» Настройка Samba

luckydevil13
Цитата:

Все-равно не работает

А как же это:
Цитата:

да, на \\192.168.56.102\me заходит

Файл host надо править на машине клиенте.

Кто-нибудь ставил Samba4 alpha 18 на FreeBSD 9 ?

Вопрос
radmir0209
Можно в секции нужной шары описать valid users.
А можно разрулить непосредственно правами в ФС (если достаточно то ugo, если нет то ACL).

Уважаемые линуксоводы и фрибсдшники!
Целый день бьюсь с Самбой, точнее ее логами.
Необходимо чтобы в лог писалось при неудачной попытке авторизации на самбе.
log level = 1 auth:10 выдает не совсем то что нужно
необходимо формат лога привести к виду аля FAILURE auth user root from 10.111.1.97
модуль full_audit вобще почемуто не пишет попытки авторизации, только удачные подключения
vfs objects = full_audit
full_audit:prefix = %u|%I|
full_audit:failure = all
full_audit:success = all
full_audit:priority = notice

Подскажите, как бы решить эту проблему?

неужели никто не занимался безопасностью самбы?

zett
Собственно чем именно Вас не устроил вывод текущий?
Для того что бы появлялись сообщения о статусе аутентификации достаточно log level = auth:2, полная строка у меня выглядит так: log level = 0 auth:2 vfs:1. И при этом vfs full_audit я вообще не использовал.
Если хотите конечно можно использовать и vfs, но не забудьте его log level тоже подправить.

Дело в том что в таком случае при ошибках логина он будет писать следующее

Цитата:

[2012/06/19 11:05:16.693924, 2] auth/auth.c:319(check_ntlm_password)
check_ntlm_password: Authentication for user [userlogin] -> [userlogin] FAILED with error NT_STATUS_NO_SUCH_USER

а мне хотелось бы чтоб в подобной строке был еще и его ип, для последующей блокировки его fail2ban'om

Можно ли тут чтото сообразить?

zett
А модуль full_audit не пишет события аутентификации вовсе, так что он Вам не помощник...
А как заставить выводить auth и ip-адрес я хз...

Все свои изыскания и попытки добыть ip как и из winbind на уровне samba так и рассматривал pam_winbind.so -— нигде не наш1 упоминания об логировании ip. Правда все это я проводил не на самом свежем софте — Debian Etch и Samba 3.5.5.

Alukardd
у меня самба 3.6.4 но все тоже самое, с фул аудитом понял что бесполезно, сразу когда включил вывод всех ошибок. Что за тупизм не писать ошибочные попытки логина хз, нада разработчикам самбы написать наверно Думал даже пересобрать самбу с изменениями auth.c, чтобы тот писал ип тоже, но щяс чтото эта идея меня покидает..

Всеже еще надеюсь решить вопрос более-менее штатными способами.

Трабл: Could not authenticate user with plaintext password. SAMBA (winbind) и я ньюб во FreeBSD
gate# id CONTOSO\\admin
id: CONTOSO\admin: no such user
но в то же время!
gate# wbinfo --get-auth-user
CONTOSO\admin%More1234
gate# wbinfo -a CONTOSO\\admin%More1234
plaintext password authentication succeeded
challenge/response password authentication succeeded
НО если без домена то :
gate# wbinfo -a admin%More1234
plaintext password authentication failed
Could not authenticate user admin%More1234 with plaintext password
challenge/response password authentication succeeded
gate# id admin
id: admin: no such user
gate# wbinfo -t
checking the trust secret via RPC calls succeeded
gate# wbinfo -p
Ping to winbindd succeededgate# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@CONTOSO.COM
Issued Expires Principal
Jun 30 00:59:35 Jun 30 10:59:35 krbtgt/CONTOSO.COM@CONTOSO.COM
Jun 30 06:48:42 Jun 30 10:59:35 ldap/server1.contoso.com@CONTOSO.COM

Тренируюсь на витруалках.
1) FreeBSD gate.contoso.com 8.3-RELEASE FreeBSD 8.3-RELEASE #0: Mon May 7 01:28:11 UTC 2012 root@gate.rbr.local:/usr/obj/usr/src/sys/NAT i386
2) server1.contoso.com AD Win2008R2 SP1
Чтобы не создавать из поста простынь не выкладываю конфиги - но по кругу проверил krb5.conf nsswitch.conf smb.conf hosts resolver.conf rc.conf

LAV73
Цитата:

Чтобы не создавать из поста простынь не выкладываю конфиги

для конфигов есть [no][more][/more][/no]!
включите в конфиге samba debug авторизации — log level = auth:2.
И покажите нам после этого сообщения из лога о неудачной авторизации, так же хочется знать с какого клиента вы пытаетесь войти и как при этом вводите логин.
И конфиг samba обязательно в студию, как минимум строки с указанием типа авторизации и т.п.

Alukardd
Подумал, что дело в 2008R2 -развернул 2003R2 ( DC2003 - 192.168.0.111)
dcpromo и домен назвал CONTOSO.LOCAL
Перестроил конфиги и без проблем подключил net ads join -U Administrator
Проблема осталась - один в один, значить с конфигами беда.
До авторизации с клиента я не дошел. Ибо пока хочу заставить работат
id Administrator
как я писал работате wbinfo -a CONTOSO\\Administrator%More1234
wbinfo -a Administrator%More1234 - не работает.


cat /etc/rc.conf
[more]
# -- sysinstall generated deltas -- # Thu May 3 12:01:04 2012
# Created: Thu May 3 12:01:04 2012
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
keymap="ru.koi8-r"
ifconfig_de0="inet 192.168.0.116 netmask 255.255.255.0"
ifconfig_de1="inet 10.7.7.183 netmask 255.255.255.0"
gateway_enable="YES"
defaultrouter="10.7.7.2"
sshd_enable="YES"
hostname="gate.contoso.local"
natd_enable="YES"
natd_interface="de1"
natd_flags="-f /etc/natd.conf" #Опции для NAT опишем в отдельном файле
#firewall_enable="YES"
#firewall_script="/etc/rc.firewall" #Скрипт с правилами ipfw
rpcbind_enable="YES"
ntpdate_enable="YES"
ntpdate_flags="-b 192.168.0.111"
#ntpd_enable="YES"
smbd_enable="YES"
nmbd_enable="YES"
winbindd_enable="YES"
winbindd_flags="-d 9"
cupsd_enable="YES"
# -- sysinstall generated deltas -- # Sat Jun 30 00:00:47 2012
mousechar_start="3"
font8x8="cp866-8x8"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
[/more]

некоторые строки из smb.conf

[more]
workgroup = CONTOSO
server string = GATE FreeBSD
security = ads
password server = dc2003.contoso.local
realm = contoso.local
passdb backend = tdbsam
local master = no
os level = 0
local master = no
domain master = no

preferred master = no

display charset = koi8-r
unix charset = koi8-r
dos charset = cp866

encrypt password = yes
winbind use default domain = yes
winbind uid = 1000-1500
winbind gid = 1000-1500
winbind enum users = yes
winbind enum groups = yes
winbind separator = /
[/more]

gate# cat /etc/krb5.conf
[more]
[libdefaults]
default_realm = CONTOSO.LOCAL
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}

[realms]

CONTOSO.LOCAL = {
kdc =dc2003.contoso.local
}
[domain_realm]
.contoso.local = CONTOSO.LOCAL
contoso.local = CONTOSO.LOCAL
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
[/more]

resolv.conf
domain contoso.local
nameserver 192.168.0.111

LAV73
можно жёстко указать auth methods = winbind
Не люблю я зону .local... Вы уверены что у Вас фря резолвит соответствующие имена в ip?
Попробуйте прописать password server = ip_контроллера

p.s. Тэг more можно как-то обозвать — [no][more=тут что-то есть][/more][/no] -> [more=тут что-то есть]something[/more]. А вообще ознакомьтесь.

Alukardd
Я попробую auth methods = winbind.
Насчет резолвиться да все резолвиться вааще во все стороны
В смысле я даже PTR прописал
странно что для учетки требуеться указывать полное имя - разве он не должен подхватывать значение realm ?

LAV73
Да не помню уже...
Значит с полным\именем Вас пускает? Доменные пользователи после логона при попытке войти и так передадут своё имя полностью автоматом...

Товарищи, помогите нубу. Мне необходимо, чтобы папка на сервере была доступна для чтения гостям, но при этом чтобы в нее так же могли писать определенные юзеры. В идеале, чтобы окошко авторизации появлялось при попытке записать что-либо в папку, такое вообще возможно? На первый взгляд подходящее свойство для этого - write list - не работает при установленном security = share. Другое значение вроде security = user мне не подойдет.
Подскажите, какие могут быть здесь решения.

сделай вторую шару - с другим именем, но в эту же директорию.

Я сделал так:


Код: [reports]
comment = contracts
path = /samba/reports
writable = no
guest ok = yes
create mask = 0664
delete readonly = yes
directory mode = 775
read only = yes
hide files = /desktop.ini/Thumbs.db/WINDOWS/

[reports-writable]
comment = reports writable
path = /samba/reports
writable = yes
guest ok = yes
create mask = 0664
delete readonly = yes
directory mode = 775
read only = no
hosts allow = 192.168.24.25 192.168.24.22
hide files = /desktop.ini/Thumbs.db/WINDOWS/

То что надо, огромное спасибо. Решение просто и гениально, я бы сказал)

Доброго дня!
Подскажите с такой проблемой, при устанвке из портов samba36 ругается на pkg-config

Код: gw# whereis samba36
samba36: /usr/ports/net/samba36
gw# cd /usr/ports/net/samba36 && make install clean
===> samba36-3.6.5 depends on package: tdb>=1.2.6 - found
===> samba36-3.6.5 depends on package: talloc>=2.0.1 - found
===> samba36-3.6.5 depends on executable: gmake - found
===> samba36-3.6.5 depends on executable: pkgconf - not found
===> Verifying install for pkgconf in /usr/ports/devel/pkgconf
===> Installing for pkgconf-0.8.5

===> pkgconf-0.8.5 conflicts with installed package(s):
pkg-config-0.25_1

They install files into the same place.
Please remove them first with pkg_delete(1).
*** Error code 1

Stop in /usr/ports/devel/pkgconf.
*** Error code 1

Stop in /usr/ports/net/samba36.
*** Error code 1

Stop in /usr/ports/net/samba36.

вай маладэц!
[more=какая полезная инфа] софт при установке сказал "найдена старая версия, удалите её командой абвгд", ты запустил команду абвгд и после этого софт поставился.
красивое, элегантное решение.[/more]

А winbind где-нить хранит пользователей полученных из AD? Т.е. есть ли некий файл где они хранятся, и где можно его редактировать?
Вопрос собственно возник из-за того, что есть желание изменить homedir, но только одну юзеру.

Народ хелп есть самба и так компьютеров 60-70 с ХП на борту, регулярно на рандомном компьютере пропадает доступ к расшареной папке на самбе,(без пароля без имени), ничего не помогает кроме - если переставить винду доступ появляется НО пропадает на каком нибуть другом компьютере, причем в абсолютно рандомном порядке, вот пример конфига шары

[global]
dos charset = cp866
workgroup = OPTK
server string = Linux
interfaces = eth1, eth1:1, eth1:2, eth1:3, eth1:4, eth1:5, eth1:6, eth1:14, eth1:9, eth1$
bind interfaces only = Yes
security = SHARE
encrypt passwords = No
preferred master = Yes
wins server = 192.168.10.1
hosts deny = 192.168.8.
hosts allow = 192.168.9. ,192.168.6. ,192.168.1. ,192.168.2. ,192.168.3.
# wins support = yes
# domain master = yes
# local master = yes

AresTA
Цитата:

, eth1$

а это ещё зачем?
Что значит пропадает доступ? Начинает спрашиваться логин/пароль или просто пишет, что нету доступа? Что в логах (если что добавьте log level = auth:2)?

Требует логин и пароль причем ради интереса вводил рутовский и юзерский доступа нет

AresTA
Цитата:

Что в логах (если что добавьте log level = auth:2)?

И как устроена шара? guest ok = yes? И valid users не указаны?

guest ok valid ту знаю так как не я ставил шару

дано
комп - ubuntu 12.04
два ноута под win7 с юзерами user1 и user2
иногда приходит гость - win или мак

на убунте хочу сделать такие шары:

- /media/disk чтобы у user1 был полный доступ, а все остальные даже не видели эту шару.

- /media/disk/share чтобы был полный доступ у user1 и user2 и доступ на чтение для гостей.

плиз хелп, а то возникли непонятки чето.. надо ли на убунте создавать юзеров user1 и user2 ? если да - то надо ли им указывать пароли такие на винде ?
я почемуто думал что удасться указать их в username map но чтото не работает..
в файле /etc/samba/smbusers прописал:
root = user1
права на /media у рута точно есть, но на ноуте с user1 при отрытии убунты спрашивает пароль..

вот smb.conf


Код:
# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[print$]"
Processing section "[disk]"
Processing section "[share]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

[global]
server string = %h server (Samba, Ubuntu)
map to guest = Bad User
obey pam restrictions = Yes
guest account = banka
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
username map = /etc/samba/smbusers
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
read raw = No
socket options = SO_RCVBUF=524288 SO_SNDBUF=524288 TCP_NODELAY
dns proxy = No
panic action = /usr/share/samba/panic-action %d
idmap config * : backend = tdb

[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printable = Yes
print ok = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers

[disk]
path = /media/disk
valid users = root
read only = No
[share]
path = /media/disk/share
read only = No
guest ok = Yes

zett
Доброго времени суток, получилось самбу к fail2ban прикрутить ? У спмого назрела такая потребность. Но как решить не знаю, опыта мало ( И гугл ничего толкового не говорит (
А юзвери с локалки так и лезут, и выключать не охота .. так как удобно ... а они гады брутят (

Возможно есть идеи по защите самбы от брута ?

Добавлено:
AresTA
Если память не изменяет, то ХРюша использует сразу 2 порта для подключения 139 и еще какой то... из за этого порой и бывают траблы. У меня это лечилось вставкой в конфиг самбы вот такой строчки smb ports = 139. То есть принудительно разрешаешь подключение только по 139 порту.

GaDiNa
Если не ошибаюсь, всех пользователей надо создать и в системе и в smbpasswd файле, если конечно они каким-нибудь другим образом (winbind, например) не мапятся на системные id'шники.
Что бы пароль не справшивался надо поменять модель доступа: security = share в global секцию.
Вообще через шапку данной темы можно долезть до хорошей ссылки.

Доброго времени суток, коллеги!
Заранее простите, если тема уже поднималась.
Проблема вот в чем. Плотно захотелось попробовать линукс (до того всегда был закоренелым форточником. Скачал Linux mint 13. Попытался настроить локалную сеть между двумя компами (один - линукс, второй - W7 x64). После танцев с бубном (в теме - полный чайник) добился того, что Линукс чудесно видит расшаренные ресурсы Windows-машины, интернет пошел, но windows шары на линуксе не видит в упор, как и сама Линукс не видит своих собственных шар (пишет "Unable to mount location. Failed to retrieve share list from server". Я так понимаю, проблема в файле smb.conf, точнее, в его настройке. Никто не поможет настроить подобающим образом? Буду благодарен, потому как первый раз так близко к пингвину.

Мои настройки:

[global]
workgroup = AMBER
netbios name = Linux
server string = Samba Server
printcap name = /etc/printcap
printing = cups
cups options = raw
log file = /var/log/samba/log.smbd
max log size = 50
debug level = 5
security = share
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY
SO_SNDBUF = 8192
SO_RCVBUF = 8192
local master = yes
domain master = no
wins support = no
dns proxy = no
guest ok = yes
guest account = nobody
unix charset = utf8
dos charset = cp1251
display charset = cp1251
[printers]
path = /usr/spool/public
guest ok = yes
printable = yes
[print$]
commant = Printer
driver path = /var/lib/samba/printers [Public]
path = /home/swansong/TEST
writable = yes
create mask = 0666
directory mask = 0777
read only = no
[distrib]
path=/home/archibyte/distrib writable = no
guest ok = yes
create mask = 0666
directory mask = 0777
read only = yes
[TEST]
comment = test
path = /home/swansong/TEST
directory mask = 0771
read only = no
available = yes
browaseble = yes
public = yes
writeable = yes