» Настройка Samba

golychev
Цитата:

да, тут написано как...

Спасибо за информацию . Скрипт хочу написать, чтобы он по расписанию подключался и копировал. Только не знаю, как сделать синхронизацию данных, чтобы все не копировать.

Цитата:

еще проще только через МС.

Попробую. Думаю пригодится.

neatstoi
Могу дать свои рабочие конфиги для сервера на Centos 6.4 + Samba 3 в доменной сети с AD под Windows Server 2003 R2.

Поставил Samba 4.0.13 настроил, ввёл в домен под управлением AD.
Проблема с мапингом. Порбовал разные варианты конфигурации сейчас стоят такие настройки:
passdb backend = tdbsam
auth methods = winbind

idmap config *:backend = tdb
idmap config *:range = 20001-30000

winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = Yes

в nsswitch.conf прописал winbind для passwd и group.
установил пакет libnss-winbind.

Собственно что имею на выходе:
wbinfo -t, wbinfo -u, wbinfo -g — работают корректно.
getent passwd — выдаёт кучу пользователей домена, НО не всех.
getent group — выдаёт только локальные группы.
getent group <имя группы> — показывает информацию, но опять же не о всех группах.

Соответственно пустоты выглядят так: uid=70074(ivanovi) gid=30001(пользователи домена) groups=30001(пользователи домена),4294967295,4294967295,4294967295,4294967295,4294967295,30008(BUILTIN\users)

Что мешает ему мапить остальные сущности? Логи log.winbindd и log.winbindd-idmap чистые.

Подскажите, как можно сделать доступ к информации через броузер не рутовому пользователю. Только к разделу STATUS, при наличии такой возможности.

FreeBSD 9.2-RELEASE FreeBSD 9.2-RELEASE #0 r255898: Fri Sep 27 03:52:52 UTC 2013 root@bake.isc.freebsd.org:/usr/obj/usr/src/sys/GENERIC i386

smb.conf:
unix charset = koi8-r
dos charset = cp1251
display charset = cp1251

Проблема следующая. Самба-сервер. При использовании ls русские названия отображаются нормально. С виндовых клиентов тоже все нормально, а вот smbstatus пишет русские имена файлов и папок каракулями. Как сделать правильную кодировку вывода smbstatus?

Вот вывод команды locale:
LANG=ru_RU.KOI8-R
LC_CTYPE="ru_RU.KOI8-R"
LC_COLLATE="ru_RU.KOI8-R"
LC_TIME="ru_RU.KOI8-R"
LC_NUMERIC="ru_RU.KOI8-R"
LC_MONETARY="ru_RU.KOI8-R"
LC_MESSAGES="ru_RU.KOI8-R"
LC_ALL=ru_RU.KOI8-R

dos charset = CP866
unix charset = UTF-8 (koi8-r)
display charset = UTF-8 (koi8-r)

digital422Помогло, спасибо. Не совсем понимал charsetы эти, где какой играет роль

Обновился на днях до Debian wheezy. Была одна шара, подмонтированная к другой Windows шаре через mount -t cifs -o user=***,password=*** \\server\share \mnt. После обновления размер папок в источнике при просмотре через консоль-0, в windows станции папки понятно не открываются. Как временное решение сделал синхронизацию через rsync. Что натворили в новой версии, кто сталкивался с подобным ?

Знаю что в гугле можно найти кучу подобных тем, но никак не могу победить. Нужно сделать аудит файлов в самба, на rmdir, unlink, rename. Раньше делал на Centos5, щас на фряхе никак не справлюсь
Подскажите плиз, что не так:

[root@host /var/log/samba]# uname -a
FreeBSD host 9.2-RELEASE FreeBSD 9.2-RELEASE #0 r255898: Fri Sep 27 03:52:52 UTC 2013 root@bake.isc.freebsd.org:/usr/obj/usr/src/sys/GENERIC i386


#======================= Global Settings =====================================
[global]
workgroup = NET
netbios name = host
server string = FileServer
security = share
guest account = nobody
hosts allow = 192.168.0.0/24 127.0.0.0/8
create mask =0777
directory mask = 0777
force create mode = 0777
force directory mode = 0777
syslog = 0
log level = 0 vfs:2
max log size = 0

unix charset = koi8-r
dos charset = cp866
display charset = koi8-r


[Exchange]
path = /smbshares/exchange
comment = public folder
browseable = yes
writable = yes
guest only = yes
guest ok = yes
vfs objects = full_audit recycle
vfs objects = full_audit recycle
full_audit:prefix = %I
full_audit:success = rmdir, unlink, rename

[Control]
path = /smbshares/control
comment = special folder
browseable = no
writable = yes
guest only = yes
guest ok = yes
vfs objects = full_audit recycle
full_audit:prefix = %I
full_audit:success = rmdir, unlink, rename


В конце /etc/syslog.conf:
local5.notice /var/log/samba/audit.log

В общем сейчас дошел до того что у меня все получилось, в статье http://it-talk.org/topic7707.html подробно объясняется принципы работы .
Но вот все логи забиты такими операциями |is_offline|fail (Operation not supported), причем например до записи unlink (которую я и тестил удалением файла), с этим же файлом 2 операции с действием |stat|fail (No such file or directory)|. Что это, как убрать. у меня стоит в конфе:
syslog = 7
log level = 0 vfs:1
max log size = 0
vfs objects = full_audit recycle
full_audit:prefix = %I
full_audit:success = rmdir, unlink, rename
full_audit:failure = none
full_audit:facility = local5
full_audit:priority = notice
В сислоге notice5 в спецфайл для логов самбы перенаправляется.
Конечно, шара работает, эти сообщения возможно ниочем опасном не говорят, я буду потом грепом в архив логи файлового аудита скидывать а общий загаженный лог /дев/нуллить, но все же хотелось понять вдруг можно правильно понять и убрать эти миллионы |is_offline|fail (Operation not supported) записей

Добрый день!
Вот какой случай приключился. Есть два домена в сети, один на Linux (Samba 3.0 (с WINS и мастер-браузер), DHCP), другой на 2003 Small Business Server со статическим IP. SBS решили перетащить на другое железо. После перетаскивания SBS хапнул динамический IP с сервера под Linux, который, естественно отличается от прошлого статического. Вернул IP на место ipconfig /release и задал правильный статический IP. И начались косяки.
При пинге по NetBios- имени SBS не отвечает (по IP ок и по полному DNS-имени тоже ок) , так как этом резолвится динамический IP, который SBS взял с DHCP. Вопрос - где он сохранился? В WINSе? тогда как очистить (обновить) таблицы WINS? Чистил /var/lib/samba/wins.dat от неправильной записи - после перезапуска служб Samba неправильная запись появляется вновь.
nbtstsat -RR делал на SBS - безрезультатно. Надеюсь на помощь

как посмотреть в самбе какие файлы открыты и кем (ip-адреса). smbstatus -L показывает файлы, а вот еще бы знать с каких IP

Добавлено:
Либо мне нужно в lsof посмотреть чтобы было и имя файла и ip адрес, вот ключи не пойму какие нужны

Всем доброго времени суток!
1)Поставил samba на freebsd 9.2. Создал системного пользователя и пользователя samba с одним и тем же логином и паролем!
2) Дал права системному польз. на шары
3) D samba.conf в параметре valid users = польз. samba, write = yes.
4) В итоге авторизация проходит успешно, шары появляются, а доступа нет! в логах ошибок нет! Процессы samba запущены. А вот в шары не пускает, пишет доступа нет!

Подскажите в чем могут быть причины!

Добавлено:
Всем доброго времени суток!
1)Поставил samba на freebsd 9.2. Создал системного пользователя и пользователя samba с одним и тем же логином и паролем!
2) Дал права системному польз. на шары
3) D samba.conf в параметре valid users = польз. samba, write = yes.
4) В итоге авторизация проходит успешно, шары появляются, а доступа нет! в логах ошибок нет! Процессы samba запущены. А вот в шары не пускает, пишет доступа нет!

Подскажите в чем могут быть причины!

Fedrr

Цитата:

параметре valid users = польз. samba, write = yes.

а пользователь самбы имеет права на шары? другими словами, кто владелец каталогов, которые вы раздаете по сети?И ещё момент, посмотрите логи самбы (хотя и так понятно, какая там будет повторяться фраза...).

[more] Доброе утро, гуру samba
Я новичок в samba, но я решился протестировать samba 4, и посмотреть что это за продукт.
Я установил samba 4 на linux debian и используя официальное HOWTO на Wiki поднял контроллер домена в режиме совместимости с Windows Server 2003R2. Я успешно завел в созданный домен клиентские станции на ОС XP, Windows 7.
У меня есть дисковая полка Thecus n8900 - в основе firmware linux с samba3. В целях того чтобы не испортить полку и не иметь проблем с обновлениями, я не хочу что-либо добавлять и перенастраивать в linux дисковой полки.
Полка поддерживает ADS/NT и может быть присоединена к домену Windows для того, чтобы работала авторизация пользователей из домена.
При вводе дисковой полки в домен я получаю ошибку - "Не верен указанный id Администратора или пароль". При этом id administrator и пароль - pass, абсолютно точно верны и существуют в домене samba 4.
Чтобы посмотреть, что происходит на контроллере с samba 4 я включил уровень логирования log level=4 в smb.conf, и увидел, что дисковая полка предпринимает попытки авторизоваться используя ntlmv2, на данной стадии возникает ошибка, поддерживает ли samba 4 ntlmv2 в режиме контроллера домена для меня вопрос ?

Вот ошибка из лога log.samba (SAN1 - имя полки)

[2014/05/21 22:22:48.080848, 3] ../libcli/auth/ntlm_check.c:587(ntlm_password_check)
ntlm_password_check: LM password, NT MD4 password in LM field and LMv2 failed for user SAN1$
[2014/05/21 22:22:48.080922, 2] ../source4/auth/ntlm/auth.c:420(auth_check_password_recv)
auth_check_password_recv: sam_ignoredomain authentication for user [BIZNES\SAN1$] FAILED with error NT_STATUS_WRO NG_PASSWORD

Я пробовал добавлять поддержку ntlmv2 в smb.conf samba 4, но samba 4 это не воспринимает:

client lanman auth = no
client ntlmv2 auth = yes

Вот конфиг samba4, smb.conf

# Global parameters
[global]
workgroup = BIZNES
realm = BIZNES.GR
netbios name = PDC
interfaces = 127.0.0.1 192.168.21.5
lanman auth = no
ntlm auth = no
client lanman auth = no
client ntlmv2 auth = yes
log file = /var/log/samba/log.samba
log level = 4
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
bind interfaces only = yes
server role = active directory domain controller
nsupdate command = /usr/bin/nsupdate -g
dns forwarder = 8.8.8.8
idmap_ldb:use rfc2307 = yes

[netlogon]
path = /var/lib/samba/sysvol/biznes.gr/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

Вот testparm smb.conf, при котором samba 4 строчку client ntlmv2 auth = yes игнорирует

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[netlogon]"
Processing section "[sysvol]"
Loaded services file OK.
Server role: ROLE_ACTIVE_DIRECTORY_DC
Press enter to see a dump of your service definitions

[global]
workgroup = BIZNES
realm = BIZNES.GR
interfaces = 127.0.0.1, 192.168.21.5
bind interfaces only = Yes
server role = active directory domain controller
passdb backend = samba_dsdb
ntlm auth = No
log file = /var/log/samba/log.samba
load printers = No
printcap name = /dev/null
disable spoolss = Yes
dns forwarder = 8.8.8.8
nsupdate command = /usr/bin/nsupdate -g
rpc_server:tcpip = no
rpc_daemon:spoolssd = embedded
rpc_server:spoolss = embedded
rpc_server:winreg = embedded
rpc_server:ntsvcs = embedded
rpc_server:eventlog = embedded
rpc_server:srvsvc = embedded
rpc_server:svcctl = embedded
rpc_server:default = external
idmap_ldb:use rfc2307 = yes
idmap config * : backend = tdb
printing = bsd
print command = lpr -r -P'%p' %s
lpq command = lpq -P'%p'
lprm command = lprm -P'%p' %j
map archive = No
map readonly = no
store dos attributes = Yes
vfs objects = dfs_samba4, acl_xattr

[netlogon]
path = /var/lib/samba/sysvol/biznes.gr/scripts
read only = No

[sysvol]
path = /var/lib/samba/sysvol
read only = No

Вот конфиг smb.conf с полки (не весь только global)

[global]
server string = %h
deadtime = 15
hide unreadable = yes
load printers = no
log file = /opt/samba/var/log/samba.%m
log level = 0
max log size = 50
encrypt passwords = yes
case sensitive = auto
passdb backend = tdbsam
socket options = TCP_NODELAY
use sendfile = yes
strict allocate = yes
local master = no
domain master = no
preferred master = no
dns proxy = no
dos charset = utf8
unix charset = utf8
display charset = utf8
allow trusted domains = yes
idmap uid = 20000-60000000
idmap gid = 20000-60000000
winbind separator = +
winbind nested groups = yes
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
create mask = 0644
map acl inherit = yes
nt acl support = yes
#map system = yes
bind interfaces only = yes
interfaces = lo,eth1,eth2,eth0
guest account = nobody
map to guest = Bad User
guest only = yes
workgroup = biznes.gr
security = user
auth methods = guest sam_ignoredomain
password server = *
realm = BIZNES.GR
idmap backend = rid
wins server =
client ntlmv2 auth = yes
unix extensions = no
printcap name = /dev/null
server signing = disabled
client ldap sasl wrapping = plain
oplocks = yes
veto oplock files = /J0*.WMF/*_.GIF/J0*.JPG/*_.WMF/
block size = 4096
allocation roundup size = 1048576
veto files = /folder.db/.AppleDouble/.AppleDB/.bin/.AppleDesktop/Network Trash Folder/:2eDS_Store/.DS_Store/
nt acl support = yes

прошу помощи, на текущий момент в голове каша, и вопросы:

Может ли полка с samba 3 интегрирована в домен на samba 4, samba 4 использует kerberos, samba 3 пытается авторизоваться используя ntlm2

Буду рад любой помощи, в том числе и советом где-что можно почитать по данным вопросам ?
[/more]

разобрался сам, как оказалось прежде чем вводить дисковую полку в домен, нужно создать учетную запись компьютера с именем полки и указать что данный компьютер имеет статус пред-Windows 2000, для использования ntlm2 я так полагаю, я использовал RSAT.

Ставлю openfire по этой инструкции: http://www.pvsm.ru/windows/35499
Конфиг самбы и кербероса оттуда, адаптировал для себя. Мой домен clinica.local. контроллер домена сидит на 192.168..6.254 Называется SVR-DC2

Лог самбы
[more][global]

workgroup = CLINICA
realm = CLINICA.LOCAL
security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
kerberos method = secrets and keytab
winbind refresh tickets = yes
password server = clinica.local
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes [/more]

krb5.conf
[more][libdefaults]
default_realm = CLINICA.LOCAL
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
default_tkt_enctypes = rc4-hmac des3-cbc-sha1 des-cbc-crc des-cbc-md5
default_tgs_enctypes = rc4-hmac des3-cbc-sha1 des-cbc-crc des-cbc-md5
permitted_enctypes = rc4-hmac des3-cbc-sha1 des-cbc-crc des-cbc-md5
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
CLINICA.LOCAL = {
kdc = clinica.local
admin_server = clinica.local
default_domain = CLINICA.LOCAL
}
ATHENA.MIT.EDU = {
kdc = kerberos.mit.edu:88
kdc = kerberos-1.mit.edu:88
kdc = kerberos-2.mit.edu:88
admin_server = kerberos.mit.edu
default_domain = mit.edu
}
MEDIA-LAB.MIT.EDU = {
kdc = kerberos.media.mit.edu
admin_server = kerberos.media.mit.edu
}
ZONE.MIT.EDU = {
kdc = casio.mit.edu
kdc = seiko.mit.edu
admin_server = casio.mit.edu
}
MOOF.MIT.EDU = {
kdc = three-headed-dogcow.mit.edu:88
kdc = three-headed-dogcow-1.mit.edu:88
admin_server = three-headed-dogcow.mit.edu
}
CSAIL.MIT.EDU = {
kdc = kerberos-1.csail.mit.edu
kdc = kerberos-2.csail.mit.edu
admin_server = kerberos.csail.mit.edu
default_domain = csail.mit.edu
krb524_server = krb524.csail.mit.edu
}
IHTFP.ORG = {
kdc = kerberos.ihtfp.org
admin_server = kerberos.ihtfp.org
}
GNU.ORG = {
kdc = kerberos.gnu.org
kdc = kerberos-2.gnu.org
kdc = kerberos-3.gnu.org
admin_server = kerberos.gnu.org
}
1TS.ORG = {
kdc = kerberos.1ts.org
admin_server = kerberos.1ts.org
}
GRATUITOUS.ORG = {
kdc = kerberos.gratuitous.org
admin_server = kerberos.gratuitous.org
}
DOOMCOM.ORG = {
kdc = kerberos.doomcom.org
admin_server = kerberos.doomcom.org
}
ANDREW.CMU.EDU = {
kdc = kerberos.andrew.cmu.edu
kdc = kerberos2.andrew.cmu.edu
kdc = kerberos3.andrew.cmu.edu
admin_server = kerberos.andrew.cmu.edu
default_domain = andrew.cmu.edu
}
CS.CMU.EDU = {
kdc = kerberos.cs.cmu.edu
kdc = kerberos-2.srv.cs.cmu.edu
admin_server = kerberos.cs.cmu.edu
}
DEMENTIA.ORG = {
kdc = kerberos.dementix.org
kdc = kerberos2.dementix.org
admin_server = kerberos.dementix.org
}
stanford.edu = {
kdc = krb5auth1.stanford.edu
kdc = krb5auth2.stanford.edu
kdc = krb5auth3.stanford.edu
master_kdc = krb5auth1.stanford.edu
admin_server = krb5-admin.stanford.edu
default_domain = stanford.edu
}
UTORONTO.CA = {
kdc = kerberos1.utoronto.ca
kdc = kerberos2.utoronto.ca
kdc = kerberos3.utoronto.ca
admin_server = kerberos1.utoronto.ca
default_domain = utoronto.ca
}
[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
.media.mit.edu = MEDIA-LAB.MIT.EDU
media.mit.edu = MEDIA-LAB.MIT.EDU
.csail.mit.edu = CSAIL.MIT.EDU
csail.mit.edu = CSAIL.MIT.EDU
.whoi.edu = ATHENA.MIT.EDU
whoi.edu = ATHENA.MIT.EDU
.stanford.edu = stanford.edu
.slac.stanford.edu = SLAC.STANFORD.EDU
.toronto.edu = UTORONTO.CA
.utoronto.ca = UTORONTO.CA
.clinica.local = CLINICA.LOCAL
clinica.local = CLINICA.LOCAL
[login]
krb4_convert = true
krb4_get_tickets = false
[/more]

файл хостст
[more]127.0.0.1    localhost
127.0.1.1    SVR-IM.clinica.local    SVR-IM
192.168.6.254 clinica.local clinica

# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters [/more]

При выполнении root@SVR-IM:/tmp# net ads join -U admkp@clinica.local -D CLINICA.LOCAL
Enter admkp@clinica.local's password:
Получаю
Failed to join domain: failed to find DC for domain WORKGROUP

Где накосячил с файлом конфигурации?

obtim
Такая ошибка при не работающем DNS, который обязателен для контроллера домена.
У меня подобное было при отсутствии прав у самбы на доступ к зонам ДНС...

ingvar1972
Действительно проблема в днс. Почему-то он работает на всех машинах кроме этой(debian 7.5). Спасибо за наводку.

Samba на freebsd, диск sata 7200 оборотов, карточка 100 мбит/с. Пользователь открывает некий файл с самбы на компьютере с win7, что-то делает с ним, сохраняет. Программа в которой открыт файл начинает сохранять его и подвисает, белеет на несколько минут, посмотрел используя Process Monitor. Очень много обращений к файловому серверу на запись файла, на пользовательский компьютер нагрузки нет. Соответственно необходимо чтобы такие файлы шустро сохранялись. Подскажите, как оптимизировать самбу для таких задач?

логи на фряхе есть какие?

Похоже с samba порядок, уперся в пропускную способность локальной сети.

Здрасьте.
Слышал что в линуксе файлы открытые на редактирование не блокируются (если не прав то поправьте плиз), в отличии от винды, но вроде как через Samba расшареные всё же блокируются. Можете просвятить?
1) Samba и блокировки для пользователей windows
2) Блокировки или их отсутствие для сети, где клиенты ubuntu (подозреваю что там и без самбы можно примонтировать файловую систему нескольким компам и работать с ее файлами одновременно)

не блокируются.

программы разбираются сами, офис когда открывает файл он рядышком ложит темповый файл. Для другого офиса это является указанием, что файл уже открыт на чтение.

tankistua
в винде например если файл открыт офисом - его удалить даже не получится. то есть не другой офис к нему стучится, а даже команды, отличные от чтения

ага - именно так и есть, линух без проблем даст удалить файл. Но в действительности с этим моментом лично у меня за 10 лет ни разу не возникало никаких вопросов и непоняток. Это не проблема

tankistua
Ты прав, на то она и файловая шара чтоб был общий доступ и у кого он есть - пусть делают че хотят. это не для ценных файлов место

ну у меня фря стоит, на zfs-е, делаю снапшоты. Можно хоть каждые 5 минут делать - я делаю раз в сутки, хватает.

нужна помощь:
samba 3 на rhel 6, samba не в домене (режим security = user), windows рабочие станции которые не в домене спокойно подключаются и авторизуются в расшаренный каталог, проблема с windows рабочие станции которые в домене, samba спрашивает пароль, но не пускает их (хотя логин и пароль верные)

Ребят есть конфиг такой:

Код:
[global]
workgroup = OOO-ARSENAL
realm = OOO-ARSENAL.RU
server string = Samba Server Version %v
security = ADS
auth methods = winbind
log file = /var/log/samba/%m-%U.log
max log size = 50
server max protocol = SMB2
template homedir = /home/%U
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
idmap config OOO-ARSENAL.RU:range = 20000 - 49999
idmap config OOO-ARSENAL.RU:base_rid = 0
idmap config OOO-ARSENAL.RU:backend = rid
idmap config * : range = 16777216-33554431
idmap config * : backend = tdb
inherit permissions = Yes
inherit acls = Yes
inherit owner = Yes
map acl inherit = Yes
cups options = raw

[homes]
comment = Home Directories
read only = No
browseable = No

[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
print ok = Yes
browseable = No

[Управление персоналом]
comment = UPP Share Dir
path = /home/upp
valid users = @admins-proxy
write list = @admins-proxy
read only = No
create mask = 0666
force create mode = 0666
directory mask = 0777
force directory mode = 0777
delete readonly = Yes