samba и доменные пользователи

Kos · Непрочитанное сообщение **Kos** » 2014-01-27 21:49:19

Привет всем.

Пытаюсь настроить самбу в качестве файл-сервера в домене w2k8 r2.

# uname -r
9.2-STABLE

Samba version 3.6.22

net ads join - проходит

Код: Выделить всё

# net ads info
LDAP server: 192.168.10.1
LDAP server name: server.domain.local
Realm: DOMAIN.LOCAL
Bind Path: dc=DOMAIN,dc=LOCAL
LDAP port: 389
Server time: Mon, 27 Jan 2014 20:26:43 EET
KDC server: 192.168.10.1
Server time offset: 9

Код: Выделить всё

# wbinfo -t
checking the trust secret for domain DOMAIN via RPC calls succeeded

wbinfo -u wbinfo -g показывают доменные пользователи и группы

а вот getent passwd и getent group - выдают только локальных пользователей

Проблема в том, что аутентификация пользователей не проходит. В логах пишется следующее:

[2014/01/27 20:22:13.973280, 3] auth/auth_util.c:1127(check_account)
Failed to find authenticated user DOMAIN\user via getpwnam(), denying access.
[2014/01/27 20:22:13.973295, 2] auth/auth.c:319(check_ntlm_password)
check_ntlm_password: Authentication for user [user] -> [user] FAILED with error NT_STATUS_NO_SUCH_USER

конфигов перепробовал уйму вариантов. сейчас стоит такой:

Код: Выделить всё

# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[mail]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        dos charset = 866
        workgroup = DOMAIN
        realm = DOMAIN.LOCAL
        server string = Samba Server
        interfaces = re0, lo0
        security = ADS
        auth methods = winbind
        map untrusted to domain = Yes
        log file = /var/log/samba/log.debug
        max log size = 50
        client signing = Yes
        disable spoolss = Yes
        os level = 10
        local master = No
        domain master = No
        dns proxy = No
        winbind enum users = Yes
        winbind enum groups = Yes
        idmap config * : range = 9000-9999
        idmap config DOMAIN : backend = tdb
        idmap config DOMAIN : range = 10000-200000
        idmap config * : backend = tdb
        inherit acls = Yes
        guest ok = Yes
        hosts allow = 192.168.10., 127.
        map acl inherit = Yes
        case sensitive = No

[mail]
        comment = users mailboxes
        path = /mail
        read list = "@DOMAIN\Domain Users"
        write list = "@DOMAIN\Domain Users"
        read only = No
        create mask = 0666
        directory mask = 0777
        guest ok = No

помогите советом, или хоть пошлите в нужном направлении

Заранее спасибо.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

Код: Выделить всё

> cat /etc/nsswitch.conf
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.8.1 2009/04/15 03:14:26 kensmith Exp $
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files

>

Kos · Непрочитанное сообщение **Kos** » 2014-01-27 22:27:35

Код: Выделить всё

# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: stable/9/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-28 9:25:09

Может на тему krb5.conf еще посмотреть...

Kos · Непрочитанное сообщение **Kos** » 2014-01-28 9:58:13

snorlov писал(а):Может на тему krb5.conf еще посмотреть...

тот вариант что сейчас вроде даже с этого сайта взят.

Код: Выделить всё

# cat /etc/krb5.conf
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true

[realms]
DOMAIN.LOCAL = {
 kdc = 192.168.10.1:88
 admin_server = 192.168.10.1:749
 default_domain = domain.local
}

[domain_realm]
.domain.local = DOMAIN.LOCAL

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false

Был попроще, без секций pam login libdefaults эффект такой-же

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-28 10:42:40

А тикет то получил...

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-28 10:49:32

Да, а winbind то в процессах висит? У меня он висел, если 1. был в rc.conf и 2.были специфичные права на /var/db/samba/winbindd_privileged...

Kos · Непрочитанное сообщение **Kos** » 2014-01-28 11:49:24

Код: Выделить всё

# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: BDISK$@DOMAIN.LOCAL

  Issued           Expires          Principal
Jan 28 09:24:39  Jan 28 19:24:38  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Jan 28 09:24:39  Jan 28 19:24:38  ldap/server.domain.local@DOMAIN.LOCAL

Код: Выделить всё

# ps ax|grep winbind
1086 ??  Ss     0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
1087 ??  I      0:00.04 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-28 19:06:36

Ну тогда надо крутить настройки w2k8... Он просто не берет шифрование самбы. А вы samba4 не пробовали...

Kos · Непрочитанное сообщение **Kos** » 2014-01-28 19:36:06

дело в том, что если вбить неправильный пароль, то в логах появляется ошибка про wrong password... более того: если использовать в самбе username map то авторизация проходит. Получается, что самой самбе недостаточно получить ответ от контроллера домена, она ещё хочет увидеть этого пользователя локально(

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-28 21:53:28

На самом деле они и получаются локальными, через ваши настройки

Код: Выделить всё

        idmap config * : range = 9000-9999
        idmap config DOMAIN : backend = tdb
        idmap config DOMAIN : range = 10000-200000
        idmap config * : backend = tdb

идет отображение доменных пользователей в локальные, если убить tdb в /var/db/samba, конкретно не помню какой, то изчезнут и их права на файлы, розданные раньше.
Кстати попробуйте убрать эти idmap, пусть возьмет по дефолту, может дело в том, что с этими параметрами самба не может составить это отображение...
попробуйте оставить только

Код: Выделить всё

idmap config DOMAIN:backend = ad
idmap config DOMAIN:readonly = yes

Kos · Непрочитанное сообщение **Kos** » 2014-01-28 23:34:59

попробовал

Код: Выделить всё

[global]
        dos charset = 866
        workgroup = DOMAIN
        realm = DOMAIN.LOCAL
        server string = Samba Server
        interfaces = re00, lo0
        security = ADS
        auth methods = winbind
        map untrusted to domain = Yes
        log file = /var/log/samba/log.debug
        max log size = 50
        client signing = Yes
        disable spoolss = Yes
        os level = 10
        local master = No
        domain master = No
        dns proxy = No
        winbind enum users = Yes
        winbind enum groups = Yes
        idmap config DOMAIN:readonly = yes
        idmap config DOMAIN:backend = ad
        idmap config * : backend = tdb
        inherit acls = Yes
        guest ok = Yes
        hosts allow = 192.168.10., 127.
        map acl inherit = Yes
        case sensitive = No

[mail]
        comment = users mailboxes
        path = /mail
        read list = "@DOMAIN\Domain Users"
        write list = "@DOMAIN\Domain Users"
        read only = No
        create mask = 0666
        directory mask = 0777
        guest ok = No

ничего не изменилось(

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-29 9:11:42

А в логах то что...

Kos · Непрочитанное сообщение **Kos** » 2014-01-29 10:36:57

snorlov писал(а):А в логах то что...

так и в логах ничего не изменилось) вот что пишет при debug level = 3:

Код: Выделить всё

[2014/01/29 09:26:47.090323,  3] lib/access.c:338(allow_access)
  Allowed connection from 192.168.10.109 (192.168.10.109)
[2014/01/29 09:26:47.090366,  3] smbd/oplock.c:922(init_oplocks)
  init_oplocks: initializing messages.
[2014/01/29 09:26:47.090427,  3] smbd/process.c:1609(process_smb)
  Transaction 0 of length 159 (0 toread)
[2014/01/29 09:26:47.090440,  3] smbd/process.c:1414(switch_message)
  switch message SMBnegprot (pid 37028) conn 0x0
[2014/01/29 09:26:47.090477,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [PC NETWORK PROGRAM 1.0]
[2014/01/29 09:26:47.090489,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [LANMAN1.0]
[2014/01/29 09:26:47.090497,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [Windows for Workgroups 3.1a]
[2014/01/29 09:26:47.090505,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [LM1.2X002]
[2014/01/29 09:26:47.090516,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [LANMAN2.1]
[2014/01/29 09:26:47.090525,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [NT LM 0.12]
[2014/01/29 09:26:47.090536,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [SMB 2.002]
[2014/01/29 09:26:47.090544,  3] smbd/negprot.c:598(reply_negprot)
  Requested protocol [SMB 2.???]
[2014/01/29 09:26:47.090600,  3] smbd/negprot.c:419(reply_nt1)
  using SPNEGO
[2014/01/29 09:26:47.090610,  3] smbd/negprot.c:704(reply_negprot)
  Selected protocol NT LM 0.12
[2014/01/29 09:26:47.092030,  3] smbd/process.c:1609(process_smb)
  Transaction 1 of length 142 (0 toread)
[2014/01/29 09:26:47.092064,  3] smbd/process.c:1414(switch_message)
  switch message SMBsesssetupX (pid 37028) conn 0x0
[2014/01/29 09:26:47.092117,  3] smbd/sesssetup.c:1345(reply_sesssetup_and_X)
  wct=12 flg2=0xc807
[2014/01/29 09:26:47.092134,  2] smbd/sesssetup.c:1291(setup_new_vc_session)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2014/01/29 09:26:47.092148,  3] smbd/sesssetup.c:1072(reply_sesssetup_and_X_spnego)
  Doing spnego session setup
[2014/01/29 09:26:47.092171,  3] smbd/sesssetup.c:1114(reply_sesssetup_and_X_spnego)
  NativeOS=[] NativeLanMan=[] PrimaryDomain=[]
[2014/01/29 09:26:47.092207,  3] smbd/sesssetup.c:660(reply_spnego_negotiate)
  reply_spnego_negotiate: Got secblob of size 40
[2014/01/29 09:26:47.092344,  3] ../libcli/auth/ntlmssp.c:34(debug_ntlmssp_flags)
  Got NTLMSSP neg_flags=0xe2088297
[2014/01/29 09:26:47.093354,  3] smbd/process.c:1609(process_smb)
  Transaction 2 of length 448 (0 toread)
[2014/01/29 09:26:47.093382,  3] smbd/process.c:1414(switch_message)
  switch message SMBsesssetupX (pid 37028) conn 0x0
[2014/01/29 09:26:47.093424,  3] smbd/sesssetup.c:1345(reply_sesssetup_and_X)
  wct=12 flg2=0xc807
[2014/01/29 09:26:47.093449,  2] smbd/sesssetup.c:1291(setup_new_vc_session)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2014/01/29 09:26:47.093462,  3] smbd/sesssetup.c:1072(reply_sesssetup_and_X_spnego)
  Doing spnego session setup
[2014/01/29 09:26:47.093481,  3] smbd/sesssetup.c:1114(reply_sesssetup_and_X_spnego)
  NativeOS=[] NativeLanMan=[] PrimaryDomain=[]
[2014/01/29 09:26:47.093513,  3] ../libcli/auth/ntlmssp_server.c:348(ntlmssp_server_preauth)
  Got user=[test2] domain=[domain] workstation=[PC1] len1=24 len2=214
[2014/01/29 09:26:47.093636,  3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
  [37028]: request interface version
[2014/01/29 09:26:47.093688,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [37028]: request location of privileged pipe
[2014/01/29 09:26:47.093767,  3] winbindd/winbindd_misc.c:226(winbindd_domain_info)
  [37028]: domain_info [domain]
[2014/01/29 09:26:47.093814,  3] auth/auth.c:219(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [domain]\[test2]@[PC1] with the new password interface
[2014/01/29 09:26:47.093835,  3] auth/auth.c:222(check_ntlm_password)
  check_ntlm_password:  mapped user is: [domain]\[test2]@[PC1]
[2014/01/29 09:26:47.093888,  3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
  [37028]: pam auth crap domain: [domain] user: test2
[2014/01/29 09:26:47.095644,  3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
  [37028]: request interface version
[2014/01/29 09:26:47.095688,  3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
  [37028]: request location of privileged pipe
[2014/01/29 09:26:47.095767,  3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam domain\test2
[2014/01/29 09:26:47.101781,  3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam DOMAIN\test2
[2014/01/29 09:26:47.101877,  3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam DOMAIN\TEST2
[2014/01/29 09:26:47.101973,  3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam test2
[2014/01/29 09:26:47.102065,  3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
  getpwnam TEST2
[2014/01/29 09:26:47.102154,  3] auth/auth_util.c:1127(check_account)
  Failed to find authenticated user DOMAIN\test2 via getpwnam(), denying access.
[2014/01/29 09:26:47.102171,  2] auth/auth.c:319(check_ntlm_password)
  check_ntlm_password:  Authentication for user [test2] -> [test2] FAILED with error NT_STATUS_NO_SUCH_USER
[2014/01/29 09:26:47.102196,  3] smbd/error.c:81(error_packet_set)
  error packet at smbd/sesssetup.c(124) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

snorlov · Непрочитанное сообщение **snorlov** » 2014-01-29 11:03:06

Погуглите на тему 7-ка в домене самбы3, я лично думаю сервер w2k8 требует аутенфикацию, которая не поддерживает самба3...

forum.lissyara.su

samba и доменные пользователи

samba и доменные пользователи

Услуги хостинговой компании Host-Food.ru

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи

Re: samba и доменные пользователи