passdb idmap domain
[2011/04/22 20:43:04, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/22 20:43:04, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/22 20:43:04, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/22 20:43:04, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
Код: Выделить всё
|21:35|[samba3] # make showconfig
===> The following configuration options are available for samba-3.0.37_1,1:
LDAP=on "With LDAP support"
ADS=on "With Active Directory support"
CUPS=on "With CUPS printing support"
WINBIND=on "With WinBIND support"
ACL_SUPPORT=on "With ACL support"
AIO_SUPPORT=off "With Asyncronous IO support"
FAM_SUPPORT=off "With File Alteration Monitor"
SYSLOG=on "With Syslog support"
QUOTAS=on "With Disk quota support"
UTMP=on "With UTMP accounting support"
PAM_SMBPASS=off "With PAM authentication vs passdb backends"
CLUSTER=off "With experimental cluster support"
DNSUPDATE=off "With dynamic DNS update(require ADS)"
EXP_MODULES=off "With experimental modules"
POPT=on "With system-wide POPT library"
PCH=on "With precompiled headers optimization"
MAX_DEBUG=off "With maximum debugging"
SMBTORTURE=off "With smbtorture"
===> Use 'make config' to modify these settings
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
Код: Выделить всё
ERROR: the 'winbind separator' parameter must be a single character.
до
Код: Выделить всё
winbind separator = winbind enum users = Yes
Код: Выделить всё
winbind separator = +
winbind enum users = Yes
Код: Выделить всё
winbind refresh tickets = true
Почему именно версию samba-3.0.37_1,1, обновиться не хотите?
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
- Yucatan
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-04-22 22:39:42
- Откуда: Киев
Re: Обсуждаем статью про самбу
Но у меня говорит следующееwinbind separator = +
Код: Выделить всё
#wbinfo --separator
\
Код: Выделить всё
winbind separator = \
Обновление тикета включил, но сути это пока не меняет. При рестарте самбы, шары исчезают до повторного ввода в домен.
Нет, не поднимаю. Думал, что она нужна, чтобы саму машину можно было ввести в виндовый домен.А зачем вы включили поддержку LDAP? Вы поднимаете контролер домена?
Почему именно версию samba-3.0.37_1,1, обновиться не хотите?
Самба именно эта, потому что на тот момент только она и смогла собраться.
Код: Выделить всё
FreeBSD regvpn.domain.local 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Tue Feb 1 19:43:52 MSK 2011 login@regvpn.domain.local:/usr/obj/usr/src/sys/GENERIC i386
- Yucatan
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-04-22 22:39:42
- Откуда: Киев
Re: Обсуждаем статью про самбу
Нет, все-таки самба свежая
Это я че-то не то показал в посте выше, забыл уже, откуда ставил. Вот правильная инфа, хотя смысл тот же.
Код: Выделить всё
# smbstatus
Samba version 3.4.8
PID Username Group Machine
-------------------------------------------------------------------
Service pid machine Connected at
-------------------------------------------------------
No locked files
Код: Выделить всё
|23:24|[samba34] # make showconfig
===> The following configuration options are available for samba34-3.4.8:
LDAP=on "With LDAP support"
ADS=on "With Active Directory support"
CUPS=on "With CUPS printing support"
WINBIND=on "With WinBIND support"
SWAT=on "With SWAT WebGUI"
ACL_SUPPORT=on "With ACL support"
AIO_SUPPORT=off "With Asyncronous IO support"
FAM_SUPPORT=on "With File Alteration Monitor"
SYSLOG=on "With Syslog support"
QUOTAS=on "With Disk quota support"
UTMP=off "With UTMP accounting support"
PAM_SMBPASS=off "With PAM authentication vs passdb backends"
DNSUPDATE=off "With dynamic DNS update(require ADS)"
AVAHI=off "With Bonjour service discovery support"
EXP_MODULES=off "With experimental modules"
POPT=on "With system-wide POPT library"
MAX_DEBUG=on "With maximum debugging"
SMBTORTURE=off "With smbtorture"
===> Use 'make config' to modify these settings
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
если вы не не поднимаете хронилище учетныйх записей пользователей домена, а учетные записи будут храниться на windows 2003 или аналоговой системе...то ldap не нужен.
покажите
/etc/resof.conf
/etc/rc.conf | grep smb
/etc/krb5.conf
klist
покажите
/etc/resof.conf
/etc/rc.conf | grep smb
/etc/krb5.conf
klist
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
- Yucatan
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-04-22 22:39:42
- Откуда: Киев
Re: Обсуждаем статью про самбу
DNS-ы правильные
Не понимаю
Билет получал вчера, он уже истек.
]
Код: Выделить всё
|# cat /etc/resolv.conf
domain domain.local
nameserver 192.168.101.4
nameserver 192.168.101.1
nameserver 213.xxx.xxx.xxx
nameserver 213.xxx.xxx.xxx
Код: Выделить всё
# /etc/rc.conf | grep smb
/etc/rc.conf: Permission denied.
Код: Выделить всё
|# cat /etc/krb5.conf
#
[libdefaults]
default_realm = DOMAIN.LOCAL
ticket_lifetime = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
DOMAIN.LOCAL = {
kdc = DOMAIN.LOCAL
admin_server = DOMAIN.LOCAL
}
[domain_realm]
.DOMAIN.local = DOMAIN.LOCAL
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
[login]
krb4_convert = false
krb4_get_tickets = false
Код: Выделить всё
| # klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@DOMAIN.LOCAL
Issued Expires Principal
Apr 22 17:58:15 >>>Expired<<< krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Учетные записи хранятся на Windows 2008, в принципе поддержка LDAP пока не мешает работе самбы?если вы не не поднимаете хронилище учетныйх записей пользователей домена, а учетные записи будут храниться на windows 2003 или аналоговой системе...то ldap не нужен
]
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
# cat /etc/rc.conf | grep smb
Да LDAP не помешает.
Чуть выше посмотри, я в своих постах указал как сделать , что бы билетик обновлялся автоматически.
Хмм на первый взгляд пока ничего интерестного не нашел. Фривал стоит?
покажи те сам лог самбы /var/log/samba/log.smb как то так...сейчас не могу посмотреть, на рабоет самба поднята.
Так вы перезагружаете машину...и самба у вас отваливаеться, так? Она выходит из домена или не стартует сам сервис?
Да LDAP не помешает.
Чуть выше посмотри, я в своих постах указал как сделать , что бы билетик обновлялся автоматически.
Хмм на первый взгляд пока ничего интерестного не нашел. Фривал стоит?
покажи те сам лог самбы /var/log/samba/log.smb как то так...сейчас не могу посмотреть, на рабоет самба поднята.
Так вы перезагружаете машину...и самба у вас отваливаеться, так? Она выходит из домена или не стартует сам сервис?
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
- Yucatan
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-04-22 22:39:42
- Откуда: Киев
Re: Обсуждаем статью про самбу
Код: Выделить всё
# cat /etc/rc.conf | grep smb
smbd_enable="YES"
Самба стартует, но машина вываливается из домена (wbinfo -u -g ничего не показывают, шары для доменных юзеров недоступны). Как только снова ввожу в домен, шары появляются, wbinfo -u -g показывают доменные группы и юзеров. Это происходит даже и при перезагрузке сервера, и при перезагрузке самой самбыпокажи те сам лог самбы /var/log/samba/log.smb как то так...сейчас не могу посмотреть, на рабоет самба поднята.
Так вы перезагружаете машину...и самба у вас отваливаеться, так? Она выходит из домена или не стартует сам сервис?
Код: Выделить всё
# /usr/local/etc/rc.d/samba stop
# /usr/local/etc/rc.d/samba start
Код: Выделить всё
smbd_enable="YES"
nmbd_enable="YES"
winbindd_enable="YES"
Файрвол есть
Код: Выделить всё
# cat /etc/rc.fire
#!/bin/sh
FwCMD="/sbin/ipfw" # собственно где лежит бинарник ipfw
LanOut="vr0" # внешний интерфейс
LanIn="alc0" # внутренний интерфейс
IpOut="216.xxx.xxx.xxx" # внешний IP адрес машины
IpIn="192.168.101.3" # внутренний IP машины
NetMask="24" # mask
NetMask2="16" # маска сети
NetIn="192.168.101.0" # Внутренняя сеть
vpnNet="10.22.0.0" #vpn Net
# Сбрасываем все правила:
${FwCMD} -f flush
# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state
# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
# anti-hack from outside
${FwCMD} add deny ip from me to any in recv nfe0
# SSH for localhost allow
${FwCMD} add allow tcp from me 22 to any
${FwCMD} add allow tcp from any to me 22
# DNS transfers to world
${FwCMD} add allow udp from me 53 to any
${FwCMD} add allow udp from any to me 53
#${FwCMD} add allow udp from any to me 53 via ng*
# DNS, NTP, SNMPx2, DNSs
${FwCMD} add allow udp from me to any 53,123,137,161
${FwCMD} add allow udp from any 53,123,137,161 to me
# VPN-connect for mpd5
${FwCMD} add allow tcp from me 1723 to any keep-state
${FwCMD} add allow tcp from any to me 1723
# GRE for mpd5
${FwCMD} add allow gre from any to any
# internal VPN-LAN to OUT
${FwCMD} add allow all from ${vpnNet}/${NetMask2} to ${NetIn}/${NetMask}
${FwCMD} add allow all from ${NetIn}/${NetMask} to ${vpnNet}/${NetMask2}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny icmp from any to 255.255.255.255 out via ${LanOut}
# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
#${FwCMD} add divert natd all from ${vpnNet}/${NetMask2} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${vpnNet}/${NetMask2} to any out via ng*
#${FwCMD} add divert natd ip from any to ng* in via ${LanOut}
# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
#${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
#${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow log tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
# FTP & HTTP from this server to world - для самого сервера,
# выход в мир - качать порты, например
${FwCMD} add allow tcp from me to any 20,21,80,443 keep-state
# Passive FTP backports
${FwCMD} add allow tcp from me to any 10000-65535 keep-state
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 10000-65535 via ${LanOut}
# ICQ
${FwCMD} add allow tcp from me to any 5190,5222 setup
#Jabber for region
${FwCMD} add allow tcp from ${vpnNet}/${NetMask2} to any 5190, 5222 setup
#Разрешаем доступ к шарам samba
${FwCMD} add allow tcp from any to me 445 via ${LanOut}
#Allow udp 138 for samba
${FwCMD} add allow udp from me to any 138 via ${LanOut}
# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ng*
# разрешаем весь udp траффик внутри локалки и в сети впн (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ng*
# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ng*
${FwCMD} add deny log logamount 8000 all from any to any
- Yucatan
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-04-22 22:39:42
- Откуда: Киев
Re: Обсуждаем статью про самбу
Вобщем, все пока решилось неспортивным указанием в конфиге самбы вместо
теперь при рестарте самбы ничего не отваливается.
Код: Выделить всё
password server = DOMAIN.LOCAL
Код: Выделить всё
password server = <IP контроллера домена>
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
у вас не сколько доменов?
У меня несколько доменов, если указать свой домен, то он начинает конектиться в чужие домены...пришлось выставить в числовом виде.
У меня несколько доменов, если указать свой домен, то он начинает конектиться в чужие домены...пришлось выставить в числовом виде.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
- Yucatan
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2011-04-22 22:39:42
- Откуда: Киев
Re: Обсуждаем статью про самбу
Домен один, контроллеров два. Причем есть еще третий, который сейчас отключен и ожидает вывода из эксплуатации. Думаю, в нем и кроется корень проблемы. Самба может начинать искать его и не находя сразу отваливается
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: Обсуждаем статью про самбу
да !
Я имел ввиду домен контролеров.
Я имел ввиду домен контролеров.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
- alexco
- старшина
- Сообщения: 426
- Зарегистрирован: 2008-09-27 18:43:49
- Откуда: Россия, Москва
- Контактная информация:
Re: Обсуждаем статью про самбу
Дорогие пользователи, будьте уважительны к читающим, и прикрепляйте объемный текст аттачем, а также старайтесь оформлять текст, чтобы он был читабельным! Иначе такие сообщения рискуют быть незамеченными, или даже удаленными!
Электромонтажная Организация -> elemonorg.ru
-
- ефрейтор
- Сообщения: 60
- Зарегистрирован: 2007-06-19 6:14:24
- Контактная информация:
Re: Обсуждаем статью про самбу
Сделал все как описано в статье на фре 8.1и самбе 3.4.9 Все замечательно работает. Решил проапгрейдить самбу до версии 3.5.6. В результате команды wbinfo -t и -p работают нормально, а wbinfo -g и -u не выдают ничего. Если ввести команду вида id domain_user то получаем сообщение что domain_user отсутствует в домене, хотя это не так.