Страница 1 из 1
Samba 3.6.13 & Domain Member
Добавлено: 2013-03-26 16:28:18
Nolf
Всем привет.
Подскажите пожалуйста в чем может быть проблема, установил samba, настроил, ввел в домен, запустил.
Проверяю:
wbinfo -u
# Lists AD users
wbinfo -g
# List AD groups
getent passwd
# Should list local users +AD users
getent group
# Should list only local users
Почему команда getent group показывает только локальных пользователей?
- Также заметил проблему с группой Domain Users, а именно команда wbinfo --group-info "domain users" выводит только domain users
70001: (выводит без членов группы) , хотя если сделать wbinfo --user-info user выводит [user:*:70369:70001:user:/smb/samba/user:/bin/csh] с чего видно что у данного пользователя группа по умолчанию имеет gid 70001 что соответствует группе domain users
- Еще одна проблема возникла, когда на шару [тест] разрешил только чтения и гостевой доступ, но почему то не пускает пользователей пишет что нет доступа.
Код: Выделить всё
[global]
workgroup = TEST
server string = stor
security = ADS
realm = IN.TEST.NET
# passdb backend = tdbsam
netbiosname = stor1
loglevel=5
syslog = 3
log file = /var/log/samba/%m.log
max log size = 5000
encrypt passwords = yes
guest account = nobody
template homedir = /smb/samba/%U
template shell = /bin/csh
winbind separator = /
# winbind uid = 10000-20000
# winbind gid = 10000-20000
winbind refresh tickets = yes
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
wins support = no
unix charset = UTF8
display charset = UTF8
dos charset = cp866
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
local master = no
idmap config TEST : default = yes
idmap config TEST : backend = ad
idmap config TEST : range = 10000 - 20000
idmap config * : range = 70001-80000
idmap config * : backend = tdb
[test]
path = /data/test
comment = test
hide dot files = yes
# veto files = /.??*/
browseable = yes
read only = yes
guest ok = yes
inherit permissions = yes
Буду рад любой помощи, так как уже не знаю что делать.
Заранее спасибо!
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-26 16:49:44
Neus
у мну на SLES в самбе параметр "passdb backend = tdbsam" раскомментирован
workgroup = TEST
realm = IN.TEST.NET
вот тут не понятно
если по аналогии как у мну то должно быть "realm = TEST.NET"
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-26 17:07:42
Nolf
Neus писал(а):у мну на SLES в самбе параметр "passdb backend = tdbsam" раскомментирован
workgroup = TEST
realm = IN.TEST.NET
вот тут не понятно
если по аналогии как у мну то должно быть "realm = TEST.NET"
- у меня полное доменное имя - IN.TEST.NET
- "passdb backend = tdbsam" попробую раскоментировать, но вроде данный параметр относится к режиму работы security = DOMAIN
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-26 18:00:44
Neus
in.test.net это полное имя домена или доменное имя этого сервера?
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-26 19:36:04
Nolf
Neus писал(а):in.test.net это полное имя домена или доменное имя этого сервера?
Полное. А короткое просто TEST
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-27 13:08:53
Neus
вопчем у меня вот так
файл сгенерен мастером подключения к домену в SLES
руками не правлен, работает все - даже выход в инет через ISA Server
ну и на шару Distrib$ доменных юзеров пускает без проблем
Код: Выделить всё
[global]
workgroup = DMN
passdb backend = tdbsam
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = No
idmap gid = 10000-20000
idmap uid = 10000-20000
realm = DMN.LOCAL.NET
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes
ldap suffix =
wins server =
wins support = No
[Distrib$]
comment =
inherit acls = Yes
path = /Distrib
read only = Yes
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-27 22:13:45
Nolf
to Neus
А можете выложить результаты команды testparm?
А также какая версия OS и SAMBA у вас установлена?
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-28 10:49:32
Neus
samba-3.6.3-0.18.3
Код: Выделить всё
:~> testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Can't find include file /etc/samba/dhcp.conf
WARNING: The "idmap gid" option is deprecated
WARNING: The "idmap uid" option is deprecated
Processing section "[Distrib$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Код: Выделить всё
:~> cat /etc/SuSE-release
SUSE Linux Enterprise Server 11 (x86_64)
VERSION = 11
PATCHLEVEL = 2
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-28 11:30:39
Nolf
Спасибо. А можете еще показать результат того же testparm, только параметра [global]
Заранее спасибо!
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-28 12:39:16
Neus
Код: Выделить всё
[global]
workgroup = DMN
realm = DMN.LOCAL.NET
security = ADS
map to guest = Bad User
passdb backend = tdbsam
printcap name = cups
logon path = \\%L\profiles\.msprofile
logon drive = P:
logon home = \\%L\%U\.9xprofile
template shell = /bin/bash
winbind refresh tickets = Yes
winbind offline logon = Yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
cups options = raw
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-28 22:23:03
snorlov
Nolf писал(а):Neus писал(а):in.test.net это полное имя домена или доменное имя этого сервера?
Полное. А короткое просто TEST
а вообще билетик то получили от ad... приведите еще krb5.conf
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 10:00:58
Nolf
Да конечно получил тикет, ввел в домен.
Код: Выделить всё
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = IN.TEST.NET
ticket_lifetime = 24h
forwardable = yes
[realms]
IN.TEST.NET = {
kdc = AD.IN.TEST.NET
kdc = KDC.IN.TEST.NET
admin_server = AD.IN.TEST.NET
default_domain = IN.TEST.NET
}
[domain_realm]
.in.test.net = IN.TEST.NET
in.test.net = IN.TEST.NET
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 10:59:53
Neus
у меня такой:
Код: Выделить всё
:~> egrep -v '^#' /etc/krb5.conf
[libdefaults]
default_realm = DMN.LOCAL.NET
clockskew = 300
[realms]
DMN.LOCAL.NET = {
kdc = dc.dmn.local.net
default_domain = dmn.local.net
admin_server = dc.dmn.local.net
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.dmn.local.net = DMN.LOCAL.NET
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
}
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 11:02:37
snorlov
Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup
TEST, а не
IN...
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 13:37:59
Nolf
snorlov писал(а):Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup
TEST, а не
IN...
То есть вместо workgroup = TEST нужно прописать workgroup = IN.TEST.NET ?
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 13:41:04
Neus
snorlov писал(а):Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup
TEST, а не
IN...
вот и меня терзают смутные сомненья
и еще.. если у него домен под виндой, КАК он умудрился суффикс сделать ".test.net"
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 14:06:10
snorlov
Nolf писал(а):snorlov писал(а):Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup
TEST, а не
IN...
То есть вместо workgroup = TEST нужно прописать workgroup = IN.TEST.NET ?
Можно так, но я бы прописал просто IN
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 14:11:29
Nolf
появилась странная закономерность:
в шаре добавил:
admin users = @test (в это группе есть пользователь test)
все ок пускает без проблем
добавил еще
write list = @test2 (в это группе есть пользователь test2)
не пускает это пользователя, пишет нет прав на доступ.
также само пробовал valid users = @test2 ничего не дало. пускает на шары только если добавишь пользователя или группу в admin users
Вот почему так? где накосячил?
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 14:29:27
snorlov
Neus писал(а):snorlov писал(а):Nolf писал(а):Да конечно получил тикет, ввел в домен.
Тогда вопрос: вы уверены, что у вас workgroup
TEST, а не
IN...
вот и меня терзают смутные сомненья
и еще.. если у него домен под виндой, КАК он умудрился суффикс сделать ".test.net"
Да префикс любой можно прописать, хоть test.com
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 16:26:26
Nolf
фух проблема решилась очень банально как оказалось!
путь к шарам следующий /data/[шары] так вот на папку /data были установлены права 770 а владелец и группа были root и wheel соответственно.
Всем спасибо за помощь.
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 16:43:51
snorlov
Nolf писал(а):фух проблема решилась очень банально как оказалось!
путь к шарам следующий /data/[шары] так вот на папку /data были установлены права 770 а владелец и группа были root и wheel соответственно.
Всем спасибо за помощь.
А я думал у вас проблема с
Re: Samba 3.6.13 & Domain Member
Добавлено: 2013-03-29 16:55:25
Nolf
проблема только с getent group и она осталась. но на данный момент samba работает.