Страница 1 из 1
samba и доменные пользователи
Добавлено: 2014-01-27 21:49:19
Kos
Привет всем.
Пытаюсь настроить самбу в качестве файл-сервера в домене w2k8 r2.
# uname -r
9.2-STABLE
Samba version 3.6.22
net ads join - проходит
Код: Выделить всё
# net ads info
LDAP server: 192.168.10.1
LDAP server name: server.domain.local
Realm: DOMAIN.LOCAL
Bind Path: dc=DOMAIN,dc=LOCAL
LDAP port: 389
Server time: Mon, 27 Jan 2014 20:26:43 EET
KDC server: 192.168.10.1
Server time offset: 9
Код: Выделить всё
# wbinfo -t
checking the trust secret for domain DOMAIN via RPC calls succeeded
wbinfo -u wbinfo -g показывают доменные пользователи и группы
а вот getent passwd и getent group - выдают только локальных пользователей
Проблема в том, что аутентификация пользователей не проходит. В логах пишется следующее:
[2014/01/27 20:22:13.973280, 3] auth/auth_util.c:1127(check_account)
Failed to find authenticated user DOMAIN\user via getpwnam(), denying access.
[2014/01/27 20:22:13.973295, 2] auth/auth.c:319(check_ntlm_password)
check_ntlm_password: Authentication for user [user] -> [user] FAILED with error NT_STATUS_NO_SUCH_USER
конфигов перепробовал уйму вариантов. сейчас стоит такой:
Код: Выделить всё
# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[mail]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
dos charset = 866
workgroup = DOMAIN
realm = DOMAIN.LOCAL
server string = Samba Server
interfaces = re0, lo0
security = ADS
auth methods = winbind
map untrusted to domain = Yes
log file = /var/log/samba/log.debug
max log size = 50
client signing = Yes
disable spoolss = Yes
os level = 10
local master = No
domain master = No
dns proxy = No
winbind enum users = Yes
winbind enum groups = Yes
idmap config * : range = 9000-9999
idmap config DOMAIN : backend = tdb
idmap config DOMAIN : range = 10000-200000
idmap config * : backend = tdb
inherit acls = Yes
guest ok = Yes
hosts allow = 192.168.10., 127.
map acl inherit = Yes
case sensitive = No
[mail]
comment = users mailboxes
path = /mail
read list = "@DOMAIN\Domain Users"
write list = "@DOMAIN\Domain Users"
read only = No
create mask = 0666
directory mask = 0777
guest ok = No
помогите советом, или хоть пошлите в нужном направлении
Заранее спасибо.
Re: samba и доменные пользователи
Добавлено: 2014-01-27 21:57:12
Alex Keda
Код: Выделить всё
> cat /etc/nsswitch.conf
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.8.1 2009/04/15 03:14:26 kensmith Exp $
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
>
Re: samba и доменные пользователи
Добавлено: 2014-01-27 22:27:35
Kos
Код: Выделить всё
# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: stable/9/etc/nsswitch.conf 224765 2011-08-10 20:52:02Z dougb $
#
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
Re: samba и доменные пользователи
Добавлено: 2014-01-28 9:25:09
snorlov
Может на тему krb5.conf еще посмотреть...
Re: samba и доменные пользователи
Добавлено: 2014-01-28 9:58:13
Kos
snorlov писал(а):Может на тему krb5.conf еще посмотреть...
тот вариант что сейчас вроде даже с этого сайта взят.
Код: Выделить всё
# cat /etc/krb5.conf
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
DOMAIN.LOCAL = {
kdc = 192.168.10.1:88
admin_server = 192.168.10.1:749
default_domain = domain.local
}
[domain_realm]
.domain.local = DOMAIN.LOCAL
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false
Был попроще, без секций pam login libdefaults эффект такой-же
Re: samba и доменные пользователи
Добавлено: 2014-01-28 10:42:40
snorlov
А тикет то получил...
Re: samba и доменные пользователи
Добавлено: 2014-01-28 10:49:32
snorlov
Да, а winbind то в процессах висит? У меня он висел, если 1. был в rc.conf и 2.были специфичные права на /var/db/samba/winbindd_privileged...
Re: samba и доменные пользователи
Добавлено: 2014-01-28 11:49:24
Kos
Код: Выделить всё
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: BDISK$@DOMAIN.LOCAL
Issued Expires Principal
Jan 28 09:24:39 Jan 28 19:24:38 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
Jan 28 09:24:39 Jan 28 19:24:38 ldap/server.domain.local@DOMAIN.LOCAL
Код: Выделить всё
# ps ax|grep winbind
1086 ?? Ss 0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
1087 ?? I 0:00.04 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
Re: samba и доменные пользователи
Добавлено: 2014-01-28 19:06:36
snorlov
Ну тогда надо крутить настройки w2k8... Он просто не берет шифрование самбы. А вы samba4 не пробовали...
Re: samba и доменные пользователи
Добавлено: 2014-01-28 19:36:06
Kos
дело в том, что если вбить неправильный пароль, то в логах появляется ошибка про wrong password... более того: если использовать в самбе username map то авторизация проходит. Получается, что самой самбе недостаточно получить ответ от контроллера домена, она ещё хочет увидеть этого пользователя локально(
Re: samba и доменные пользователи
Добавлено: 2014-01-28 21:53:28
snorlov
На самом деле они и получаются локальными, через ваши настройки
Код: Выделить всё
idmap config * : range = 9000-9999
idmap config DOMAIN : backend = tdb
idmap config DOMAIN : range = 10000-200000
idmap config * : backend = tdb
идет отображение доменных пользователей в локальные, если убить tdb в /var/db/samba, конкретно не помню какой, то изчезнут и их права на файлы, розданные раньше.
Кстати попробуйте убрать эти idmap, пусть возьмет по дефолту, может дело в том, что с этими параметрами самба не может составить это отображение...
попробуйте оставить только
Код: Выделить всё
idmap config DOMAIN:backend = ad
idmap config DOMAIN:readonly = yes
Re: samba и доменные пользователи
Добавлено: 2014-01-28 23:34:59
Kos
попробовал
Код: Выделить всё
[global]
dos charset = 866
workgroup = DOMAIN
realm = DOMAIN.LOCAL
server string = Samba Server
interfaces = re00, lo0
security = ADS
auth methods = winbind
map untrusted to domain = Yes
log file = /var/log/samba/log.debug
max log size = 50
client signing = Yes
disable spoolss = Yes
os level = 10
local master = No
domain master = No
dns proxy = No
winbind enum users = Yes
winbind enum groups = Yes
idmap config DOMAIN:readonly = yes
idmap config DOMAIN:backend = ad
idmap config * : backend = tdb
inherit acls = Yes
guest ok = Yes
hosts allow = 192.168.10., 127.
map acl inherit = Yes
case sensitive = No
[mail]
comment = users mailboxes
path = /mail
read list = "@DOMAIN\Domain Users"
write list = "@DOMAIN\Domain Users"
read only = No
create mask = 0666
directory mask = 0777
guest ok = No
ничего не изменилось(
Re: samba и доменные пользователи
Добавлено: 2014-01-29 9:11:42
snorlov
А в логах то что...
Re: samba и доменные пользователи
Добавлено: 2014-01-29 10:36:57
Kos
snorlov писал(а):А в логах то что...
так и в логах ничего не изменилось) вот что пишет при debug level = 3:
Код: Выделить всё
[2014/01/29 09:26:47.090323, 3] lib/access.c:338(allow_access)
Allowed connection from 192.168.10.109 (192.168.10.109)
[2014/01/29 09:26:47.090366, 3] smbd/oplock.c:922(init_oplocks)
init_oplocks: initializing messages.
[2014/01/29 09:26:47.090427, 3] smbd/process.c:1609(process_smb)
Transaction 0 of length 159 (0 toread)
[2014/01/29 09:26:47.090440, 3] smbd/process.c:1414(switch_message)
switch message SMBnegprot (pid 37028) conn 0x0
[2014/01/29 09:26:47.090477, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2014/01/29 09:26:47.090489, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [LANMAN1.0]
[2014/01/29 09:26:47.090497, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [Windows for Workgroups 3.1a]
[2014/01/29 09:26:47.090505, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [LM1.2X002]
[2014/01/29 09:26:47.090516, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [LANMAN2.1]
[2014/01/29 09:26:47.090525, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [NT LM 0.12]
[2014/01/29 09:26:47.090536, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [SMB 2.002]
[2014/01/29 09:26:47.090544, 3] smbd/negprot.c:598(reply_negprot)
Requested protocol [SMB 2.???]
[2014/01/29 09:26:47.090600, 3] smbd/negprot.c:419(reply_nt1)
using SPNEGO
[2014/01/29 09:26:47.090610, 3] smbd/negprot.c:704(reply_negprot)
Selected protocol NT LM 0.12
[2014/01/29 09:26:47.092030, 3] smbd/process.c:1609(process_smb)
Transaction 1 of length 142 (0 toread)
[2014/01/29 09:26:47.092064, 3] smbd/process.c:1414(switch_message)
switch message SMBsesssetupX (pid 37028) conn 0x0
[2014/01/29 09:26:47.092117, 3] smbd/sesssetup.c:1345(reply_sesssetup_and_X)
wct=12 flg2=0xc807
[2014/01/29 09:26:47.092134, 2] smbd/sesssetup.c:1291(setup_new_vc_session)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2014/01/29 09:26:47.092148, 3] smbd/sesssetup.c:1072(reply_sesssetup_and_X_spnego)
Doing spnego session setup
[2014/01/29 09:26:47.092171, 3] smbd/sesssetup.c:1114(reply_sesssetup_and_X_spnego)
NativeOS=[] NativeLanMan=[] PrimaryDomain=[]
[2014/01/29 09:26:47.092207, 3] smbd/sesssetup.c:660(reply_spnego_negotiate)
reply_spnego_negotiate: Got secblob of size 40
[2014/01/29 09:26:47.092344, 3] ../libcli/auth/ntlmssp.c:34(debug_ntlmssp_flags)
Got NTLMSSP neg_flags=0xe2088297
[2014/01/29 09:26:47.093354, 3] smbd/process.c:1609(process_smb)
Transaction 2 of length 448 (0 toread)
[2014/01/29 09:26:47.093382, 3] smbd/process.c:1414(switch_message)
switch message SMBsesssetupX (pid 37028) conn 0x0
[2014/01/29 09:26:47.093424, 3] smbd/sesssetup.c:1345(reply_sesssetup_and_X)
wct=12 flg2=0xc807
[2014/01/29 09:26:47.093449, 2] smbd/sesssetup.c:1291(setup_new_vc_session)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2014/01/29 09:26:47.093462, 3] smbd/sesssetup.c:1072(reply_sesssetup_and_X_spnego)
Doing spnego session setup
[2014/01/29 09:26:47.093481, 3] smbd/sesssetup.c:1114(reply_sesssetup_and_X_spnego)
NativeOS=[] NativeLanMan=[] PrimaryDomain=[]
[2014/01/29 09:26:47.093513, 3] ../libcli/auth/ntlmssp_server.c:348(ntlmssp_server_preauth)
Got user=[test2] domain=[domain] workstation=[PC1] len1=24 len2=214
[2014/01/29 09:26:47.093636, 3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
[37028]: request interface version
[2014/01/29 09:26:47.093688, 3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
[37028]: request location of privileged pipe
[2014/01/29 09:26:47.093767, 3] winbindd/winbindd_misc.c:226(winbindd_domain_info)
[37028]: domain_info [domain]
[2014/01/29 09:26:47.093814, 3] auth/auth.c:219(check_ntlm_password)
check_ntlm_password: Checking password for unmapped user [domain]\[test2]@[PC1] with the new password interface
[2014/01/29 09:26:47.093835, 3] auth/auth.c:222(check_ntlm_password)
check_ntlm_password: mapped user is: [domain]\[test2]@[PC1]
[2014/01/29 09:26:47.093888, 3] winbindd/winbindd_pam_auth_crap.c:56(winbindd_pam_auth_crap_send)
[37028]: pam auth crap domain: [domain] user: test2
[2014/01/29 09:26:47.095644, 3] winbindd/winbindd_misc.c:384(winbindd_interface_version)
[37028]: request interface version
[2014/01/29 09:26:47.095688, 3] winbindd/winbindd_misc.c:417(winbindd_priv_pipe_dir)
[37028]: request location of privileged pipe
[2014/01/29 09:26:47.095767, 3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
getpwnam domain\test2
[2014/01/29 09:26:47.101781, 3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
getpwnam DOMAIN\test2
[2014/01/29 09:26:47.101877, 3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
getpwnam DOMAIN\TEST2
[2014/01/29 09:26:47.101973, 3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
getpwnam test2
[2014/01/29 09:26:47.102065, 3] winbindd/winbindd_getpwnam.c:56(winbindd_getpwnam_send)
getpwnam TEST2
[2014/01/29 09:26:47.102154, 3] auth/auth_util.c:1127(check_account)
Failed to find authenticated user DOMAIN\test2 via getpwnam(), denying access.
[2014/01/29 09:26:47.102171, 2] auth/auth.c:319(check_ntlm_password)
check_ntlm_password: Authentication for user [test2] -> [test2] FAILED with error NT_STATUS_NO_SUCH_USER
[2014/01/29 09:26:47.102196, 3] smbd/error.c:81(error_packet_set)
error packet at smbd/sesssetup.c(124) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
Re: samba и доменные пользователи
Добавлено: 2014-01-29 11:03:06
snorlov
Погуглите на тему 7-ка в домене самбы3, я лично думаю сервер w2k8 требует аутенфикацию, которая не поддерживает самба3...