» Настройка Samba

Подскажите плииз...
Есть PDC на Линукс и Самба3. конфиг ниже...
-------------
[global]
hide unreadable = Yes
map acl inherit = Yes
inherit acls = Yes
obey pam restrictions = No
strict allocate = No
strict sync = No
sync always = No
admin users = @wheel
workgroup = TRADE
printing = cups
server string = PDC SMB %v
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
logon path =
logon home =
template homedir =
logon drive = P:
logon script = STARTUP.CMD
idmap gid = 10000-20000
idmap uid = 10000-20000
enable privileges = yes
security = user
username map = /etc/samba/smbusers
smb passwd file = /etc/samba/smbpasswd
null passwords = no
unix password sync = yes
passwd program = /usr/bin/passwd %u
domain logons = Yes
domain master = Yes
local master = Yes
os level = 65
preferred master = Yes
log level = 6
log file = /var/log/samba/log.%m
log level = 0
time server = yes
wins support = Yes
wins proxy = yes
dos charset = 866
unix charset = UTF-8
display charset = UTF-8
use sendfile = no
wide links = no
socket options = TCP_NODELY SO_SNDBUF=8192 SORCVBUF=8192 SO_KEEPALIVE SO_REUSEADDR SO_BROADCAST
debug level = 1
kernel oplocks = Yes
deadtime = 15
keep alive = 120
getwd cache = yes
ldap suffix =
passdb backend = smbpasswd
[homes]
comment = Home Directories
valid users = %U, @wheel
browseable = No
read only = No
directory mask = 0700
create mask = 0600
inherit acls = Yes
------------------------------------------------------
И пытаюсь ввести в члены домена FreeBSD c Самбой3 со след. конфигом, чтобы winbindd-ом авторизоваться на PDC.
------------------------------------------------------
[global]
log file = /var/log/samba/log.%m
netbios name = myserver
display charset = KOI8-R
idmap gid = 10000-20000
password server = pdcserver
idmap uid = 10000-20000
dos charset = CP866
template homedir = /usr/data/home/%U
workgroup = TRADE
os level = 20
security = user
unix charset = UTF-8
template shell = /bin/bash
winbind separator = \
encrypt passwords = yes
password server = pdcserver
winbind use default domain = yes
[Backup]
path=/data/Backup
comment = Backups
writable = No
browseable = Yes
create mask = 0660
directory mask = 0770
force user = root
admin users = @"TRADE\domain admins"
valid users = @"TRADE\domain admins"
--------------------------
комманды wbinfo -u и -g проходят, при наборе wbinfo -t выдается
----------------------
myserver# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
Could not check secret
myserver#
-------------------------
Тоже самое и выдается на PDC т.е. на pdcserver (это когда на нем набираешь эту комманду). При вводе команды net rpc testjoin -S (что на myserver, что на pdcserver) выдается:
-------------------------
pdcserver# net rpc testjoin -S pdcserver
[2007/11/12 11:57:39, 0] rpc_client/cli_pipe.c:get_schannel_session_key(2449)
get_schannel_session_key: could not fetch trust account password for domain 'TRADE'
[2007/11/12 11:57:39, 0] utils/net_rpc_join.c:net_rpc_join_ok(70)
net_rpc_join_ok: failed to get schannel session key from server nautilus for domain TRADE. Error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'TRADE' is not valid
pdcserver#
---------------------
В чем проблема??? подскажите плиииз хоть куда копать и что делать??? Как посмотреть, что не так???
Буду благодарен за любую инфу... Могу предоставить любые ответы на наводящие вопросы
Заранее спасибо
----------------------
С уважением Сергей

попробуй в /etc/hosts добавить FQDN и IP

В /etc/hosts все есть и как на pdcserver, так и на myserver... А обязательно ли использовать LDAP-сервер на PDCе????

LDAP это просто бэкэнд для учетных записей. Используют его по желанию. Обычно когда пользователей много.

настраиваю сабж 3.0.24-etch4 по некоторой книжке

Код:
[global]
workgroup = WIN.EXAMPLE.NET
netbios name = SMBPDC
domain logons = yes
domain master = yes

Имеется сеть рабочими группами
и конфиг самбы
-------------------------------------------

[global]

workgroup = work
netbios name = fedora
server string = Samba server Fedora
bind interfaces only = yes
interfaces = eth0 192.168.0.45 192.168.0.15 192.168.0.55 127.0.0.1 192.168.0.
hosts deny = ALL
hosts allow = 192.168.0.45 192.168.0.55 192.168.0.15 127.0.0.1 192.168.0.
log file = /var/log/samba/log.smbd
max log size = 50
security = share
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
local master = yes
preferred master = yes
os level = 33
domain master = no
wins support = no
dns proxy = no
guest ok = yes
guest account = nobody
unix charset = utf8
dos charset = cp1251
display charset = cp1251

[FOR ALL]

comment = Public Folder
path = /pub/samba/all
writable = yes
guest ok = yes
create mask = 0666
directory mask = 0777
read only = no

________________________________

Всё перерыл и перепробовал, но никак не получилось сделать так, чтоб одна группа пользователей имела полный доступ и к ресурсу [FOR ALL], а другие лишь имели право на чтение. Что для этого нужно сделать ?
Заранее благодарен



________________________________

Всё перерыл и перепробовал, но никак не получилось сделать так, чтоб одна группа пользователей имела полный доступ и к ресурсу [FOR ALL], а другие лишь имели право на чтение. Что для этого нужно сделать ?
Заранее благодарен

Люди добрые что делать с чертовой самбой?
На машинке fedora 8 === SERVER10===192.168.2.210
На сервере win2003Sp1 === SDC1===192.168.2.211

Получаю ошибку:
При попытке выполнить net ads join

Using short domain name -- MCPROGRESS
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'SERVER10' in realm 'MCPROGRESS.LOCAL'
> Failed to join domain: Type or value exists

/etc/hosts

127.0.0.1        SERVER10 localhost.localdomain localhost
#::1        localhost6.localdomain6 localhost6
192.168.2.210 SERVER10.MCPROGRESS.LOCAL SERVER10
192.168.2.211 SDC1.MCPROGRESS.LOCAL SDC1
192.168.2.211 MCPROGRESS.LOCLAL MCPROGRESS

/etc/resolv.conf
search MCPROGRESS.LOCAL
nameserver 192.168.2.211

Запись A, соответствующую server10.MCPROGRESS.LOCAL завел в DNS.
Проверил lookup с обеих машин. Друг друга резолвят по именам.

Что еще им не хватает?

На всякий случай:

krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MCPROGRESS.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
MCPROGRESS.LOCAL = {
kdc = SDC1.MCPROGRESS.LOCAL:88
admin_server = SDC1.MCPROGRESS.LOCAL:749
default_domain = MCPROGRESS.LOCAL
}

[domain_realm]
.MCPROGRESS.LOCAL = MCPROGRESS.LOCAL
MCPROGRESS.LOCAL = MCPROGRESS.LOCAL
.mcprogress.local = MCPROGRESS.LOCAL
mcprogress.local = MCPROGRESS.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

Подключил принтер к Линуксу. Принтер из Линукса печатает. Поставил Самбу. Винда принтер увидела и драйвер установила, но печатать не хочет. Никаких ошибок не выдает, в спуле пусто. Пробовал отключать iptables - не помогает. В какую сторону копать?
Принтер Samsung ML-2510, драйвера родные.
SAMBA 3.0.27a-0.fc7.
Windows 2003.

Уточнение. Когда печатаю, документы в спуле винды появляются и сразу же исчезают.

Проблема решена. Почему то конфигурирование самбы из гуи отключает load printers = yes и printing = cups. Включил руками, перезапустил самбу, и все чудесно запечатало.

подскажите как настроить шару самбы, чтобы пользователь заходил без имени и пароля (полный доступ, ни каких доменов, единственный ресурс, samba 3.0.xx)

Arayakao

Цитата:

чтоб одна группа пользователей имела полный доступ и к ресурсу [FOR ALL], а другие лишь имели право на чтение. Что для этого нужно сделать ?

Аналогичная проблема

есть такая схема:
/install
/install/all
/install/spec

нужно разграничить права таким образом, чтобы в папку all заходили все, а в папку спец только определенная группа. Я попыталась разграничить права следующим образом:

smb.conf:

[install]
comment = Install
path = /samba/install
valid users = @install,@admin
readonly = No
browseable = yes
guest ok = no
printable = no

[spec]
comment = special programm
path = /samba/install/spec
valid users = @programmer
readonly = No
brpwseable = yes
guest ok = no
printable = no

[all]
comment = all programm
path = /samba/install/all
valid users = @all
readonly = No
browseable = yes
guest ok = no
printable = no

права:
drwxr-xr-x 4 root install 96 Jan 26 19:46 install
d---r-xr-x 2 root all 48 Jan 26 19:46 all
d---r-xr-x 2 root programmer 48 Jan 26 19:28 spec


Тем не менее, все, кто могут зайти в папку инсталл, могут зайти и в all и в spec.
А букв для сетевых дисков уже не хватает ... посему нада внутри одного самба-диска разрулить права

Цитата:

Всё перерыл и перепробовал, но никак не получилось сделать так, чтоб одна группа пользователей имела полный доступ и к ресурсу [FOR ALL], а другие лишь имели право на чтение. Что для этого нужно сделать ?

Пример, нужное подчерпнуть

[photo-clipart]
path = /public/folders/photo-clipart
    valid users = @"URALRAB\domain admins", @"URALRAB\verst", "URALRAB\phbuc"
    browseable = No
    read only = Yes
    create mask = 0644
    write list = @"URALRAB\domain admins"
    vfs object = smb_spider

FreeBSD 6.3+Samba3. Включил в домен Windows2003 AD. Для раздела с шарой включен ACL. Из Windows в свойствах шары на вкладке безопасность можно добавить доменных пользователей/доменные группы. Права на папки в шаре работают (т.е. если пользователю/группе запрещено, то запрещено, если разрешаешь - то они получают соответствующие права). Вроде бы счастье, но есть одно "но", не получается удалить пользователя/группу из списка вкладки Безопасность. Удаляешь - нажимаешь "Применить" удаленные опять появляются в списке. Может кто что дельное сказать по этому поводу?

Подскажите плз, как просмотреть список активных соединений с указанием пользователей к серверу самба из консоли? ось убунту 7.10 серверная, самба с диска (версию не знаю как посмотреть)

У кого-нибудь были проблемы с расшариванием USB-дисков под Самбой.
Я подключаю WD-500GB k USB. У меня автоматически появляется /media/My Book. В линуксе работает замечательно.
Я ее в Самбе расшариваю:
[WD500U]
comment = WD500U
path = "/media/My Book/"
browseable = yes
writable = yes
Из Windows при обращении к шаре ругается
WD500U is not accessible. You might not have permission to use this network resource.
Пробовал монтировать из fsrab
/dev/sdb1 /mnt/MyBook auto defaults,noauto,users,dmask=000,fmask=111
Все равно не работает
Права вроде нормальные:
# ls -l /mnt
total 40
drwxrwxrwx 6 v v 32768 1969-12-31 19:00 MyBook
drwxr-xr-x 2 root root 4096 2007-07-02 22:45 srv
drwxrwxrwx 1 root root 0 2008-01-23 15:10 u

Что я не так делаю? С другими шарами такой проблемы нет.

SAMBA 3.0.27a-0.fc7.
Windows 2003.

Спасибо, вопрос снят.

у меня вопрос

interfaces = lo ppp* eth1
hosts allow = 127.0.0.1 10.10.1.0/24 10.10.2.0/24
hosts deny = 0.0.0.0/0
bind interfaces only = Yes


В общем не слушает она интерфейсы ppp*
Почему? что я не так сделал

Кто-нибудь сталкивался с проблемой блокировки ПАПОК в Самбе?.. Поиском найти не удалось.

Проблема такая - имеется LinkSys NSS4000, на котором стоит samba 3.0.14a
Все прекрасно настраивается, цепляется к АД, раздаются права... НО!
Создаю папку. В ней создаю файл .DOC, открываю его.
Другой пользователь в это время СПОКОЙНО ПЕРЕИМЕНОВЫВАЕТ ПАПКУ.
А сам файл блокируется нормально, то есть второй пользователь может его открыть только на чтение.

Как с этим бороться? Или это не баг, а фича? Но ведь честные виндовые шары так себя не ведут!

в smb.conf примерно следующее
;=======================
[global]
;...............
strict locking=no ; yes тоже пробовал - не помогает
strict allocate=yes
locking=yes
oplocks=no
level2 oplocks=yes
kernel oplocks=no
blocking locks=yes
posix locking=yes
share modes=yes
fake oplocks=no
defer sharing violations=yes
use sendfile=yes
;======================

Что это может значить?
NETSERV:/home/anton# net ads join -U anton
anton's password:
Using short domain name -- UNIT
DNS update failed!
Joined 'NETSERV' to realm 'UNIT.RU'

как сделать так что бы сетевые ресурсы домена windows не просили авторизации
[more=smb.conf]
NETSERV:/home/anton# cat /etc/samba/smb.conf
[global]
    log file = /var/log/samba/samba.log
    display charset = UTF-8
    unix charset = UTF-8
    dos charset = cp866
    workgroup = UNIT
server string = INET SERV
netbios name =NETSERV
    idmap uid = 10000-200000
    idmap gid = 10000-200000
    security = ADS
realm = UNIT.RU
    template homedir = /home/%D/%U
    template shell = /bin/bash
password server = pdc.unit.ru
    loglevel = 10 ads:10 auth:10 sam:10 rpc:10
encrypt passwords = yes
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
    winbind refresh tickets = yes
    log file = /var/log/samba/log.%m
    max log size = 1000
    panic action = /usr/share/samba/panic-action %d    
    syslog = 0
    local master = no
    domain master = no
    preferred master = no
    interfaces = eth0     
    hosts allow = 192.168.0

[testshare]
comment = test stuff
path = /home/anton/SOFT
valid users = anton,xx
public = yes
writable = yes
[/more]

Доброго времени всем.

Добавлено:
Кто сможет объяснить следующую ситуевину.
Долго пытался создать простой самба-домен на samba-3.0.24.
От поддержки LDAP по некоторым соображениям отказался (жду 4-й самбы, т.к. привязка OpenLDAP к 3-й меня не впечатляет).
После установки и настройки с security=user поимел в итоге следующее:
#net groupmap list
...
Domain Admins {<SID1>-512} -> smbadmins
...
#net getlocalsid
<SID1>

#net rpc info
Talking to domain <...> (<SID2>)

При этом ни одной доменной группы из groupmap не было видно (само собой и не работали)

Пришлось делать net setlocalsid <SID2> тогда все заработало.

Вопросы следующие:
- откуда взялся <SID2>?
- как его изменить?
- почему SIDы указанные в setlocalsid и тот, который возвращает rpc shell не совпадают?

Здравствуйте!

Добавлено:
FreeBSD 6.2
попытка скомпилировать самбу 3.0.28 из портов приводит к следующему:

In file included from /usr/ports/net/samba3/work/samba-3.0.28/source/include/includes.h:650:
/usr/ports/net/samba3/work/samba-3.0.28/source/include/ads.h:304: error: syntax error before "krb5_addresses"

перед эти ставился из портов Kerberos V

с чем это может быть связано?

заранее спасибо

засунул компьютер (ubuntu) в домен (win 2003)
теперь в логах постоянно ошибки

Apr 27 19:09:01 net CRON[16223]: PAM (cron) illegal module type: `
Apr 27 19:09:03 net CRON[16223]: PAM (cron) no control flag supplied
Apr 27 19:09:03 net CRON[16223]: PAM (cron) no module name supplied
Apr 27 19:09:03 net CRON[16223]: PAM unable to dlopen(<*unknown module path*>)
Apr 27 19:09:03 net CRON[16223]: PAM [error: <*unknown module path*>: cannot open shared object file: No such file or directory]
Apr 27 19:09:04 net CRON[16223]: PAM adding faulty module: <*unknown module path*>
Apr 27 19:09:04 net CRON[16223]: PAM (other) illegal module type: `
Apr 27 19:09:04 net CRON[16223]: PAM (other) no control flag supplied
Apr 27 19:09:05 net CRON[16223]: PAM (other) no module name supplied
Apr 27 19:09:05 net CRON[16223]: pam_access(cron:account): access denied for user `root' from `cron'
Apr 27 19:09:05 net CRON[16223]: Permission denied


как быть?

klimusu
к сожалению не подскажу.
делал вот по этой инструкции:
HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)
сам много не понимаю, но всё работает.

Есть такая проблема : Операционка ContOS 5.1 , поставил Samba .

service smb start
Starting SMB services: [OK]
Starting NMB services: [OK]

service smb restart
Shutting down SMB services: [FAILED]
Shutting down NMB services: [OK]
Starting SMB services: [OK]
Starting NMB services: [OK]

service smb status
smbd dead but pid file exists
nmbd (pid 3731) is running..

Подскажите где искать причину проблемы? Если нужно выложу файлы конфигурации.
Может кто уже сталкивался?

Поставил систему CеntOS 5.1 по новой.
Поставил Samba , попытался ввести комп в домен . В сетевом окружении комп есть , на контроллере домена , в копьютерах он появился. Но зайти в него с контроллера домена не могу. Запрашивает логин/пароль - но ни один не проходит. На компе с CеntOS даю запрос wbinfo -u , отвечает - Error looking up domain users. Какие настройки нужно проверить ?

SergeyMark
запусти сервис ручками в режиме отладки ... вроде так "smbd -d", помотри чего писать будет. почитай логи, а так это безпредметный разговор

при попытке набрать wbinfo -t получаю вот это :
checking the trust secret via RPC calls failed
error code was NT_STATUS_ACCESS_DENIED (0xc0000022)
Could not check secret

выполнил smbd -d , пишет , что отправила мне письмо.
Письмо длинное , видать ошибок много.

slech
делал по инструкции
net ads join -U administrator

[2008/05/14 14:14:35, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
Kinit failed: Configuration file does not specify default realm
Failed to join domain!