Samba - Двойной доступ

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Samba - Двойной доступ

Непрочитанное сообщение Graf » 2011-03-25 12:48:33

есть файловая помойка на самба сервере, который является членом домена.
доступ организован на уровне ADS
все замечательно работает уже 2 года, но теперь необходимо организовать доступ к ресурсу 4_WG другому отделу, который ни каким макаром в домен DOM не вхошь, у них обычная рабочая группа.
был поднят дополнительный интерфейс eth2 и выделена сеть 192.168.2.0/24
была создана локальная группа WG, созданы локальные юзвери в группе WG и smb-юзвери аналогичные локальным.
проблем с доменными юзверями нет - они ресурс 4_WG видят и работают, а вот из рабочей группы получают отлуп

Код: Выделить всё

2011/03/23 12:57:31,  3] auth/auth.c:check_ntlm_password(223)
  check_ntlm_password:  mapped user is: [DOM]\[ingener]@[INGENERTD]
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:push_sec_ctx(224)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2011/03/23 12:57:31,  3] smbd/uid.c:push_conn_ctx(407)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:pop_sec_ctx(432)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2011/03/23 12:57:31,  2] auth/auth.c:check_ntlm_password(318)
  check_ntlm_password:  Authentication for user [ingener] -> [ingener] FAILED with error NT_STATUS_NO_SUCH_USER
[2011/03/23 12:57:31,  3] smbd/error.c:error_packet_set(61)
  error packet at smbd/sesssetup.c(127) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2011/03/23 12:57:31,  3] smbd/process.c:smbd_process(2058)
  receive_message_or_smb failed: NT_STATUS_END_OF_FILE, exiting
[2011/03/23 12:57:31,  3] smbd/sec_ctx.c:set_sec_ctx(324)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2011/03/23 12:57:31,  3] smbd/connection.c:yield_connection(31)
  Yielding connection to
[2011/03/23 12:57:31,  3] smbd/server.c:exit_server_common(953)
  Server exit (normal exit)
естественно ни машина, ни юзверь не в домене и там не будут, а запрос аутентификации идет к контролеру домена.

Код: Выделить всё

# id ingener
uid=10305(ingener) gid=100(users) группы=100(users),10098(wg)
# pdbedit -L -w
ingener:10305:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3BEE47A7E3EC727E40749D5304449168:[U          ]:LCT-4D79BEF1:
вот smb.conf

Код: Выделить всё

[global]
interfaces = eth0 eth2 lo
hosts allow = 192.168.10. 192.168.2. 127.
netbios name = FileServer
workgroup = dom
password server = 192.168.10.1
server string = File Server
security = ADS
realm = DOM
passdb backend = tdbsam
allow trusted domains = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 1
preferred master = No
local master = No
domain master = No
dns proxy = No
ldap ssl = no
strict locking = No
time server = no
auth methods = winbind
encrypt passwords = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
log file = /var/log/samba/log.%m
max log size = 1024
log level = 3
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
nt acl support = yes
printcap name = /etc/printcap
max xmit = 65535
dead time = 15
use sendfile = no
max open files = 65535
kernel oplocks = yes

[4_WG]
comment = files for WG
path = /all/wg
admin users =  @"DOM\администраторы домена", @WG
read only = no
create mask = 1775
directory mask = 1775
printable = no
available = yes
map acl inherit = yes
inherit owner = no
inherit acls = no
inherit permissions = no
acl check permissions = true
acl map full control = true
blocking locks = yes
level2 oplocks = yes
locking = yes
oplocks = yes
strict locking = no
posix locking = yes
browseable = yes
share modes = yes
собственно, как реализовать сабж?
С кем поведешься - так тебе и надо!
http://slackware.su

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-25 14:59:11

в самбе (прям в мануале ) Есть ключик, который сбрасывает логин и пароль на подключение к ресурсам, скорее всего в политиках подключение анонимуса запрещено, и доступ анонимуса или гостя автоматом запрещён вот, так что надо либо рихтануть политики AD на разрешение доступа к пк для гостя|анонимуса.
либо отключить кеширование логина и пароля у винды, чтоб при подключении всплывало окно для аудентификации.
//del

snorlov
подполковник
Сообщения: 3893
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba - Двойной доступ

Непрочитанное сообщение snorlov » 2011-03-25 15:21:36

Поищите статью как поднять 2-а демона самбы на одном компе, там есть нюансы... Дурачки однако, это я про тех, которые в рабочей группе...

приколист
проходил мимо

Re: Samba - Двойной доступ

Непрочитанное сообщение приколист » 2011-03-25 18:01:43

snorlov писал(а):. Дурачки однако, это я про тех, которые в рабочей группе...
А может те, кто в домене?

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-26 8:26:18

snorlov писал(а):Поищите статью как поднять 2-а демона самбы на одном компе, там есть нюансы... Дурачки однако, это я про тех, которые в рабочей группе...
зачем второй? работает и так =)))
//del

Аватара пользователя
Shuba
ст. сержант
Сообщения: 365
Зарегистрирован: 2008-03-25 10:58:21
Откуда: Минск
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение Shuba » 2011-03-26 18:02:43

А не проще ли создаать Jail (судя по названиям интерфейсов это линух, но у него ааналог вроде был), который подсадить на эту доп-сетевуху, а в нём развернуть вторую самбу с правами рабочей группы???
Сила ночи, сила дня - одинакова фигня!

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-28 7:12:59

Shuba писал(а):А не проще ли создаать Jail (судя по названиям интерфейсов это линух, но у него ааналог вроде был), который подсадить на эту доп-сетевуху, а в нём развернуть вторую самбу с правами рабочей группы???
зачем извращаться через жопу если политики надо смотреть?
//del

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение Graf » 2011-03-28 8:14:38

ADRE писал(а): при подключении всплывало окно для аудентификации.
пароль запрашивается, но проверка-то идет в домене, а в домене таких юзверей нет - вот и отлуп.
или я что-то не так понял?
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение Graf » 2011-03-28 8:18:50

snorlov писал(а):Поищите статью как поднять 2-а демона самбы на одном компе, там есть нюансы...
да, про два разных конфига я тоже думал, но чет мне кажется, как-то это не правильно...
Дурачки однако, это я про тех, которые в рабочей группе...
а они ни чего не решают..., руководство, однако..
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение Graf » 2011-03-28 8:30:08

Shuba писал(а):А не проще ли создаать Jail (судя по названиям интерфейсов это линух, но у него ааналог вроде был),
да это линух, но имхо, два конфига - легче как-то поднять :)
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-28 14:02:31

Graf писал(а):
ADRE писал(а): при подключении всплывало окно для аудентификации.
пароль запрашивается, но проверка-то идет в домене, а в домене таких юзверей нет - вот и отлуп.
или я что-то не так понял?
Заводишь в домене гостевого пользователя и при коннекте с винды ставишь галочку: запомнить пароль и всё.
//del

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение Graf » 2011-03-28 14:23:33

ADRE писал(а):Заводишь в домене гостевого пользователя и при коннекте с винды ставишь галочку: запомнить пароль и всё.
а, т.е все из группы будут коннектиться под одним доменным логином?
выход, но чет не айс.....
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-28 14:58:11

Graf писал(а):
ADRE писал(а):Заводишь в домене гостевого пользователя и при коннекте с винды ставишь галочку: запомнить пароль и всё.
а, т.е все из группы будут коннектиться под одним доменным логином?
выход, но чет не айс.....
ну заведи каждому юзера, засунь их в отделльную группу, которые делаются в домене, так сказать гостевая группа... в чём проблемма? мозг айсом заплывает?
--
Иначе, просто засунь их в тот же домен и другую группу и всё. Иначе как самба узнает пользователей которые в группе?
//del

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-28 15:13:26

хммм а попробуй так: создай пользователя в домене, такого же как и локального, только без ввода в домен и главное чтоб те, кто в группе, у них был на учётку, под которой они входят в пк, пароль. В группах такая тема прокатывает... т.е. если на одном пк создать пользоватьеля guest с паролем и расшарить ресурс для доступа этого пользователя и создать на другом пк пользователя с guest с таким же паролем и зайти под ним, то он получит доступ к расшареному ресурсу... как бэ в сетке из 3-4 пк юзалось на ура.
//del

Аватара пользователя
Graf
сержант
Сообщения: 205
Зарегистрирован: 2008-10-29 18:44:32
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение Graf » 2011-03-29 6:34:44

ADRE писал(а): ну заведи каждому юзера, засунь их в отделльную группу, которые делаются в домене, так сказать гостевая группа... в чём проблемма?
в том, что я зациклился на том, что бы организовать все это средствами самбы, а все, что касаемо домена, проста напрочь отмел и забыл! :fool:
спасибо, за наставление на путь истинный! :)
мозг айсом заплывает?
похоже на то.....
иду в баню, айс таить...

зы: а все-таки интересно, средствами самбы можно сие организовать?
или тока двумя демонами с разными конфигами?
(ну вопросы так, для саморазвития)
С кем поведешься - так тебе и надо!
http://slackware.su

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: Samba - Двойной доступ

Непрочитанное сообщение ADRE » 2011-03-29 11:03:17

Graf писал(а):
ADRE писал(а): ну заведи каждому юзера, засунь их в отделльную группу, которые делаются в домене, так сказать гостевая группа... в чём проблемма?
в том, что я зациклился на том, что бы организовать все это средствами самбы, а все, что касаемо домена, проста напрочь отмел и забыл! :fool:
спасибо, за наставление на путь истинный! :)
мозг айсом заплывает?
похоже на то.....
иду в баню, айс таить...

зы: а все-таки интересно, средствами самбы можно сие организовать?
или тока двумя демонами с разными конфигами?
(ну вопросы так, для саморазвития)
да, если вторая будет хранить пользователей в своей БД или в LDAP, а не в АД, т.к. учётки группы по дефолту хранятся на каждом пк т.к. они локальные. без единого центра хранения учёток - не удобно.
//del