Страница 1 из 1

Samba 3.6.13 & Domain Member

Добавлено: 2013-03-26 16:28:18
Nolf
Всем привет.
Подскажите пожалуйста в чем может быть проблема, установил samba, настроил, ввел в домен, запустил.
Проверяю:
wbinfo -u
# Lists AD users
wbinfo -g
# List AD groups
getent passwd
# Should list local users +AD users
getent group
# Should list only local users
Почему команда getent group показывает только локальных пользователей?
- Также заметил проблему с группой Domain Users, а именно команда wbinfo --group-info "domain users" выводит только domain users:x:70001: (выводит без членов группы) , хотя если сделать wbinfo --user-info user выводит [user:*:70369:70001:user:/smb/samba/user:/bin/csh] с чего видно что у данного пользователя группа по умолчанию имеет gid 70001 что соответствует группе domain users
- Еще одна проблема возникла, когда на шару [тест] разрешил только чтения и гостевой доступ, но почему то не пускает пользователей пишет что нет доступа.

Код: Выделить всё

[global]
        workgroup = TEST
        server string = stor
        security = ADS
        realm = IN.TEST.NET
#       passdb backend = tdbsam
        netbiosname = stor1
        loglevel=5
        syslog = 3
        log file = /var/log/samba/%m.log
        max log size = 5000
        encrypt passwords = yes
        guest account = nobody
        template homedir = /smb/samba/%U
        template shell = /bin/csh
        winbind separator = /
#       winbind uid = 10000-20000
#       winbind gid = 10000-20000
        winbind refresh tickets = yes
        winbind trusted domains only = no
        winbind use default domain = yes
        winbind enum users = yes
        winbind enum groups = yes
        wins support = no
        unix charset = UTF8
        display charset = UTF8
        dos charset = cp866
        socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        local master = no
        idmap config TEST : default = yes
        idmap config TEST : backend = ad
        idmap config TEST : range   = 10000 - 20000
        idmap config * : range = 70001-80000
        idmap config * : backend = tdb

[test]
        path = /data/test
        comment = test
        hide dot files = yes
#       veto files = /.??*/
        browseable = yes
        read only = yes
        guest ok = yes
        inherit permissions = yes
Буду рад любой помощи, так как уже не знаю что делать. :st: Заранее спасибо!

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-26 16:49:44
Neus
у мну на SLES в самбе параметр "passdb backend = tdbsam" раскомментирован
workgroup = TEST
realm = IN.TEST.NET
вот тут не понятно
если по аналогии как у мну то должно быть "realm = TEST.NET"

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-26 17:07:42
Nolf
Neus писал(а):у мну на SLES в самбе параметр "passdb backend = tdbsam" раскомментирован
workgroup = TEST
realm = IN.TEST.NET
вот тут не понятно
если по аналогии как у мну то должно быть "realm = TEST.NET"
- у меня полное доменное имя - IN.TEST.NET
- "passdb backend = tdbsam" попробую раскоментировать, но вроде данный параметр относится к режиму работы security = DOMAIN

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-26 18:00:44
Neus
in.test.net это полное имя домена или доменное имя этого сервера?

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-26 19:36:04
Nolf
Neus писал(а):in.test.net это полное имя домена или доменное имя этого сервера?
Полное. А короткое просто TEST

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-27 13:08:53
Neus
вопчем у меня вот так
файл сгенерен мастером подключения к домену в SLES
руками не правлен, работает все - даже выход в инет через ISA Server :smile:
ну и на шару Distrib$ доменных юзеров пускает без проблем

Код: Выделить всё

[global]
	workgroup = DMN
	passdb backend = tdbsam
	printing = cups
	printcap name = cups
	printcap cache time = 750
	cups options = raw
	map to guest = Bad User
	include = /etc/samba/dhcp.conf
	logon path = \\%L\profiles\.msprofile
	logon home = \\%L\%U\.9xprofile
	logon drive = P:
	usershare allow guests = No
	idmap gid = 10000-20000
	idmap uid = 10000-20000
	realm = DMN.LOCAL.NET
	security = ADS
	template homedir = /home/%D/%U
	template shell = /bin/bash
	winbind offline logon = yes
	winbind refresh tickets = yes
	ldap suffix = 
	wins server = 
	wins support = No

[Distrib$]
	comment = 
	inherit acls = Yes
	path = /Distrib
	read only = Yes

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-27 22:13:45
Nolf
to Neus
А можете выложить результаты команды testparm?
А также какая версия OS и SAMBA у вас установлена?

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-28 10:49:32
Neus
samba-3.6.3-0.18.3

Код: Выделить всё

:~> testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Can't find include file /etc/samba/dhcp.conf
WARNING: The "idmap gid" option is deprecated
WARNING: The "idmap uid" option is deprecated
Processing section "[Distrib$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Код: Выделить всё

:~> cat /etc/SuSE-release 
SUSE Linux Enterprise Server 11 (x86_64)
VERSION = 11
PATCHLEVEL = 2

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-28 11:30:39
Nolf
Спасибо. А можете еще показать результат того же testparm, только параметра [global]
Заранее спасибо!

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-28 12:39:16
Neus

Код: Выделить всё

[global]
	workgroup = DMN
	realm = DMN.LOCAL.NET
	security = ADS
	map to guest = Bad User
	passdb backend = tdbsam
	printcap name = cups
	logon path = \\%L\profiles\.msprofile
	logon drive = P:
	logon home = \\%L\%U\.9xprofile
	template shell = /bin/bash
	winbind refresh tickets = Yes
	winbind offline logon = Yes
	idmap config * : range = 10000-20000
	idmap config * : backend = tdb
	cups options = raw

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-28 22:23:03
snorlov
Nolf писал(а):
Neus писал(а):in.test.net это полное имя домена или доменное имя этого сервера?
Полное. А короткое просто TEST
а вообще билетик то получили от ad... приведите еще krb5.conf

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 10:00:58
Nolf
Да конечно получил тикет, ввел в домен.

Код: Выделить всё

[logging]
     default = FILE:/var/log/krb5libs.log
     kdc = FILE:/var/log/krb5kdc.log
     admin_server = FILE:/var/log/kadmind.log

[libdefaults]
     default_realm = IN.TEST.NET
     ticket_lifetime = 24h
     forwardable = yes

[realms]
        IN.TEST.NET = {
            kdc = AD.IN.TEST.NET
            kdc = KDC.IN.TEST.NET
            admin_server = AD.IN.TEST.NET
            default_domain = IN.TEST.NET
                       }
[domain_realm]
        .in.test.net = IN.TEST.NET
        in.test.net = IN.TEST.NET

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 10:59:53
Neus
у меня такой:

Код: Выделить всё

:~> egrep -v '^#' /etc/krb5.conf 
[libdefaults]
	default_realm = DMN.LOCAL.NET
	clockskew = 300

[realms]
	DMN.LOCAL.NET = {
		kdc = dc.dmn.local.net
		default_domain = dmn.local.net
		admin_server = dc.dmn.local.net
	}

[logging]
	kdc = FILE:/var/log/krb5/krb5kdc.log
	admin_server = FILE:/var/log/krb5/kadmind.log
	default = SYSLOG:NOTICE:DAEMON
[domain_realm]
	.dmn.local.net = DMN.LOCAL.NET
[appdefaults]
	pam = {
		ticket_lifetime = 1d
		renew_lifetime = 1d
		forwardable = true
		proxiable = false
		minimum_uid = 1
	}

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 11:02:37
snorlov
Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 13:37:59
Nolf
snorlov писал(а):
Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...
То есть вместо workgroup = TEST нужно прописать workgroup = IN.TEST.NET ?

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 13:41:04
Neus
snorlov писал(а):
Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...
вот и меня терзают смутные сомненья :)
и еще.. если у него домен под виндой, КАК он умудрился суффикс сделать ".test.net"

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 14:06:10
snorlov
Nolf писал(а):
snorlov писал(а):
Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...
То есть вместо workgroup = TEST нужно прописать workgroup = IN.TEST.NET ?
Можно так, но я бы прописал просто IN

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 14:11:29
Nolf
появилась странная закономерность:
в шаре добавил:
admin users = @test (в это группе есть пользователь test)
все ок пускает без проблем
добавил еще
write list = @test2 (в это группе есть пользователь test2)
не пускает это пользователя, пишет нет прав на доступ.
также само пробовал valid users = @test2 ничего не дало. пускает на шары только если добавишь пользователя или группу в admin users
Вот почему так? где накосячил?

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 14:29:27
snorlov
Neus писал(а):
snorlov писал(а):
Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup TEST, а не IN...
вот и меня терзают смутные сомненья :)
и еще.. если у него домен под виндой, КАК он умудрился суффикс сделать ".test.net"
Да префикс любой можно прописать, хоть test.com

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 16:26:26
Nolf
фух проблема решилась очень банально как оказалось!
путь к шарам следующий /data/[шары] так вот на папку /data были установлены права 770 а владелец и группа были root и wheel соответственно.
Всем спасибо за помощь.

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 16:43:51
snorlov
Nolf писал(а):фух проблема решилась очень банально как оказалось!
путь к шарам следующий /data/[шары] так вот на папку /data были установлены права 770 а владелец и группа были root и wheel соответственно.
Всем спасибо за помощь.
А я думал у вас проблема с

Код: Выделить всё

getent passwd
getent group

Re: Samba 3.6.13 & Domain Member

Добавлено: 2013-03-29 16:55:25
Nolf
проблема только с getent group и она осталась. но на данный момент samba работает.