Samba - Двойной доступ

[Graf]

есть файловая помойка на самба сервере, который является членом домена.
доступ организован на уровне ADS
все замечательно работает уже 2 года, но теперь необходимо организовать доступ к ресурсу 4_WG другому отделу, который ни каким макаром в домен DOM не вхошь, у них обычная рабочая группа.
был поднят дополнительный интерфейс eth2 и выделена сеть 192.168.2.0/24
была создана локальная группа WG, созданы локальные юзвери в группе WG и smb-юзвери аналогичные локальным.
проблем с доменными юзверями нет - они ресурс 4_WG видят и работают, а вот из рабочей группы получают отлуп

Код: Выделить всё

2011/03/23 12:57:31,  3] auth/auth.c:check_ntlm_password(223)
  check_ntlm_password:  mapped user is: [DOM]\[ingener]@[INGENERTD]
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:push_sec_ctx(224)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2011/03/23 12:57:31,  3] smbd/uid.c:push_conn_ctx(407)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:pop_sec_ctx(432)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2011/03/23 12:57:31,  2] auth/auth.c:check_ntlm_password(318)
  check_ntlm_password:  Authentication for user [ingener] -> [ingener] FAILED with error NT_STATUS_NO_SUCH_USER
[2011/03/23 12:57:31,  3] smbd/error.c:error_packet_set(61)
  error packet at smbd/sesssetup.c(127) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2011/03/23 12:57:31,  3] smbd/process.c:smbd_process(2058)
  receive_message_or_smb failed: NT_STATUS_END_OF_FILE, exiting
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2011/03/23 12:57:31,  3] smbd/connection.c:yield_connection(31)
  Yielding connection to
[2011/03/23 12:57:31,  3] smbd/server.c:exit_server_common(953)
  Server exit (normal exit)

естественно ни машина, ни юзверь не в домене и там не будут, а запрос аутентификации идет к контролеру домена.

Код: Выделить всё

# id ingener
uid=10305(ingener) gid=100(users) группы=100(users),10098(wg)
# pdbedit -L -w
ingener:10305:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3BEE47A7E3EC727E40749D5304449168:[U          ]:LCT-4D79BEF1:

вот smb.conf

Код: Выделить всё

[global]
interfaces = eth0 eth2 lo
hosts allow = 192.168.10. 192.168.2. 127.
netbios name = FileServer
workgroup = dom
password server = 192.168.10.1
server string = File Server
security = ADS
realm = DOM
passdb backend = tdbsam
allow trusted domains = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 1
preferred master = No
local master = No
domain master = No
dns proxy = No
ldap ssl = no
strict locking = No
time server = no
auth methods = winbind
encrypt passwords = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
log file = /var/log/samba/log.%m
max log size = 1024
log level = 3
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
nt acl support = yes
printcap name = /etc/printcap
max xmit = 65535
dead time = 15
use sendfile = no
max open files = 65535
kernel oplocks = yes

[4_WG]
comment = files for WG
path = /all/wg
admin users =  @"DOM\администраторы домена", @WG
read only = no
create mask = 1775
directory mask = 1775
printable = no
available = yes
map acl inherit = yes
inherit owner = no
inherit acls = no
inherit permissions = no
acl check permissions = true
acl map full control = true
blocking locks = yes
level2 oplocks = yes
locking = yes
oplocks = yes
strict locking = no
posix locking = yes
browseable = yes
share modes = yes

собственно, как реализовать сабж?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ADRE]

в самбе (прям в мануале ) Есть ключик, который сбрасывает логин и пароль на подключение к ресурсам, скорее всего в политиках подключение анонимуса запрещено, и доступ анонимуса или гостя автоматом запрещён вот, так что надо либо рихтануть политики AD на разрешение доступа к пк для гостя|анонимуса.
либо отключить кеширование логина и пароля у винды, чтоб при подключении всплывало окно для аудентификации.

[snorlov]

Поищите статью как поднять 2-а демона самбы на одном компе, там есть нюансы... Дурачки однако, это я про тех, которые в рабочей группе...

[приколист]

. Дурачки однако, это я про тех, которые в рабочей группе...

А может те, кто в домене?

[ADRE]

Поищите статью как поднять 2-а демона самбы на одном компе, там есть нюансы... Дурачки однако, это я про тех, которые в рабочей группе...

зачем второй? работает и так ))

[Shuba]

А не проще ли создаать Jail (судя по названиям интерфейсов это линух, но у него ааналог вроде был), который подсадить на эту доп-сетевуху, а в нём развернуть вторую самбу с правами рабочей группы???

[ADRE]

А не проще ли создаать Jail (судя по названиям интерфейсов это линух, но у него ааналог вроде был), который подсадить на эту доп-сетевуху, а в нём развернуть вторую самбу с правами рабочей группы???

зачем извращаться через жопу если политики надо смотреть?

[Graf]

при подключении всплывало окно для аудентификации.

пароль запрашивается, но проверка-то идет в домене, а в домене таких юзверей нет - вот и отлуп.
или я что-то не так понял?

[Graf]

Поищите статью как поднять 2-а демона самбы на одном компе, там есть нюансы...

да, про два разных конфига я тоже думал, но чет мне кажется, как-то это не правильно...

Дурачки однако, это я про тех, которые в рабочей группе...

а они ни чего не решают..., руководство, однако..

[Graf]

А не проще ли создаать Jail (судя по названиям интерфейсов это линух, но у него ааналог вроде был),

да это линух, но имхо, два конфига - легче как-то поднять

[ADRE]

при подключении всплывало окно для аудентификации.

пароль запрашивается, но проверка-то идет в домене, а в домене таких юзверей нет - вот и отлуп.
или я что-то не так понял?

Заводишь в домене гостевого пользователя и при коннекте с винды ставишь галочку: запомнить пароль и всё.

[Graf]

Заводишь в домене гостевого пользователя и при коннекте с винды ставишь галочку: запомнить пароль и всё.

а, т.е все из группы будут коннектиться под одним доменным логином?
выход, но чет не айс.....

[ADRE]

Заводишь в домене гостевого пользователя и при коннекте с винды ставишь галочку: запомнить пароль и всё.

а, т.е все из группы будут коннектиться под одним доменным логином?
выход, но чет не айс.....

ну заведи каждому юзера, засунь их в отделльную группу, которые делаются в домене, так сказать гостевая группа... в чём проблемма? мозг айсом заплывает?
--
Иначе, просто засунь их в тот же домен и другую группу и всё. Иначе как самба узнает пользователей которые в группе?

[ADRE]

хммм а попробуй так: создай пользователя в домене, такого же как и локального, только без ввода в домен и главное чтоб те, кто в группе, у них был на учётку, под которой они входят в пк, пароль. В группах такая тема прокатывает... т.е. если на одном пк создать пользоватьеля guest с паролем и расшарить ресурс для доступа этого пользователя и создать на другом пк пользователя с guest с таким же паролем и зайти под ним, то он получит доступ к расшареному ресурсу... как бэ в сетке из 3-4 пк юзалось на ура.

[Graf]

ну заведи каждому юзера, засунь их в отделльную группу, которые делаются в домене, так сказать гостевая группа... в чём проблемма?

в том, что я зациклился на том, что бы организовать все это средствами самбы, а все, что касаемо домена, проста напрочь отмел и забыл!
спасибо, за наставление на путь истинный!

мозг айсом заплывает?

похоже на то.....
иду в баню, айс таить...

зы: а все-таки интересно, средствами самбы можно сие организовать?
или тока двумя демонами с разными конфигами?
(ну вопросы так, для саморазвития)

[ADRE]

ну заведи каждому юзера, засунь их в отделльную группу, которые делаются в домене, так сказать гостевая группа... в чём проблемма?

в том, что я зациклился на том, что бы организовать все это средствами самбы, а все, что касаемо домена, проста напрочь отмел и забыл!
спасибо, за наставление на путь истинный!

мозг айсом заплывает?

похоже на то.....
иду в баню, айс таить...

зы: а все-таки интересно, средствами самбы можно сие организовать?
или тока двумя демонами с разными конфигами?
(ну вопросы так, для саморазвития)

да, если вторая будет хранить пользователей в своей БД или в LDAP, а не в АД, т.к. учётки группы по дефолту хранятся на каждом пк т.к. они локальные. без единого центра хранения учёток - не удобно.