Как заставить samba использовать логины/пароли из домена?

Overclockers.ru

Конференция

FAQ по конференции

Текущее время: 22.09.2025 5:35

Сообщения без ответов | Активные темы

Список форумов » Специализированные форумы » Мир Unix-like систем

Часовой пояс: UTC + 3 часа

Модератор: dj--alex

Новая тема /

Ответить

Сообщений: 8

	Пред. тема \| След. тема
В случае проблем с отображением форума, отключите блокировщик рекламы

Автор

Сообщение

antiBILLotic

Добавлено: 16.01.2008 16:58

[профиль]

Member
Статус: Не в сети
Регистрация: 16.02.2004
Откуда: Москва

Ситуация:
Есть сеть, в сети - домен на samba, сервак на FC7 и windows-клиенты. Клиенты нормально авторизуются в домене и нормально используют расшареные папки, находящиеся под управлением той же самбы, что рулит доменом.
Есть второй линух-сервер с установленной самбой, работающей в качестве "простого domain member'а". На нём расшарена общая папка.
Задача - сделать так, чтобы юзеры, авторизовавшись в домене при входе в винду, имели доступ к этой папке. Если проще - чтобы машина с самбой забирала логины и пассы из домена.
Перегуглил и перепробовал немало.
Конфиг машины с самбой-"клиентом":

Код:

testparm /etc/samba/smb.conf 
Load smb config files from /etc/samba/smb.conf
Processing section "[public]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
   workgroup = Имя домена
   server string = Имя сервака
   security = DOMAIN
   password server = Адрес конроллера домена
   log file = /var/log/samba/log.%m
   max log size = 50
   local master = No
   dns proxy = No
   wins server = Адрес WINS-сервера
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = Yes
   winbind enum groups = Yes
[public]
   comment = Marketing
   path = /mnt/junk/pub
   read only = No
   create mask = 0775
   directory mask = 0775
   guest ok = Yes

Код:

/etc/nsswitch.conf
***cut***
passwd:     files winbind
shadow:     files
group:      files winbind
***cut***

Т.к. через yum поставить с winbind я не смог, самба собрана руками из исходников с ключами --with-acl-support --with-winbind
wbinfo -U, wbinfo -G, wbinfo -P работают нормально и выдают что нужно
net join сделал - присоединился к домену
smbd и nmbd запускаю руками

При попытке пойти с клиентской машины на винде в логе пишет:

Цитата:

[2008/01/16 16:38:46, 0] auth/auth_domain.c:connect_to_domain_password_server(119)
connect_to_domain_password_server: unable to open the domain client session to machine RIC. Error was : NT_STATUS_CANT_ACCESS_DOMAIN_INFO.
[2008/01/16 16:38:46, 0] rpc_client/cli_pipe.c:get_schannel_session_key(2449)
get_schannel_session_key: could not fetch trust account password for domain 'RIC'
[2008/01/16 16:38:46, 0] rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(2679)
cli_rpc_pipe_open_schannel: failed to get schannel session key from server RIC for domain RIC.
[2008/01/16 16:38:46, 0] auth/auth_domain.c:connect_to_domain_password_server(119)

Также пробовал и без password server, пробовал добавлять valid users в [public] - должного эффекта это не принесло.
Какие будут предложения?

_________________
Один выстрел - один труп.
cd /usr/src/themepark-2.4.1-2 && ./configure --with-blackjack --and-hookers && make

Последний раз редактировалось antiBILLotic 25.01.2008 17:29, всего редактировалось 1 раз.

Реклама
Партнер

Ej_Pulsar

Добавлено: 18.01.2008 2:22

[профиль]

Junior
Статус: Не в сети
Регистрация: 09.05.2004

# cat /etc/krb5.conf

http://wiki.samba.org/index.php/Samba_& ... _Directory читали?

antiBILLotic

Добавлено: 18.01.2008 11:17

[профиль]

Member
Статус: Не в сети
Регистрация: 16.02.2004
Откуда: Москва

Ej_Pulsar Керберос у меня уже поперек горла стоит.
kinit не проходит ни в какую
Прочитал начало статьи. Отредактировал конфиг как указано там

Код:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = Имя_домена
 dns_lookup_ream = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 
[realms]
Имя_Домена = {
  kdc = Адрес домен-контроллера
  admin_server = Адрес домен-контроллера
  default_domain = имя_домена
 }
 
[domain_realm]
,kerberos_server = имя_домена
.ric = имя_домена

[kdc]
profile = /etc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

/etc/kdc.conf (о котором в других статьях, которые я читал - ни слова)

Код:

[kdcdefaults]
   kdc_ports = 750,88

[realms]
   имя_домена = {
      database_name = /usr/local/var/krb5kdc/principal
      admin_keytab = FILE:/usr/local/var/krb5kdc/kadm5.keytab
      acl_file = /usr/local/var/krb5kdc/kadm5.acl
      key_stash_file = /usr/local/var/krb5kdc/.RIC
      kdc_ports = 750,88
      max_life = 10h 0m 0s
      max_renewable_life = 7d 0h 0m 0s
   }

Все диры по путям, указанным в файле, созданы. Файлов естественно нет - по-хорошему он должен сам их заполнять.
На всякий случай - результат testparm /etc/samba/smb.conf для сервера-Контроллера Домена:

Код:

Load smb config files from /etc/samba/smb.conf
WARNING: The "printer admin" option is deprecated
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[Files]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

[global]
   workgroup = имя_домена
   netbios name = имя_сервера
   netbios aliases = Алиас к имени
   server string = %L ( Samba %v )
   passdb backend = tdbsam
   pam password change = Yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *New*Password* %n\n *Re-enter*new*password*%n\n *Password*changed*
   username map = /etc/samba/smbusers
   log level = 1
   log file = /var/log/samba/%m
   smb ports = 139
   time server = Yes
   load printers = No
   printcap name = cups
   add user script = /usr/sbin/useradd -m '%u'
   delete user script = /usr/sbin/userdel -r '%u'
   add group script = /usr/sbin/groupadd '%g'
   delete group script = /usr/sbin/groupdel '%g'
   add user to group script = /usr/sbin/usermod -G '%g' '%u'
   add machine script = /usr/sbin/useradd -s /bin/false -d /tmp '%u'
   logon script = logon.cmd
   logon path = \\Путь до профилей\%U
   logon drive = M:
   domain logons = Yes
   os level = 65
   preferred master = Yes
   domain master = Yes
   wins support = Yes
   remote announce = Группа подсетей
   remote browse sync = Группа подсетей
   admin users = админ
   printer admin = админ
   read only = No
   create mask = 0660
   security mask = 0111
   force security mode = 0660
   directory security mask = 00
   force directory security mode = 0770
   inherit acls = Yes
   printing = cups
   print command = 
   lpq command = %p
   lprm command = 
   use client driver = Yes
   include = /etc/samba/Дополнительный конфиг

Далее - неинтересные определения шар.

При попытке сделать kinit на испытуемой машине выдает

Цитата:

kinit админ@имя_домена
kinit(v5): Cannot contact any KDC for requested realm while getting initial credentials

_________________
Один выстрел - один труп.
cd /usr/src/themepark-2.4.1-2 && ./configure --with-blackjack --and-hookers && make

Последний раз редактировалось antiBILLotic 25.01.2008 17:33, всего редактировалось 1 раз.

RU_Sanya

Добавлено: 21.01.2008 11:43

[профиль]

Member
Статус: Не в сети
Регистрация: 23.03.2003
Откуда: Красноярск

antiBILLotic

У тебя нет KDC в сети и не надо, как мне кажется. Kerberos нужен при вводе самбы в домен win2000/2003 (Active Directory), т.е. PDC - машина с win 2000/2003 и она же будет KDC.

Просто самба по какой-то причине не может подключиться к "серверу паролей", туда и копай.

З.Ы. Если уже проблема решена, то напиши как...

antiBILLotic

Добавлено: 21.01.2008 17:54

[профиль]

Member
Статус: Не в сети
Регистрация: 16.02.2004
Откуда: Москва

проблема пока не решена.
Как-то раз мне удалось заставить самбу куда-то лезть, но время отклика пароля было огромным. И я уже не помню, как этого добился =)
В среду попробую еще несколько вариантов.

_________________
Один выстрел - один труп.
cd /usr/src/themepark-2.4.1-2 && ./configure --with-blackjack --and-hookers && make

antiBILLotic

Добавлено: 25.01.2008 17:13

[профиль]

Member
Статус: Не в сети
Регистрация: 16.02.2004
Откуда: Москва

Проблема решена. Настройки (по результатам testparm):
***Сервер***
testparm
Load smb config files from /etc/samba/smb.conf
WARNING: The "printer admin" option is deprecated
(тут определения шар)
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

Код:

[global]
   workgroup = имя воркгруппы
   netbios name = Имя сервера - контроллера домена
   netbios aliases = Алиас  [тут у одного сервера - 2 нетБИОС имени]
   server string = %L ( Samba %v )
   passdb backend = tdbsam
   pam password change = Yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *New*Password* %n\n *Re-enter*new*password*%n\n *Password*changed*
   username map = /etc/samba/smbusers
   log level = 1
   log file = /var/log/samba/%m
   smb ports = 139
   time server = Yes
   load printers = No
   printcap name = cups
   add user script = /usr/sbin/useradd -m '%u'
   delete user script = /usr/sbin/userdel -r '%u'
   add group script = /usr/sbin/groupadd '%g'
   delete group script = /usr/sbin/groupdel '%g'
   add user to group script = /usr/sbin/usermod -G '%g' '%u'
   add machine script = /usr/sbin/useradd -s /bin/false -d /tmp '%u'
   logon script = logon.cmd
   logon path = \\путь_до_профилей\%U
   logon drive = M:
   domain logons = Yes
   os level = 65
   preferred master = Yes
   domain master = Yes
   wins support = Yes
   remote announce = Список подсетей  в формате X.Y.Z.255
   remote browse sync = Список подсетей  в формате X.Y.Z.255
   admin users = admin
   printer admin = admin
   read only = No
   create mask = 0660
   security mask = 0111
   force security mode = 0660
   directory security mask = 00
   force directory security mode = 0770
   inherit acls = Yes
   printing = cups
   print command = 
   lpq command = %p
   lprm command = 
   use client driver = Yes
   include = /etc/samba/Дополнительные конфиги с определением шар
(Далее определения шар)

Конфиг файл-сервера, на котором расположены нужные нам шары, и к которым неплохо бы притянуть доменные логины-пароли:
estparm
Load smb config files from /etc/samba/smb.conf
(Тут опять шары)
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Код:

[global]
   workgroup = Имя воркгруппы
   server string = Имя сервера
   security = DOMAIN
   log file = /var/log/samba/log.%m
   max log size = 50
   local master = No
   dns proxy = No
   wins server = Адрес WINS-сервера. Как правило совпадает с адресом контроллера домена.
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes

[public]
   comment = Marketing
   path = /mnt/junk/pub
   valid users = "@RIC\Domain Users"
   read only = No
   create mask = 0775
   directory mask = 0775
   guest ok = Yes

[FAH$]
   comment = Folding@Home
   path = /mnt/fah
   valid users = RIC\fah
   read only = No
   create mask = 0775
   directory mask = 0775

Тут важно:
-Если используете доступ определенных юзеров - то в формате DOMAINNAME\username
-Усли доступ по группам - то в формате @DOMAINNAME\groupname , либо @"DOMAINNAME\group name", если в имени группы есть пробелы.

Керберос в этом деле НЕ участвует.

После всего вышеперечисленного делаем

Код:

net join -U admin%password

либо

Код:

net join -S domain_controller_name_or_IP -U admin%password

выдаст:

Код:

Joined domain DOMAINNAME

или вроде того.
Запускаем smb, nmb, winbindd.
проверяем

Код:

wbinfo -g

Должен выдать список групп домена.
После этого можно смело логониться с виндовой тачки.

Примечание: Пока что осталась одна проблема - машина не видна в списке доступных компов через сетевое окружение винды. Но это уже мелочи, которые можно решить позже.

_________________
Один выстрел - один труп.
cd /usr/src/themepark-2.4.1-2 && ./configure --with-blackjack --and-hookers && make

RU_Sanya

Добавлено: 24.02.2008 22:16

[профиль]

Member
Статус: Не в сети
Регистрация: 23.03.2003
Откуда: Красноярск

antiBILLotic

antiBILLotic писал(а):

Керберос в этом деле НЕ участвует.

Логично.

antiBILLotic писал(а):

машина не видна в списке доступных компов через сетевое окружение винды

А указан ли WINS-сервер в винде?

antiBILLotic

Добавлено: 27.02.2008 13:03

[профиль]

Member
Статус: Не в сети
Регистрация: 16.02.2004
Откуда: Москва

В винде указан и раздается автоматом через DHCP.
Более того, другая линух-машина, тоже на федоре, после аналогичных конфигураций в списке появилась =) подозреваю что дело в структуре подсетей и возможном зарезании broadcast-пакетов на некоторых участках.

_________________
Один выстрел - один труп.
cd /usr/src/themepark-2.4.1-2 && ./configure --with-blackjack --and-hookers && make

Новая тема /

Ответить

Сообщений: 8

Список форумов » Специализированные форумы » Мир Unix-like систем

Часовой пояс: UTC + 3 часа

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти: