» Настройка Samba

Для чистоты эксперимента решил сделать все в тестовой среде. Для отго собрал маленькую сеть :
Контроллер домена Server 2003 SP2 - pdk.mydomain.local 192.168.17.1
Клиент домена Windows 2000 SP4 - anatol.mydomain.local 192.168.17.2
Линуксовая машина CentOS 5.1 - cent.mydomain.local 192.168.17.200
При поднятии домена выбрал "Разрешения, совместимые с серверами пред-Windows 2000"
Пара вопросов : 1. На контроллере домена нужна служба сертификации ? Нужен или нет Wins server ?

klimusu
в инструкции что я привёл kinit не используется.

Добрый день. Подскажите пожалуйста.

Имеется виртуальная машина (WMvare) FreeBSD 6.2 + Samba В (реальной) локальной сети под управлением АД на win 2003.
Кое как получилось загнать самбу в домен. вс? делал по этому ману http://www.samba.org.ua/articles/?section=2&articleid=108

заменял только строки домена на свой. И айпишники. Но после входа в домен записи в АД не создаются. И команды wbinfo неработают.

Итак. Логи.

net ads join -w AIN.LOCAL -U Администратор

[2008/05/15 1323, 0] lib/interface.c:load_interfaces(225)
WARNING: no network interfaces found
Администратор's password:
Using short domain name -- AIN
Joined 'FS3' to realm 'AIN.LOCAL'

Далее даю команду wbinfo -u или wbinfo -g
Он мне пишет.
Error looking up domain groups


Записей в АД вообще нету.
Помогите пожалуйста.

bombording
самбу перегружал послле ввода в жомен ?
иногда помогает просто ребут машины.

slech
можешь подсказать в каком направлении двигаться?
что делать с этим kinit?

klimusu
я бы посоветовал воспользоваться инструкцией ссылку на которую я приводил
HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)
это то что у меня работает.
krbt5 наверное необходимо удалить, но вроде у меня не получилсоь. и так как я в этом деле новичёк, то прсто переставил Ubuntu и с нуля только по этой инструкции. Всё работает на 15 машинах и на ура.

Собрал из старых компов тестовую сеть, линуксовая машина CentOS 5.1 + Samba. Samba ввел в домен. Подробности здесь http://forum.ru-board.com/topic.cgi?forum=8&topic=25564#lt
wbinfo -u и wbinfo -p , wbinfo -t - отвечают нормально, список юзеров вижу, ошибок нет.
Но с клиентской машины зайти на комп с Samba не могу, спрашивает логин и пароль , не пускает ни с каким логином и паролем. Что еще я не дописал ?

Ребят, помогите пожалуйста. ПОставил самбу настроил по мануалу.
А как управлять ею средствами Windows незнаю.

Проосто у меня любой юзер входит. Но неимеет прав даже на создание папки. Даже админ.

Подскажите пожалуйста.


FreeBSD+Samba3+Ad Windows 2003

bombording
Может дело в правах на расшаренную папку ?
chmod o+rwx <расшаренная папка>

как разрешить подключаться по ssh к серверу только группе из ad win2003?

Весь мозг уже замучал. Как заставить самбу менять UNIX пароль?
Пользователь прописан и в самбе и в юниксе. Меняю пароль в самбе, по идее должен сменится и в юниксе, но не меняется!
Вот по доке делал:
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password*%n*ReType*new*UNIX*password*%n*passwd:*all*authentication*tokens*updated*successfully*

У меня такая проблема: надо было скрестить самбу с LDAP-ом, чтобы держать в домене и виндовые и никсовые машины.
Скрещение прошло успешно, но осталась одна проблемка - на виндовых компах обзор доменных машин в "сетевом окружении" иногда начинает выдавать такую ошибку:

=
domain.local is not accessible. You might not have permission to use this network resource. Contact the administrator of this server to find out if you have access perminssions.

The network path was not found.
=

Причем минут через пять все снова начинает работать. Чем это может быть вызвано?

Примечание: Домен поднят на Gentoo, в сети также присутсвует Windows Server 2003, у которого отключены функции контроллера и browser'а домена. Если сделать виндовый сервер браузером, то обзор начинает работать без ошибок, но медленно. Самба версии 3.0.28

NProspect
WINS у клиентов настрой на сервер самбы

sasku
а разве в xp и 2003 виндах wins еще используется?

Домен на Win2003, филиалы подключены по VPN, иногда каналы "падают". Тогда в филиалах начинает сбоить работа сети (DHCP и DNS - сервера находятся в головном оффисе). Для исправления сего хочу установить в каждом филиале по серверу c Samba+DHCP+DNS(slave). И перенести данные филиалов из центра на эти сервера. Все с виду замечательно и тестирование показало жизнеспособность сего, но есть одно "но", при "падении" канала между центром и филиалом, пользователям пропадает доступ к сетевым дискам на Samba (контроллер домена недоступен). Есть ли вариант настройки Samba, что бы она кэшировала учетные данные доменных пользователей и групп для нормальной работы в отсутствии контроллера домена?

FGUP

Цитата:

Есть ли вариант настройки Samba, что бы она кэшировала учетные данные доменных пользователей и групп для нормальной работы в отсутствии контроллера домена?

Samba умеет работать в режиме BDC, что ей позволяет в случае падения основного домен-контроллера взять роль PDC на себя, так же возможно ваши проблемы решит сервер-терминалов, в случае обрыва канала связи связь пропадет только с сервером терминалов, что не так критично, т.к. все сессии запущенных программ сохранятся.

ginger
Что-то не припомню в списке возможностей 3-й самбы работать как контроллер домена АД. Тока в 4-й будет. Сервер терминалов - не вариант - т.к. работа в оффисе все равно встанет. Нужно кэширование учетных данных. Краем глаза где-то видел упоминание про PAM-модуль, который позволяет логиниться с доменной учеткой без доступного контроллера. Может он поможет?

FGUP

Цитата:

Что-то не припомню в списке возможностей 3-й самбы работать как контроллер домена АД

Вот статьи на эту тему :
SAMBA в роли PDC (модификация для FreeBSD 6.1 Release) _http://www.linuxportal.vrn.ru/?q=node/12
Samba в роли контроллера домена, без использования LDAP _http://www.lissyara.su/?id=1167
SAMBA PDC - установка, настройка, управление (Slackware) (samba domain pdc slackware) _http://www.opennet.ru/base/net/samba_pdc_slackware.txt.html

Дай запрос в google и тебя завалят подобными статьями.

После прочтения этих статей у меня осталось несколько вопросов. В Windows контроллер домена включает в себя: 1. собственно контроллер домена 2. DNS сервер 3. Active Directory. В Linux Active Directory пока не поддерживается. Контроллер домена - это Samba. DNS сервер строится на Bind . Нужно ли для создания контроллера домена на Linux настраивать Samba и Bind на одной машине ? Или можно настроить на одной машине Samba в качестве контроллера домена, а Bind настроить как кэшируюший DNS сервер на компе раздающем в локалку инет?

SergeyMark
всё в Linux/Unix поддерживается. Active Directory это вариант LDAP от Microsoft.
Есть небольшой How To для Ubuntu.

http://ebox-platform.com/ - всё в одном и с мордой.

SergeyMark

Читать я умею, гуглом пользоваться тоже. Нет задачи поднять контроллер в филиале, просто файл-сервер нужен. Из соображений экономии средств рассматривал вариант samba (в удаленных офисах по десятку человек всего). Файл-сервер под Win2003 позволяет использовать шары при недоступном контроллере, а самба нет, вот в этом и вся проблема. Если есть вариант решения этой проблемы - то в филиалах будут линукс-файл-сервера. Если нет - то буду пробивать лицензии на виндовс.

Если еще точнее ставить вопрос, то нужно заставить winbind "помнить" доменные учетки на время отсутствия контроллера.


Цитата:

Нужно ли для создания контроллера домена на Linux настраивать Samba и Bind на одной машине ?

Нет, как собственно и на контроллере Active Directory (если конечно не нужны интегрированные в АД зоны).

FGUP

Цитата:

Файл-сервер под Win2003 позволяет использовать шары при недоступном контроллере, а самба нет, вот в этом и вся проблема.

Это зависит от настроек самба, можно ведь не привязывать ее к доменной аутентификации. Добавь юзеров smbpasswd -a user , smbpasswd -e user и ничего страшного не произойдет если самба у юзера один раз спросит пароль при входе на шару.

Цитата:

Это зависит от настроек самба, можно ведь не привязывать ее к доменной аутентификации.

Мне нужна аутентификация в АД. Юзера пароли себе меняют на регулярной основе (групповая политика), каким образом они это будут делать с самбой?

Добавлено:
Все должно быть прозрачно, Пароль должен вводится 1 раз.

Всем привет, вопрос, как мне разграничить права доступа на папки внутри одной шары???
Т.е. у меня есть общий public, внутри нее папки user1 user2 user3 и т.д.
Мне надо чтоб внутри общей папки я мог назначить права на каждую папку для каждого пользователя - как в windows. Т.е. одному на папку user1 полный доступ, другому туда же только на чтение, третий вообще просмотреть ее не может и тд.

Я честно говоря удивился что столько проблем может возникнуть из за этого.
Как никрути в windows все это делается довольно таки просто.

Как я понял из форумов, возможно мне поможет posix acl.
Но сам пока не вкурсе как именно настроить.

Будьте добры, наведите на правильный путь.
Заранее благодарю!
Ubuntu 8.04

skatet

Цитата:

Как никрути в windows все это делается довольно таки просто.

Цитата:

Будьте добры, наведите на правильный путь.

Сначала хотел указать всем известный путь...
Ну да ладно:
http://samba.org/samba/docs/man/Samba-HOWTO-Collection/AccessControls.html
http://www.lissyara.su/?id=1460
http://www.bluelightning.org/linux/samba_acl_howto/
http://swik.net/ACL+samba
http://mar1ner.livejournal.com/315703.html
А самое главное гугль рулит!!!

skatet
ну acl это access list. в Windws это ведь делается похожим образом:
разрешения даём общее на шару.
более тонкие разрешения на уровне разрешений NTFS раздаём.

тут так же даём права на SAMBA
так же даём права на доступ к самим файлам и папкам на уровне OS.

FGUP

Цитата:

Файл-сервер под Win2003 позволяет использовать шары при недоступном контроллере

Чушь!


Цитата:

Все должно быть прозрачно, Пароль должен вводится 1 раз.

Так даже виндовс не будет работать...
но всё же попробуй passdb backend = tdbsam и пояснения тут:
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html

http://mar1ner.livejournal.com/315703.html - вот решение моих проблем!!!
Вы просто Боги! Спасибо, все гуд! То что доктор прописал!
дальше будем разбираться пока сами

Добавлено:
я просто балдею, какие безграничные возможности у меня появились! ))
единственное, это ограничить доступ, чтоб просто юзеры не могла прав понаустанавливать..

вопрос, а где лучше хранить public?
т.е. смысл такой: это будет общей папкой для 30 человек, объем всей шары примерно около 15Гб, и все это будет бакапиться (правда еще не вкурсе как ..
?
Так то все это работает под wind, но моя задача - переход на opensource, вот и мучаюсь

Помогит советом. Вообщем требуется создать шары с русскими именами, сейчас вот так:

Код:
# Global parameters

[global]
    dos charset = 866
    unix charset = UTF-8
    display charset = CP1251
    workgroup = WORK
    server string = File Server
    log file = /usr/local/samba/var/log.%m
    max log size = 50
    dns proxy = No
    oplock break wait time = 30
    ldap ssl = no
    hosts allow = 192.168.0., 192.168.2., 127.
    hosts deny = ALL

[Обновления]
    comment = Обновления Avast
    path = /home/avast_upd
    write list = admin
    read only = No
    create mask = 0777
    directory mask = 0777
    guest ok = Yes
    browseable = No

как пользователю (а лучше группе) из ad win 2003 дать права группы на linux сервере (допустим www-data)?
пробовал добавлять в /etc/group
www-data:x:33:DOMAIN\samba,samba
не получается.

Каллеги, просветите, плз..

Можно ли "скрестить" самбу на 2 домена..?
т.е., есть домен-1, контролером, к-рого является 2003-я виндузня;
далее, я хочу поднять домен-2 с контроллером на самбе (пдц+бдц), при том, чтобы самба также присутствовала в домене-1 (типа, "рабочая группа") и из-под винды (в домене-1) былибы доступны ее ресурсы..
Возможен ли такой венигрет?

и вообще, в принципе, может самба держать 2 воркгруппы? (забудем пока про домены и их контролёров) или это недопустимо...?