Обсуждаем статью про самбу

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Alex Keda » 2010-12-13 11:06:29

раз в статье нету - значит нигде нету
у меня не осталось доступа к тем серверам
из названия могу потелепатировать что там приведение имени к нижнему регистру и mkdir - больше ничё нету
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1316
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение xM » 2011-01-11 12:46:12

Есть глупый вопрос...
Как на основании этого конфига система узнаёт, что нужно вести лог аудита в файле smbd_audit.log ?
Не нашёл явного указания.
IT voodoo blog https://kostikov.co

xplosn
проходил мимо
Сообщения: 2
Зарегистрирован: 2011-02-03 18:11:54

Re: Обсуждаем статью про самбу

Непрочитанное сообщение xplosn » 2011-02-03 18:39:59

Настроил как в статье, появился вопрос, необходимо включить квотирование - ядро и самба 3.4.8 собраны с квотами,
но! когда пользователь создает файлы на шарах, то овнером указывается root и группа-владелец папки,
хотя wbinfo -u -p -t -g всю информацию отдает
getent passwd возвращает список юзеров с uid и gid из промежутка указанного в smb.conf 10000-20000, например:

Код: Выделить всё

azovceva:*:10056:10014:Анна Азовцева:/data/home/MYDOMAIN/azovceva:/bin/sh
michael:*:10061:10014:Михаил Карпеня:/data/home/MYDOMAIN/michael:/bin/sh
а в логе самбы:
[2011/02/03 18:07:43, 1] smbd/service.c:1063(make_connection_snum)
srv-4 (192.168.21.6) connect to service all initially as user MYDOMAIN\a_xxx (uid=0, gid=10014) (pid 3312)
то есть uid=0?

если в конфиге самбы указать для шары inherit owner=yes то только тогда при создании объектов в подпапках! шары (а не в корне шары) овнер наследуется, но это не выход, поскольку файлы пользователи могут создать и в чужой папке и квота будет чужая

Код: Выделить всё

FreeBSD gw-03.lan.mydomain.ru 8.1-RELEASE FreeBSD 8.1-RELEASE #1: Mon Jan 31 20:50:48 MSK 2011     root@gw-03.mydomain.ru:/usr/obj/usr/src/sys/MYKERNEL  i386
машина в домене, и чего уже не дописывал в конфиг... вот они на всякий:

Код: Выделить всё

gw-03# cat smb.conf
[global]
#unix extensions = no
workgroup = MYDOMAIN
security = ADS
password server = 192.168.1.2
realm = LAN.MYDOMAIN.RU
hosts allow = 192.168.
case sensitive = no

#winbind separator = \\
auth methods = winbind
winbind cache time = 30
idmap uid = 10000-20000
idmap gid = 10000-20000

netbios name = GW-03
server string =
bind interfaces only = Yes
interfaces = rl0
#       log level = 10
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes

display charset = CP1251
unix charset = KOI8-R
dos charset = CP866

template homedir = /data/home/%D/%U
template shell = /bin/sh
admin users     = @"Domain Admins", a_xxx
defer sharing violations = false
winbind enum users = yes
winbind enum groups = yes


[user_data]
comment = Shares for personal users data
path    = /data/user_data
admin users     = "@MYDOMAIN\Domain Admins"
read only       = No
create mask     = 0600
directory mask  = 0700
locking = no
root preexec  = /bin/sh -c '/root/scripts/create_user_data_subdir.sh %U'
force unknown acl user  = yes
# vfs - read `man -k vfs | grep Samba`
vfs object      = recycle full_audit
recycle:repository      = /data/trash/%S
recycle:keeptree= Yes
recycle:touch   = Yes
recycle:touch_mtime     = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp
recycle:directory_mode  = 0770
recycle:versions= Yes
recycle:minsize = 1
full_audit:prefix       = share=%S; id=%U; ip=%I -->
full_audit:success  = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure  = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority     = INFO

[all]
comment =
hosts allow = 192.168.
path    = /data/all
#veto files = /*.mp3/*.mpeg/*.mpg/*.avi/*.mkv/quota.user/quota.group/.snap/
read list       = @"Domain Users"
write list      = @"Domain Users"
admin users     = @"Domain Admins"
read only       = No

    inherit owner = no
    inherit acls = yes
    inherit permissions = yes
    map acl inherit = yes

map archive     = no
map read only   = no
create mask     = 0660
directory mask  = 0770
force unknown acl user  = yes
delete readonly = yes
# vfs - read `man -k vfs | grep Samba`
vfs object      = recycle full_audit
recycle:repository      = /data/trash/%S
recycle:keeptree= Yes
recycle:touch   = Yes
recycle:touch_mtime     = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp *.mp3 *.MP3 *.wma *.WMA *.wmv *.WMV *.avi *.AVI *.mpg *.MPG *.mpeg *.MPEG *.m3u *.M3U
recycle:directory_mode  = 0770
recycle:versions= Yes
recycle:minsize = 1
full_audit:prefix       = share=%S; id=%U; ip=%I -->
full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
full_audit:priority     = INFO

[updates]
comment =
path    = /data/updates
read list       = "@MYDOMAIN\Domain Users"
write list      = "@MYDOMAIN\Domain Admins", MYDOMAIN\kav
admin users     = "@MYDOMAIN\Domain Admins", MYDOMAIN\kav
read only       = No
map acl inherit = yes
map archive     = no
map read only   = no
create mask     = 0660
directory mask  = 0770
force unknown acl user  = yes
delete readonly = yes

[trash]
comment =
path    = /data/trash
read list       = "@MYDOMAIN\Domain Admins"
write list      = "@MYDOMAIN\Domain Admins"
admin users     = "@MYDOMAIN\Domain Admins"
browseable      = no

добавил и это:

Код: Выделить всё

gw-03# cat krb5.conf
[libdefaults]
ticket_lifetime = 86400
default_realm = LAN.MYDOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true

[realms]
LAN.MYDOMAIN.RU = {
    kdc = 192.168.1.2
    kpasswd_server = 192.168.1.2
    admin_server =192.168.1.2
    default_domain = LAN.MYDOMAIN.RU
}
[domain_realm]
.lan.mydomain.ru = LAN.MYDOMAIN.RU
lan.mydomain.ru = LAN.MYDOMAIN.RU

[pam]
debug = false
ticket_lifetime = 86400
renew_lifetime = 86400
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false

[logging]
kdc = FILE:/var/log/kerb/krb5kdc.log
admin_server = FILE:/var/log/kerb/kadmin.log
default = FILE:/var/log/kerb/krb5lib.log

Код: Выделить всё

gw-03# cat nsswitch.conf
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files

Код: Выделить всё

gw-03# pkg_info
autoconf-2.62       Automatically configure source code on many Un*x platforms
autoconf-wrapper-20071109 Wrapper script for GNU autoconf
cups-client-1.4.3   Common UNIX Printing System: Library cups
dmalloc-5.5.2       Portable debug memory allocation library
e2fsprogs-libuuid-1.41.12 UUID library from e2fsprogs package
gamin-0.1.10_4      A file and directory monitoring system
gettext-0.18_1      GNU gettext package
gio-fam-backend-2.24.1_1 FAM backend for GLib's GIO library
glib-2.24.1_1       Some useful routines of C programming (current stable versi
gmake-3.81_4        GNU version of 'make' utility
gnutls-2.8.6_1      GNU Transport Layer Security library
help2man-1.38.2_1   Automatically generating simple manual pages from program o
iconv-2.0_3         Charset conversion library and utilities
iperf-2.0.4         A tool to measure maximum TCP and UDP bandwidth
isc-dhcp41-server-4.1.1.p1,1 The ISC Dynamic Host Configuration Protocol server
libexecinfo-1.1_3   A library for inspecting program's backtrace
libgcrypt-1.4.5_1   General purpose crypto library based on code used in GnuPG
libgpg-error-1.7_1  Common error values for all GnuPG components
libiconv-1.13.1_1   A character set conversion library
libslang2-2.2.2_1   Routines for rapid alpha-numeric terminal applications deve
libtool-2.2.6b      Generic shared library support script
lzo2-2.03_2         Portable speedy, lossless data compression library
m4-1.4.14_1,1       GNU m4
mc-4.7.2_1          Midnight Commander, a free Norton Commander Clone
openldap-client-2.4.23 Open source LDAP client implementation
openvpn-2.1.1_1     Secure IP/Ethernet tunnel daemon
p5-gettext-1.05_3   Message handling functions
pcre-8.02           Perl Compatible Regular Expressions library
perl-5.10.1_1       Practical Extraction and Report Language
pkg-config-0.23_1   A utility to retrieve information about installed libraries
png-1.4.3           Library for manipulating PNG images
popt-1.14_1         A getopt(3) like library with a number of enhancements, fro
python26-2.6.5      An interpreted object-oriented programming language
samba34-3.4.8       A free SMB and CIFS client and server for UNIX
talloc-2.0.1        Hierarchical pool based memory allocator

xplosn
проходил мимо
Сообщения: 2
Зарегистрирован: 2011-02-03 18:11:54

Re: Обсуждаем статью про самбу

Непрочитанное сообщение xplosn » 2011-02-05 15:26:50

отвечу на вопрос сам, дело было в указании директивы для шар, достаточно ее убрать
admin users = "@MYDOMAIN\Domain Admins"

alikmulla
проходил мимо

Re: Обсуждаем статью про самбу

Непрочитанное сообщение alikmulla » 2011-02-10 9:11:11

kos_fist писал(а):Доброго времени суток!
Возникла странная проблемма с установкой samba-3.0.35_1,1 при инсталяции выводит следующее

Код: Выделить всё

[root@gateway /usr/ports/japanese/samba3]# make install clean
===>  ja-samba-3.0.35_1,1 Bad autotool stanza: autoconf:262 autoheader:262.
*** Error code 1

Код: Выделить всё

[root@gateway /usr/ports/japanese/samba3]# pkg_info | grep auto
autoconf-2.68       Automatically configure source code on many Un*x platforms
autoconf-wrapper-20101119 Wrapper script for GNU autoconf
automake-1.11.1     GNU Standards-compliant Makefile generator (1.11)
automake-wrapper-20101119 Wrapper script for GNU automake
bsdpan-autodie-2.10 Fatal - Replace functions with equivalents which succeed or
Гугл вообще ничего не знает даже близко, иль я разучился искать :st:
Прошу помощи! Зарание благодарен)))

Вот решение данной проблемы


if you get "Bad autotool stanza: autoconf:262 autoheader:262" when you 'make install', try this:

vi /usr/ports/net/samba3/Makefile
change the USE_AUTOTOOLS= line to read USE_AUTOTOOLS= autoconf autoheader
save and quit the editor
retry the install

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение ADRE » 2011-02-14 6:02:50

ксате 4 самбу юзает кто?
//del

Аватара пользователя
ADRE
майор
Сообщения: 2645
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение ADRE » 2011-02-14 6:03:33

alikmulla писал(а):
kos_fist писал(а):Доброго времени суток!
Возникла странная проблемма с установкой samba-3.0.35_1,1 при инсталяции выводит следующее

Код: Выделить всё

[root@gateway /usr/ports/japanese/samba3]# make install clean
===>  ja-samba-3.0.35_1,1 Bad autotool stanza: autoconf:262 autoheader:262.
*** Error code 1

Код: Выделить всё

[root@gateway /usr/ports/japanese/samba3]# pkg_info | grep auto
autoconf-2.68       Automatically configure source code on many Un*x platforms
autoconf-wrapper-20101119 Wrapper script for GNU autoconf
automake-1.11.1     GNU Standards-compliant Makefile generator (1.11)
automake-wrapper-20101119 Wrapper script for GNU automake
bsdpan-autodie-2.10 Fatal - Replace functions with equivalents which succeed or
Гугл вообще ничего не знает даже близко, иль я разучился искать :st:
Прошу помощи! Зарание благодарен)))

Вот решение данной проблемы


if you get "Bad autotool stanza: autoconf:262 autoheader:262" when you 'make install', try this:

vi /usr/ports/net/samba3/Makefile
change the USE_AUTOTOOLS= line to read USE_AUTOTOOLS= autoconf autoheader
save and quit the editor
retry the install
Имхо - решение проблемы - обновить порты. и софт на оси соответственно.
//del

Antip
проходил мимо

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Antip » 2011-04-19 11:50:13

Имеется комп, необходимо поднять файловый сервер на фрибсд, задачи:
- авторизация по ip, AD нет в сети, как нет и DHCP. ip у машин-пользователей статические
- доступ по папкам по пользователям (папка all для всех, папки у каждого личные + папки по доступу 3-4 юзера)
- логирование записи, изменения, удаления
- бэкап с архивацией по расписанию

Может ли такое Самба?!Или есть куда проще готовые решения?!
Подскажите мануал где описано данное решение?! Т.к. во всех мануалах подключение к АД с авторизацией через неё же.
Спасибо.

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-20 22:02:02

да может...
hosts allow = 10.0.1.2 10.0.1.3 10.0.1.5 10.0.2.1 добовляем к созданой нами шаре.
насчет бэкапов...то ту уже дело ваше...пишите скрипт и поезали.
маны смотрите http://www.lissyara.su/articles/freebsd/
По вашему параметрам кучу манов в нете.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Yucatan
проходил мимо

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-22 18:35:35

Господа, такая ситуация.
Сделал, как написано в статье. Все чудесным образом работает, но только до перезагрузки самбы. После этого машина выходит из домена, соответственно, wbinfo -g показывает только локальные группы, шары для доменных пользователей не видны. Приходится повторно вводить в домен командой net join . Но мне кажется, что так быть не должно? Может быть кто-то сталкивался с подобным? Куда смотреть?
Конфиг самбы

Код: Выделить всё

[global]
	dos charset = 866
	unix charset = koi8-r
	display charset = koi8-r
	workgroup = DOMAIN
	realm = DOMAIN.LOCAL
	server string = VPN shares server
	security = ADS
	password server = DOMAIN.LOCAL
	log level = 1
	log file = /var/log/samba/%m.%U.log
	max log size = 50000
	defer sharing violations = No
	wins server = 192.168.101.1
	idmap uid = 10000-20000
	idmap gid = 10000-20000
	template homedir = /shares/mail/%U
	template shell = /bin/csh
	winbind separator = \
	winbind enum users = Yes
	winbind enum groups = Yes
	winbind use default domain = Yes
	admin users = @"DOMAIN\admins", DOMAIN\admin
	passdb backend = tdbsam
[printers]
	comment = All Printers
	path = /var/spool/samba
	guest ok = Yes
	printable = Yes
	use client driver = Yes
	browseable = No
	browsable = No

[user_data]
	comment = Shares for personal users data
	path = /var/shares/user_data
	admin users = @"DOMAIN\admins", DOMAIN\admin
	read only = No
	create mask = 0600
	directory mask = 0700
	force unknown acl user = Yes
	locking = No
	root preexec = /bin/sh -c '/root/scripts/create_user_data_subdir.sh %U'
	vfs objects = recycle, full_audit
	full_audit:priority = INFO
	full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
	full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
	full_audit:prefix = share=%S; id=%U; ip=%I -->
	recycle:minsize = 1
	recycle:versions = Yes
	recycle:directory_mode = 0770
	recycle:exclude = *.TMP *.tmp
	recycle:maxsize = 0
	recycle:version = Yes
	recycle:touch_mtime = Yes
	recycle:touch = Yes
	recycle:keeptree = Yes
	recycle:repository = /var/shares/trash/%S

[all]
	comment = Common share
	path = /var/shares/all
	admin users = @"DOMAIN\admins", DOMAIN\admin
	read list = @"DOMAIN\Domain Users", @"DOMAIN\Everyone", @"DOMAIN\regionalbranches"
	write list = @"DOMAIN\Everyone", @"DOMAIN\Domain Users", @"DOMAIN\regionalbranches", @"DOMAIN\tops"
	read only = No
	create mask = 0660
	directory mask = 0770
	force unknown acl user = Yes
	map acl inherit = Yes
	map archive = No
	map readonly = no
	delete readonly = Yes
	vfs objects = recycle, full_audit
	full_audit:priority = INFO
	full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
	full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
	full_audit:prefix = share=%S; id=%U; ip=%I -->
	recycle:minsize = 1
	recycle:versions = Yes
	recycle:directory_mode = 0770
	recycle:exclude = *.TMP *.tmp
	recycle:maxsize = 0
	recycle:version = Yes
	recycle:touch_mtime = Yes
	recycle:touch = Yes
	recycle:keeptree = Yes
	recycle:repository = /var/shares/trash/%S

[trash]
	path = /var/shares/trash
	admin users = @"DOMAIN\admins", @"DOMAIN\tops"
	read list = @"DOMAIN\admins"
	write list = @"DOMAIN\admins"
	browseable = No
	browsable = No

[printers]
	comment = All Printers
	path = /var/spool/samba
	guest ok = Yes
	printable = Yes
	use client driver = Yes
	browseable = No
	browsable = No


Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-22 18:47:19

cd /usr/local/bet/samba? && make showconfig покажи
testparm покажи
Логи самбы покажи
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Yucatan
проходил мимо

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-22 21:37:48

testparm

Код: Выделить всё

Load smb config files from /usr/local/etc/smb.conf
max_open_files: sysctl_max (11095) below minimum Windows limit (16384)
rlimit_max: rlimit_max (11095) below minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[user_data]"
Processing section "[all]"
Processing section "[trash]"
Processing section "[printers]"
Loaded services file OK.
ERROR: the 'winbind separator' parameter must be a single character.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        dos charset = 866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = DOMAIN
        realm = DOMAIN.LOCAL
        server string = VPN shares server
        security = DOMAIN
        password server = DOMAIN.LOCAL
        log level = 1
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        defer sharing violations = No
        wins server = 192.168.101.1
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /shares/mail/%U
        template shell = /bin/csh
        winbind separator =     winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        admin users = @DOMAIN\admins, DOMAIN\s.man, DOMAIN\admin

[printers]
        comment = All Printers
        path = /var/spool/samba
        guest ok = Yes
        printable = Yes
        use client driver = Yes
        browseable = No
        browsable = No

[user_data]
        comment = Shares for personal users data
        path = /var/shares/user_data
        admin users = @DOMAIN\admins, DOMAIN\admin
        read only = No
        create mask = 0600
        directory mask = 0700
        force unknown acl user = Yes
        locking = No
        root preexec = /bin/sh -c '/root/scripts/create_user_data_subdir.sh %U'
        vfs objects = recycle, full_audit
        recycle:repository = /var/shares/trash/%S
        recycle:keeptree = Yes
        recycle:touch = Yes
        recycle:touch_mtime = Yes
        recycle:version = Yes
        recycle:maxsize = 0
        recycle:exclude = *.TMP *.tmp
        recycle:directory_mode = 0770
        recycle:versions = Yes
        recycle:minsize = 1
        full_audit:prefix = share=%S; id=%U; ip=%I -->
        full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:priority = INFO

[all]
        comment = Common share
        path = /var/shares/all
        admin users = @DOMAIN\admins, DOMAIN\admin
        read list = "@DOMAIN\Domain Users", @DOMAIN\Everyone, @DOMAIN\regionalbranches
        write list = @DOMAIN\Everyone, "@DOMAIN\Domain Users", @DOMAIN\regionalbranches, @DOMAIN\tops
        read only = No
        create mask = 0660
        directory mask = 0770
        force unknown acl user = Yes
        map acl inherit = Yes
        map archive = No
        map readonly = no
        delete readonly = Yes
        vfs objects = recycle, full_audit
        recycle:repository = /var/shares/trash/%S
        recycle:keeptree = Yes
        recycle:touch = Yes
        recycle:touch_mtime = Yes
        recycle:version = Yes
        recycle:maxsize = 0
        recycle:exclude = *.TMP *.tmp
        recycle:directory_mode = 0770
        recycle:versions = Yes
        recycle:minsize = 1
        full_audit:prefix = share=%S; id=%U; ip=%I -->
        full_audit:success = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:failure = unlink rmdir mkdir write rename write aio_write pwrite
        full_audit:priority = INFO

[trash]
        path = /var/shares/trash
        admin users = @DOMAIN\admins, @DOMAIN\tops
        read list = @DOMAIN\admins
        write list = @DOMAIN\admins
        browseable = No
        browsable = No
log.nmdb

Код: Выделить всё

  *****
[2011/04/22 20:45:31,  0] nmbd/nmbd.c:71(terminate)
  Got SIGTERM: going down...
[2011/04/22 20:45:43,  0] nmbd/nmbd.c:855(main)
  nmbd version 3.4.8 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2011/04/22 20:46:11,  0] nmbd/nmbd_become_lmb.c:395(become_local_master_stage2)
  *****
  
  Samba name server REGVPN is now a local master browser for workgroup DOMAIN on subnet 213.xxx.xxx.xxx
log.wb-DOMAIN

Код: Выделить всё

[2011/04/22 20:26:00,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:31:00,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:36:00,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:41:00,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:42:18,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:42:38,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:45:43,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers
[2011/04/22 20:45:50,  1] winbindd/winbindd_ads.c:127(ads_cached_connection)
  ads_connect for domain DOMAIN failed: No logon servers


log.winbindd-idmap

Код: Выделить всё

[2011/04/22 18:02:24,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/22 18:29:42,  1] winbindd/idmap.c:438(idmap_init_passdb_domain)
  Could not init passdb idmap domain
[2011/04/22 18:29:43,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/22 18:29:43,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/22 18:29:43,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/22 18:29:43,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/22 20:43:04,  1] winbindd/idmap.c:438(idmap_init_passdb_domain)
  Could not init passdb idmap domain
[2011/04/22 20:43:04,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/22 20:43:04,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/22 20:43:04,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/22 20:43:04,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
cd /usr/ports/net/samba3

Код: Выделить всё

|21:35|[samba3] # make showconfig
===> The following configuration options are available for samba-3.0.37_1,1:
     LDAP=on "With LDAP support"
     ADS=on "With Active Directory support"
     CUPS=on "With CUPS printing support"
     WINBIND=on "With WinBIND support"
     ACL_SUPPORT=on "With ACL support"
     AIO_SUPPORT=off "With Asyncronous IO support"
     FAM_SUPPORT=off "With File Alteration Monitor"
     SYSLOG=on "With Syslog support"
     QUOTAS=on "With Disk quota support"
     UTMP=on "With UTMP accounting support"
     PAM_SMBPASS=off "With PAM authentication vs passdb backends"
     CLUSTER=off "With experimental cluster support"
     DNSUPDATE=off "With dynamic DNS update(require ADS)"
     EXP_MODULES=off "With experimental modules"
     POPT=on "With system-wide POPT library"
     PCH=on "With precompiled headers optimization"
     MAX_DEBUG=off "With maximum debugging"
     SMBTORTURE=off "With smbtorture"
===> Use 'make config' to modify these settings
В остальных логах самбы ничего любопытного, а вот почему она стала писать No logon servers???? Контроллер домена работает.

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-22 22:35:44

Код: Выделить всё

ERROR: the 'winbind separator' parameter must be a single character.
исправте разделитель.
до

Код: Выделить всё

winbind separator =     winbind enum users = Yes
после

Код: Выделить всё

winbind separator = + 
winbind enum users = Yes
если используеться домен. то я бы довтдил еще обновление тикета , тоесть билеьтика.

Код: Выделить всё

winbind refresh tickets = true
А зачем вы включили поддержку LDAP? Вы поднимаете контролер домена?
Почему именно версию samba-3.0.37_1,1, обновиться не хотите?
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Аватара пользователя
Yucatan
проходил мимо
Сообщения: 7
Зарегистрирован: 2011-04-22 22:39:42
Откуда: Киев

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-22 22:52:41

winbind separator = +
Но у меня говорит следующее

Код: Выделить всё

#wbinfo --separator 
\
В конфиге написано

Код: Выделить всё

winbind separator = \
Но самба на это как-то превратно реагирует
Обновление тикета включил, но сути это пока не меняет. При рестарте самбы, шары исчезают до повторного ввода в домен.
А зачем вы включили поддержку LDAP? Вы поднимаете контролер домена?
Почему именно версию samba-3.0.37_1,1, обновиться не хотите?
Нет, не поднимаю. Думал, что она нужна, чтобы саму машину можно было ввести в виндовый домен.
Самба именно эта, потому что на тот момент только она и смогла собраться.

Код: Выделить всё

FreeBSD regvpn.domain.local 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Tue Feb  1 19:43:52 MSK 2011     login@regvpn.domain.local:/usr/obj/usr/src/sys/GENERIC  i386
Какую вы посоветуете для обновления?

Аватара пользователя
Yucatan
проходил мимо
Сообщения: 7
Зарегистрирован: 2011-04-22 22:39:42
Откуда: Киев

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-22 23:22:37

Нет, все-таки самба свежая

Код: Выделить всё

 # smbstatus

Samba version 3.4.8
PID     Username      Group         Machine
-------------------------------------------------------------------

Service      pid     machine       Connected at
-------------------------------------------------------

No locked files
Это я че-то не то показал в посте выше, забыл уже, откуда ставил. Вот правильная инфа, хотя смысл тот же.

Код: Выделить всё

|23:24|[samba34] # make showconfig
===> The following configuration options are available for samba34-3.4.8:
     LDAP=on "With LDAP support"
     ADS=on "With Active Directory support"
     CUPS=on "With CUPS printing support"
     WINBIND=on "With WinBIND support"
     SWAT=on "With SWAT WebGUI"
     ACL_SUPPORT=on "With ACL support"
     AIO_SUPPORT=off "With Asyncronous IO support"
     FAM_SUPPORT=on "With File Alteration Monitor"
     SYSLOG=on "With Syslog support"
     QUOTAS=on "With Disk quota support"
     UTMP=off "With UTMP accounting support"
     PAM_SMBPASS=off "With PAM authentication vs passdb backends"
     DNSUPDATE=off "With dynamic DNS update(require ADS)"
     AVAHI=off "With Bonjour service discovery support"
     EXP_MODULES=off "With experimental modules"
     POPT=on "With system-wide POPT library"
     MAX_DEBUG=on "With maximum debugging"
     SMBTORTURE=off "With smbtorture"
===> Use 'make config' to modify these settings

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-23 9:30:36

если вы не не поднимаете хронилище учетныйх записей пользователей домена, а учетные записи будут храниться на windows 2003 или аналоговой системе...то ldap не нужен.
покажите
/etc/resof.conf
/etc/rc.conf | grep smb
/etc/krb5.conf
klist
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Аватара пользователя
Yucatan
проходил мимо
Сообщения: 7
Зарегистрирован: 2011-04-22 22:39:42
Откуда: Киев

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-23 11:25:20

DNS-ы правильные

Код: Выделить всё

|# cat /etc/resolv.conf
domain domain.local
nameserver 192.168.101.4
nameserver 192.168.101.1
nameserver 213.xxx.xxx.xxx
nameserver 213.xxx.xxx.xxx
Не понимаю

Код: Выделить всё

 # /etc/rc.conf | grep smb
/etc/rc.conf: Permission denied.

Код: Выделить всё

|# cat /etc/krb5.conf
#
[libdefaults]
    default_realm = DOMAIN.LOCAL
    ticket_lifetime = 24h
    dns_lookup_realm = false
    dns_lookup_kdc = false
    kdc_req_checksum_type = 2
    checksum_type = 2
    ccache_type = 1
    forwardable = true
    proxiable = true
[realms]
    DOMAIN.LOCAL = {
        kdc = DOMAIN.LOCAL
        admin_server = DOMAIN.LOCAL
    }
[domain_realm]
    .DOMAIN.local = DOMAIN.LOCAL
[pam]
    debug = false
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true
    krb4_convert = false
[logging]
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmin.log
    default = FILE:/var/log/krb5lib.log
[login]
    krb4_convert = false
    krb4_get_tickets = false
Билет получал вчера, он уже истек.

Код: Выделить всё

| # klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@DOMAIN.LOCAL

  Issued           Expires        Principal
Apr 22 17:58:15  >>>Expired<<<  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
если вы не не поднимаете хронилище учетныйх записей пользователей домена, а учетные записи будут храниться на windows 2003 или аналоговой системе...то ldap не нужен
Учетные записи хранятся на Windows 2008, в принципе поддержка LDAP пока не мешает работе самбы?
]

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-23 11:43:25

# cat /etc/rc.conf | grep smb
Да LDAP не помешает.
Чуть выше посмотри, я в своих постах указал как сделать , что бы билетик обновлялся автоматически.
Хмм на первый взгляд пока ничего интерестного не нашел. Фривал стоит?
покажи те сам лог самбы /var/log/samba/log.smb как то так...сейчас не могу посмотреть, на рабоет самба поднята.
Так вы перезагружаете машину...и самба у вас отваливаеться, так? Она выходит из домена или не стартует сам сервис?
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Аватара пользователя
Yucatan
проходил мимо
Сообщения: 7
Зарегистрирован: 2011-04-22 22:39:42
Откуда: Киев

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-23 12:09:02

Код: Выделить всё

# cat /etc/rc.conf | grep smb
smbd_enable="YES"
Я прописал в конфиге самбы получать билет автоматически, но это, видимо, не срабатывает. Либо еще время не прошло.
покажи те сам лог самбы /var/log/samba/log.smb как то так...сейчас не могу посмотреть, на рабоет самба поднята.
Так вы перезагружаете машину...и самба у вас отваливаеться, так? Она выходит из домена или не стартует сам сервис?
Самба стартует, но машина вываливается из домена (wbinfo -u -g ничего не показывают, шары для доменных юзеров недоступны). Как только снова ввожу в домен, шары появляются, wbinfo -u -g показывают доменные группы и юзеров. Это происходит даже и при перезагрузке сервера, и при перезагрузке самой самбы

Код: Выделить всё

# /usr/local/etc/rc.d/samba stop
# /usr/local/etc/rc.d/samba start
Самба запускается следующим образом

Код: Выделить всё

smbd_enable="YES"
nmbd_enable="YES"
winbindd_enable="YES"
Соответственно, есть логи в /var/log/samba34 log.nmbd, log.smbd,log.winbind, log.wbinfo,log.winbind-idmap,log.winbind-dc-connect,log.wb-DOMAIN и еще несколько. Просто Log.smb нет. Есть еще логи по IP адресам в папке /var/log/samba
Файрвол есть

Код: Выделить всё

 # cat /etc/rc.fire

#!/bin/sh

FwCMD="/sbin/ipfw"      # собственно где лежит бинарник ipfw
LanOut="vr0"            # внешний интерфейс
LanIn="alc0"            # внутренний интерфейс
IpOut="216.xxx.xxx.xxx" # внешний IP адрес машины
IpIn="192.168.101.3"    # внутренний IP машины
NetMask="24"            # mask
NetMask2="16"           # маска сети
NetIn="192.168.101.0"   # Внутренняя сеть
vpnNet="10.22.0.0"      #vpn Net

# Сбрасываем все правила:
${FwCMD} -f flush

# Проверяем - соответствует ли пакет динамическим правилам:
${FwCMD} add check-state

# Разрешаем весь траффик по внутреннему интерфейсу (петле)
# Вообще я во многих местах читал что без него может ничё не заработать вообще
# и прочие страшилки. Работает - почта, апач, .... А вот squid - не работает :)
# так что без него и правда - никуда.
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any

# anti-hack from outside
${FwCMD} add deny ip from me to any in recv nfe0

# SSH for localhost allow
${FwCMD} add allow tcp from me 22 to any
${FwCMD} add allow tcp from any to me 22

# DNS transfers to world
${FwCMD} add allow udp from me 53 to any
${FwCMD} add allow udp from any to me 53
#${FwCMD} add allow udp from any to me 53 via ng*

# DNS, NTP, SNMPx2, DNSs
${FwCMD} add allow udp from me to any 53,123,137,161
${FwCMD} add allow udp from any 53,123,137,161 to me

# VPN-connect for mpd5
${FwCMD} add allow tcp from me 1723 to any keep-state
${FwCMD} add allow tcp from any to me 1723
# GRE for mpd5
${FwCMD} add allow gre from any to any

# internal VPN-LAN to OUT
${FwCMD} add allow all from ${vpnNet}/${NetMask2} to ${NetIn}/${NetMask}
${FwCMD} add allow all from ${NetIn}/${NetMask} to ${vpnNet}/${NetMask2}


${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
# рубим фрагментированные icmp
${FwCMD} add deny icmp from any to any frag
# рубим широковещательные icmp на внешнем интерфейсе
${FwCMD} add deny icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny icmp from any to 255.255.255.255 out via ${LanOut}

# пропускаем траффик через трансляцию сетевых адресов (NAT)
${FwCMD} add divert natd ip from ${NetIn} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
#${FwCMD} add divert natd all from ${vpnNet}/${NetMask2} to any out via ${LanOut}
${FwCMD} add divert natd ip from ${vpnNet}/${NetMask2} to any out via ng*
#${FwCMD} add divert natd ip from any to ng* in via ${LanOut}

# рубим траффик к частным сетям через внешний интерфейс
# заметтьте - эти правила отличаются от тех что были выше!
#${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
#${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
#${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
# рубим автоконфигуреную частную сеть
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
# рубаем мультикастовые рассылки
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}

# разрешаем все установленные соединения (если они установились -
# значит по каким-то правилам они проходили.)
${FwCMD} add allow log tcp from any to any established
# разрешаем весь исходящий траффик (серверу-то в инет можно? :))
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}


# FTP & HTTP from this server to world - для самого сервера,
# выход в мир - качать порты, например
${FwCMD} add allow tcp from me to any 20,21,80,443 keep-state
# Passive FTP backports
${FwCMD} add allow tcp from me to any 10000-65535 keep-state


${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 10000-65535 via ${LanOut}

# ICQ
${FwCMD} add allow tcp from me to any 5190,5222 setup
#Jabber for region
${FwCMD} add allow tcp from ${vpnNet}/${NetMask2} to any 5190, 5222 setup

#Разрешаем доступ к шарам samba
${FwCMD} add allow tcp from any to me 445 via ${LanOut}
#Allow udp 138 for samba
${FwCMD} add allow udp from me to any 138 via ${LanOut}


# разрешаем весь tcp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ng*

# разрешаем весь udp траффик внутри локалки и в сети впн (на внутреннем интерфейсе)
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ng*

# разрешаем весь icmp траффик внутри локалки (на внутреннем интерфейсе)
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ng*

${FwCMD} add deny log logamount 8000 all from any to any

Аватара пользователя
Yucatan
проходил мимо
Сообщения: 7
Зарегистрирован: 2011-04-22 22:39:42
Откуда: Киев

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-23 12:30:30

Вобщем, все пока решилось неспортивным указанием в конфиге самбы вместо

Код: Выделить всё

password server = DOMAIN.LOCAL

Код: Выделить всё

password server = <IP контроллера домена>
теперь при рестарте самбы ничего не отваливается.

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-23 15:29:55

у вас не сколько доменов?
У меня несколько доменов, если указать свой домен, то он начинает конектиться в чужие домены...пришлось выставить в числовом виде.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Аватара пользователя
Yucatan
проходил мимо
Сообщения: 7
Зарегистрирован: 2011-04-22 22:39:42
Откуда: Киев

Re: Обсуждаем статью про самбу

Непрочитанное сообщение Yucatan » 2011-04-23 16:04:40

Домен один, контроллеров два. Причем есть еще третий, который сейчас отключен и ожидает вывода из эксплуатации. Думаю, в нем и кроется корень проблемы. Самба может начинать искать его и не находя сразу отваливается

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение bagas » 2011-04-23 16:11:45

да !
Я имел ввиду домен контролеров.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

Аватара пользователя
alexco
старшина
Сообщения: 426
Зарегистрирован: 2008-09-27 18:43:49
Откуда: Россия, Москва
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение alexco » 2011-04-23 20:37:16

Дорогие пользователи, будьте уважительны к читающим, и прикрепляйте объемный текст аттачем, а также старайтесь оформлять текст, чтобы он был читабельным! Иначе такие сообщения рискуют быть незамеченными, или даже удаленными!
Электромонтажная Организация -> elemonorg.ru

ymsssg
ефрейтор
Сообщения: 60
Зарегистрирован: 2007-06-19 6:14:24
Контактная информация:

Re: Обсуждаем статью про самбу

Непрочитанное сообщение ymsssg » 2011-06-01 10:28:32

Сделал все как описано в статье на фре 8.1и самбе 3.4.9 Все замечательно работает. Решил проапгрейдить самбу до версии 3.5.6. В результате команды wbinfo -t и -p работают нормально, а wbinfo -g и -u не выдают ничего. Если ввести команду вида id domain_user то получаем сообщение что domain_user отсутствует в домене, хотя это не так.