» Настройка Samba

Есть домен под управдением вин2003 СП1, работающий в режиме 2003. Хочтся сделать файловую помойку под управление unix like system с авторизацие через домен. В данный момент имеется тестовый сервак под Debian 4.0r0 Версия самбы 3.0.24.

Адрес файлового сервака 192.168.1.30 netbios-имя debian4
Адрес главного контроллера домена 192.168.1.3 netbios-имя pdc
В днс контроллера домена добавлена А-запись 192.168.1.30 debian4.domain.org

На файловом сервере в /etc/resolv.conf

Цитата:

search domain.org
nameserver 192.168.1.3

На файловом сервере в /etc/hosts

Цитата:

127.0.0.1 localhost
192.168.1.30 debian4.domain.org debian4

192.168.1.3 pdc.domain.org pdc
192.168.1.3 domain.org domain

На файловом сервере в /etc/nsswitch.conf

Цитата:

passwd: files winbind
group: files winbind
group_compat: nis
passwd_compat: nis
shadow: compat

shells: files

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

На файловом сервере в /etc/samba/smb.conf

Цитата:

[global]
workgroup = DOMAIN
realm = DOMAIN.ORG
netbios name = debian4
dns proxy = no
security = ADS
password server = 192.168.1.3
client NTLMv2 auth = Yes
winbind uid = 10000-20000
winbind gid = 10000-20000
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\
client signing = Yes
disable spoolss = Yes
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
inherit acls = Yes
map acl inherit = Yes
case sensitive = No
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
guest account = nobody
guest ok = yes

На файловом сервере в /etc/krb5.conf

Цитата:

[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.ORG
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true

[realms]
DOMAIN.ORG = {
kdc = 192.168.1.3:88
admin_server = 192.168.1.3:749
default_domain = domain.org
}

[domain_realm]
.domain.org = DOMAIN.ORG

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false

Делаю следующее:
1
net time set -S pdc
Комманда проходит успешно

2
kinit admin@DOMAIN.ORG
Спрашивают пароль - ввожу, проглатывает, ничего не говорит. Если ввести неправильный - ругается.

3
klist

Цитата:

debian4:/etc# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.ORG

Valid starting Expires Service principal
04/29/07 13:20:15 04/29/07 20:00:15 krbtgt/DOMAIN.ORG@DOMAIN.ORG


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
debian4:/etc#

4
net ads join -U admin
спрашивают пароль - ввожу. Все ок, к домену подцепились, на контроллере домена появляется учетная запись компьютера debian4

5
wbinfo -p

Цитата:

Ping to winbindd succeeded on fd 6

6
wbinfo -t
А вот тут засада...

Цитата:

debian4:/etc# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
debian4:/etc#

Need help вобщем (

Всем привет. Есть небольшая проблемка. Расшарил принтер через самбу, подключил в виндусовой машине. принтер печатает нормально но при вызове свойств принтера долго открывается окно с настройками. в чем может быть проблема?

gyt
Мне помогла настройка в секции принтера:

Цитата:

default devmode = Yes

помогите пожалуйста. из винды на комп под liux спрашивает имя пользователя и пароль что только не перепробовал не помогает.

sanchoskor
у тебя в линухе аутентификация пользователей как настроена???

у меня рабочая группа и комп клиентовский. аутентификация пользователей как настроена честно не знаю. я недавно поставил, вот пробую.

Hello, All.

Подскажите, кто знает, как продвигаются дела Samba 4 (контроллера Active Directory) и когда планируется её релиз?

grayfog
посмотри на samba.org

sanchoskor
если у тебя
Цитата:

рабочая группа

, то скорее всего аутентификация на лине идет по локальному /etc/passwd
то бишь, чтоб тебе подключиться к линю - заведи себе аккаунт на нем...
Ну и самбу настрой естественно(ты ж из под винды будешь коннектиться)...


ссылка на русскую документацию по Samba-3 http://www.all.permyak.ru/index.html

wbinfo -g видит в домене (w2k3) только Universal и Global группы. Как сделать чтоб он видел и Domain Local?

Можно ли сделать вход на Linux-машину, которая введена в домен и использует аккаунты с домена, русскими аккаунтами?

Aqurius
Уже рассматривал данный вопрос применительно к samba 3.0. Итого, на текущий момент - нет. Если аккаунты храняться в /etc/passwd - штатными средствами русские аккаунты туда не добавить, надо править все системные программы. Если в LDAP (который умеет хранить в utf8/base64) - можно создать русские аккаунты (через одно место), но самба их использовать не умеет - не перекодирует.
Так что если надо русские - патчи самбу + скрипты.

Добрый день.
Помогите с samba
Есть самба 3.0.24 солярка 10/06.Самба построена с winbind.
Возникли проблемы с лоступом на шары доменных пользователей.
Что делал:

Цитата:

1)smb.conf
[global]
security = domain
workgroup = VLG
netbios name = SunOS510
interfaces = 10.0.0.100
os level = 8
winbind separator =/
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
encrypt passwords = yes
password server =10.0.0.1
log level = 3
log file = /usr/local/samba/lib/log.%m
[data]
comment = Data
path = /users
valid users =VLG/sas
public = yes
guest ok = yes

2)настроил nsswitch.conf
3)net rpc join -U sas
пароль
Joined into VLG
4)./wbinfo -u | grep sas
VLG/sas
5) ./wbinfo -a VLG/sas%XxxxXXs
plaintext password authentication succeeded
challenge/response password authentication succeeded
6)

Цитата:

smbclient -L localhost
Password:
Anonymous login successful
Domain=[VLG] OS=[Unix] Server=[Samba 3.0.11]
Sharename Type Comment
--------- ---- -------
data Disk Data
IPC$ IPC IPC Service (Samba 3.0.11)
ADMIN$ IPC IPC Service (Samba 3.0.11)

7) smbclient -L sunos510 -U VLG/sas
password:правильный пароль
session setup failed: NT_STATUS_LOGON_FAILURE
ну и соответсвенно доступа из winxp клиентов нет,окошко идентификация и что туда не вводи не прокатывает!

привет
а реально как то запретить запись файлов больше определенного размера на ресурс samb'ы ?

ситуация следущая
Fedora 6 Samba 3.0.23(ставил из rpm)
сделал все по http://fedoramd.org/Install/Samba/ADS
делаю
[root@vovan-fedora ~]# kinit admin@DOMAIN.NET
Password for admin@DOMAIN.NET:
[root@vovan-fedora ~]#
просто принимает пароль без дальнейшей реакции(нормально ли это)

[root@vovan-fedora ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.NET

Valid starting Expires Service principal
08/28/07 17:34:33 08/29/07 00:14:33 krbtgt/DOMAIN.NET@DOMAIN.NET


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

ввожу в домен
[root@vovan-fedora ~]# net ads join -U admin
admin's password:
Using short domain name -- DOMAIN
Joined 'VOVAN-FEDORA' to realm 'DOMAIN.NET'

[root@vovan-fedora samba]# wbinfo -t
checking the trust secret via RPC calls succeeded
wbinfo -g
wbinfo -u
отрабатывают
пытаюсь войти на Linux машиту под доменной учетной записью DOMAIN\admin

Цитата:

the system administrator has disabled your account

при этом, если с виндовой машины зайти под этой учеткой, то входит нормально. В /home создалась папка DOMAIN в которой папки по именам пользователей под которыми пытался попасть на машину

при необходимости нужные конфиги могу выложить, делал по примеру на ссылке выше

vovanj7

pam настраивал? Выложи ту часть лога /var/log/messages (или куда там у тебя скидываются логи) во время входа в домен.

Добавлено:
Aqurius

Цитата:

Можно ли сделать вход на Linux-машину, которая введена в домен и использует аккаунты с домена, русскими аккаунтами?

Не понял вопроса. Что значит "русские аккаунты"?

veryom
да, правил /etc/pam.d/login

Цитата:

auth required pam_securetty.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account sufficient pam_winbind.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
session optional pam_console.so

Цитата:

Aug 29 13:50:55 vovan-fedora winbindd[1761]: [2007/08/29 13:50:55, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_ntlmssp_internal(2356)
Aug 29 13:50:55 vovan-fedora winbindd[1761]: cli_rpc_pipe_open_ntlmssp_internal: cli_rpc_pipe_bind failed with error NT_STATUS_INVALID_PARAMETER
Aug 29 13:50:55 vovan-fedora pam_winbind[1999]: user 'DOMAIN\admin' granted access
Aug 29 13:50:55 vovan-fedora pam_winbind[1999]: user 'DOMAIN\admin' OK
Aug 29 13:50:55 vovan-fedora pam_winbind[1999]: user 'DOMAIN\admin' granted access
Aug 29 13:50:56 vovan-fedora gdm[2044]: session_child_run: User not allowed to log in
Aug 29 13:51:00 vovan-fedora kernel: mtrr: your processor doesn't support write-combining
Aug 29 13:51:10 vovan-fedora pam_winbind[1999]: user 'admin' granted access
Aug 29 13:51:10 vovan-fedora pam_winbind[1999]: user 'admin' OK
Aug 29 13:51:10 vovan-fedora pam_winbind[1999]: user 'admin' granted access
Aug 29 13:51:10 vovan-fedora gdm[2082]: session_child_run: User not allowed to log in

Попрубуй просто в консоли зарегистрироваться , а не в GDM. Проверь системную базу аккаунтов с помощью getent passwd на предмет наличия записи admin и его uid

[root@vovan-fedora ~]# getent passwd
admin:*:15000:15000:admin:/home/DOMAIN/admin:/bin/false
vovan-fedora.domain.net$:*:15008:15000:vovan-fedora.domain.net$:/home/DOMAIN/vovan-fedora.domain.net_:/bin/false

Коллеги, такая проблема имеется. Есть настроенный на самбе 3.0.14 контроллер домена, все ОК, все работает. После того, как компания переехала в другой офис, все компьютеры и контроллер подключили к тамошней виндовой сетке со своим контроллером на w2003. Сейчас в одной сети 2 отдельных домена, у всех машин и серверов сейчас одна IP сеть. С самбовым контроллером начались проблемы, не проходит testjoin:

# net rpc testjoin

Unable to find a suitable server
Join to domain 'CUB' is not valid

Если указать PDC, все ОК:

# net rpc testjoin -S PDC
Join to 'CUB' is OK

Физически и логически отделить сетки нет возможности.
Подскажите в каком направлении копать?

Спасибо

Цитата:

Коллеги, такая проблема имеется. Есть настроенный на самбе 3.0.14 контроллер домена, все ОК, все работает. После того, как компания переехала в другой офис, все компьютеры и контроллер подключили к тамошней виндовой сетке со своим контроллером на w2003. Сейчас в одной сети 2 отдельных домена, у всех машин и серверов сейчас одна IP сеть. С самбовым контроллером начались проблемы, не проходит testjoin:

# net rpc testjoin

Unable to find a suitable server
Join to domain 'CUB' is not valid

Если указать PDC, все ОК:

# net rpc testjoin -S PDC
Join to 'CUB' is OK

Физически и логически отделить сетки нет возможности.
Подскажите в каком направлении копать?

Спасибо

Разрыл в чем проблема - контроллер домена перестал работать после смены IP адреса. Если поставить старый адрес, все нормально работает.

Кто-то сталкивался, почему так происходит и как заставить работать ко\нтроллер домена на новом IP?


Добавлено:

Цитата:

Разрыл в чем проблема - контроллер домена перестал работать после смены IP адреса. Если поставить старый адрес, все нормально работает.

Кто-то сталкивался, почему так происходит и как заставить работать ко\нтроллер домена на новом IP?

Нашел причину. Указал в конфиге:

interfaces = eth2
bind interfaces only = Yes

все сразу заработало

мужики а если samba последняя а контроллер NT4 SP6, с какой codepage и character set надо маунтить шары что бы увидеть русские буквы?
UTF8, cp1251 не работают (с XP - работают)

Кто-нибудь знает как подключить Windows 2003 Server в домен Самба ?

http://forum.ru-board.com/topic.cgi?forum=8&topic=4065&start=0#8 - тут посоветовали сделать следующие изменения в реестре :


REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000001


Импортировал , но все равно проблема осталась :

при попытке добавить комп в домен выдает ошибку :

The following error occurred attempting to join domain "domainname " : The specified user already exists.


В сети есть комп с установленной Windows Server 2000 его впустить в домен делая те же манипуляции что я делал на 2003 оказалось без проблем(ключи в реестре не менял так как нет необходимости и пользователя имеющего права добавления в домен 2000 сервер видит).

Что ещё сделать , подскажите пожалуйста.

я на freeBSD поднял самбу. Скажите, как сделать чтобы из виндузы не было видно папки "принтеры и факсы"?
И большая просьба не писать "читай ман/хэндбук/хелп". До таких советов я и сам догадаюсь.

Народ я скорее всего чегото недопонял, но как можно сделать чтоб билеты (которые получаю коммандой kinit) автоматически обновлялись ? напр 2 раза в сутки ? может какой скрипт есть ?

Здравствуйте! Я всего неделю назад поставил linux. Хотел бы узнать такую вещь. Дома налажена сеть из двух машин (Linux + WinXP), нашло всё без проблем. Просматривать сетевые папки через самбу могу, копировать соответственно тоже. С сетевой папки открываются (не копируя на винт linux'а) только тектовые файлы и картинки, остальные приходится копировать (видео, mp3) чтобы запустить. Пробовал разными плеерами открывать(не копируя я имею ввиду) - не хочет. В связке Win + Win это было довольно просто. Запускалось без проблем. Читал что можно примонтировать сетевую папку, но не знаю, поможет ли это. Пока не получилось примонтировать. Подскажите пожалуйста, как можно исправить ситуацию? Заранее спасибо!

Пытался поставить samba-4.0.0alpha1 на FreeBSD 6.2 используя HOWTO с

http://wiki.samba.org/index.php/Samba4/HOWTO

на шаге 2 после make proto all


Код:
Compiling lib/policy/lex.c
In file included from lex.l:24:
./lib/policy/parse_adm.h:45: error: syntax error before string constant
In file included from lex.l:24:
./lib/policy/parse_adm.h:83:1: warning: "MACHINE" redefined
In file included from /usr/include/sys/param.h:109,
from ./lib/replace/replace.h:454,
from ./include/includes.h:23,
from lex.l:23:
/usr/include/machine/param.h:65:1: warning: this is the location of the previous definition
The following command failed:
gcc -Iheimdal/lib/roken -Ilib/replace -I$(srcdir)/lib/talloc -I/usr/local/include -I./include -I. -I./lib -I./lib/replace -I./lib/talloc -D_SAMBA_BUILD_=4 -DHAVE_CONFIG_H -fPIC -DPIC -c lib/policy/lex.c -o lib/policy/lex.o
*** Error code 1

ПРОБЛЕМА - Включение машины под управлением Linux xubuntu 7.4 в качестве клиента для контроллера домена на windows 2000


Не могу включить в качестве клиента в контроллер домена на windows 2000

Вот содержание файла smb.conf

Цитата:

#======================= Global Settings =======================
[global]
netbios name = linuxkomp1
server string = Linux workstation1
workgroup = objectservice
security = domain
#security = ads
log file = /var/log/samba/log.otl
#null passwords = yes
encrypt passwords = yes
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 1000-20000
case sensitive = no
password server = pdc
realm = objectservice
dos charset = 866
unix charset = UTF-8
auth methods = winbind
winbind separator = \ \
local master = no
preferred master = no
winbind enum users = yes
winbind enum groups = yes
display charset = UTF-8
realm = objectservice
#### Networking ####
#### Debugging/Accounting ####
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
####### Authentication #######
security = share
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
########## Domains ###########
########## Printing ##########
############ Misc ############
socket options = TCP_NODELAY
#======================= Share Definitions =======================
comment = Public share
path = /home/tester1
writeable = yes
browseable = yes
printable = no
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
public = no
writable = no
create mode = 0700

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no

Вот содержание файла lmhosts

Цитата:

127.0.0.1 localhost
192.168.0.2 pdc

Вот содержание файла /etc/nsswitch

Цитата:

passwd: files windbind
group: files windbind
shadow: files windbind
hosts: files nisplus nis dns
bootparams:    nisplus [NOTFOUND=return] files
ethers:        files
netmasks:    files
networks: files
protocols: files
services: files
rpc: files
netgroup: nisplus
publickey:    nisplus
automount:    files nisplus
aliases:    files nisplus

Вот содержание файла /etc/pam.d/samba

Цитата:

@include common-auth
@include common-account
@include common-session
auth required pam_winbind.so
auth required pam_nologin.so
account required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
auth required pam_stack.so service=system-auth
account sufficient pam_winbind.so
password required pam_winbind.so

Ввожу

Цитата:

tester1@tester1-desktop:/bin$ sudo net join -U danmHost is not configured as a member server.
Invalid configuration. Exiting....
ADS join did not work, falling back to RPC...
cannot join as standalone machine

Попытки диагностики

Цитата:

tester1@tester1-desktop:/bin$ wbinfo -tchecking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret

tester1@tester1-desktop:/bin$ wbinfo -u
Error looking up domain users
tester1@tester1-desktop:/bin$

Пробую создать samba пользователя[

Цитата:

sudo smbpasswd -a sergei1
New SMB password:
Retype new SMB password:
Failed to modify password entry for user sergei1

Подскажите пожалуйста что делать и где я ошибся???

Коллеги!
Как бороться с подбором паролей Samba из локальной сети?
Приходит на ум настройка, которая
ограничивала бы число попыток подключения с неправильным паролем в единицу времени,
с одного IP-адреса и т.д.
Есть такое?

Или, как вариант,
можно как-то запускать smbd через inetd и пользоваться его ограничениями,
но в этом случае они будут касаться и правильных, и неправильных паролей,
т.е. получается половинчатое решение..

Система FreeBSD 6.x

Сталкнулся с проблемой. Установил Fedora 7 настроил smb.conf, ребутнул комп.
Linux видит сеть, входит на шары windows, а вот windows тачки не видят linux сервер.

Подскажите что я нет так сделал?

Linux сервер я использую в группе, не доменная структура.

У меня подозрение что какой то из сервисов не стартует.

У кого есть рабочий конфиг поделитесь.

Цитата:

Как бороться с подбором паролей Samba из локальной сети?

Ребята, все-таки надо что-то делать.
В Windows Server и то есть блокирование аккаунта
после N подряд неправильных аутентификация.
А Samba что - дыра в этом плане?
Подскажите хоть правильное направление, куда копать.