Samba 3.0.20b авторизация в домене

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
weih
member
Сообщения: 26
Зарегистрирован: 12 дек 2004, 10:48

Samba 3.0.20b авторизация в домене

Сообщение weih » 25 окт 2005, 15:16

Есть домен на базе Windows 2000 Server (в mixed mode).
Задача: ввести в домен сервер с Solaris 9 (samba 3.0.20b), доступ на шары давать доменным пользователям, с авторизацией на контроллере домена.

Скачал и сконфигурировал со след. опциями samba 3.0.20b на Solaris 9:

   ./configure --with-winbind --with-winbind-auth-challenge --with-acl-support --prefix=/opt/samba --with-logfilebase=/var/samba/log --with-configdir=/etc/samba --with-privatedir=/etc/samba/private

   сказал:
   make
   make install

   вот мой конфиг

   [global]
   workgroup = WORKDOMEN
   netbios name = SERVER1
   server string = samba server
   hosts allow = 192.168.111.
   log file = /var/samba/log/%U_%m.log
   max log size = 500
   security = domain
   password server = *
   encrypt passwords = yes
   socket options = TCP_NODELAY
   local master = no
   dns proxy = no
   delete readonly = yes
   username map=/etc/samba/smbusers
   idmap uid=10000-20000
   idmap gid=10000-20000
   winbind enum users=yes
   winbind enum groups=yes

   [homes]
   comment = Home Directories
   valid users = @"WORKDOMEN\Domain Users"
   read only = No
   create mask = 0664
   directory mask = 0775
   browseable = No

   [public]
   path = /export/home/public
   read only = No
   browseable = Yes
   public = Yes
   writeable = yes
   valid users = @"WORKDOMEN\Domain Users"

   удачно ввел в домен командой
   net rpc join -U administrator

   wbinfo -p    |
   wbinfo -t    |
   wbinfo -u    | - все утилиты работаю корректно.  
   wbinfo -g    |

   в /etc/nsswitch.conf
   passwd:     files winbind
   group:      files winbind


   сделал wbinfo --authenticate=WORKDOMEN\\administrator%123456

   всё перезагрузил для очищения совести.

   При попытке зайти с виндовой машины доменный юзером на шары выдается окошко для ввода логина и пароля. Вход по паролю не работает.
   В логи самбы вываливается:

   [2005/10/25 15:06:14, 0] auth/auth_util.c:make_server_info_info3(1173)
     make_server_info_info3: pdb_init_sam failed!

   Так же не удается на самой машине с самбой настроить права на файловой системе по доменым пользователям. Т.е. я пытаюсь
   chown WORKDOMEN\\user1 public
   chown: unknown user id WORKDOMEN\user1

   ?????

   есть мнения?

olegus
Junior member
Сообщения: 12
Зарегистрирован: 25 окт 2005, 15:35
Контактная информация:

Сообщение olegus » 25 окт 2005, 15:42

Код: Выделить всё

workgroup = STPL
   server string = Samba Server
   security = DOMAIN
   allow trusted domains=Yes
   hosts allow = 193.127.127.
   netbios name = STPLBSD
   password server = STPLNET
   auth methods = winbind
   encrypt passwords = yes
   load printers = no
   
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind separator = /
   winbind enum users = yes
   winbind enum groups = yes
   winbind nested groups= yes
   winbind use default domain = yes

   username map=/usr/smbvar/users.map
   log file = /usr/var/log.%m
   max log size = 50
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 
   interfaces = sis0 
   guest account= guest

   local master=no
   unix charset = KOI8-R
   dos charset = 866
   display charset = 866 
Вот мой рабочий конфиг.
Керберос настроил?

weih
member
Сообщения: 26
Зарегистрирован: 12 дек 2004, 10:48

Сообщение weih » 25 окт 2005, 16:07

olegus писал(а): Керберос настроил?
а зачем там керберос?
я настраивал по статье
http://www.na.net.ua/forums/index.php?showtopic=27

olegus
Junior member
Сообщения: 12
Зарегистрирован: 25 окт 2005, 15:35
Контактная информация:

Сообщение olegus » 25 окт 2005, 16:30

WeiH писал(а):а зачем там керберос?
Есть домен на базе Windows 2000 Server (в mixed mode).
Я думаю, что у 5.0 и 4.0 домены разные.

weih
member
Сообщения: 26
Зарегистрирован: 12 дек 2004, 10:48

Сообщение weih » 25 окт 2005, 16:55

olegus писал(а):
WeiH писал(а):а зачем там керберос?
Есть домен на базе Windows 2000 Server (в mixed mode).
Я думаю, что у 5.0 и 4.0 домены разные.
mixed mode специально создан для совместимости с доменами NT

olegus
Junior member
Сообщения: 12
Зарегистрирован: 25 окт 2005, 15:35
Контактная информация:

Сообщение olegus » 25 окт 2005, 17:31

ну тады не знаю. Борись!

Логи винды глянул?

weih
member
Сообщения: 26
Зарегистрирован: 12 дек 2004, 10:48

Сообщение weih » 25 окт 2005, 18:43

olegus писал(а): Логи винды глянул?
да, вот такие сообщения присутствуют

The session setup from the computer SERVER failed because there is no trust account in the security database for this computer. The name of the account referenced in the security database is SERVER$.

olegus
Junior member
Сообщения: 12
Зарегистрирован: 25 окт 2005, 15:35
Контактная информация:

Сообщение olegus » 25 окт 2005, 19:06

WeiH писал(а):
olegus писал(а): Логи винды глянул?
да, вот такие сообщения присутствуют

The session setup from the computer SERVER failed because there is no trust account in the security database for this computer. The name of the account referenced in the security database is SERVER$.
Не находит в базе почему то.....А какой экаунт ломится то?
Да подними керберос. Это не сложно, а мороки потом с доменом меньше будет.

Аватара пользователя
mclaud
Advanced member
Сообщения: 79
Зарегистрирован: 20 апр 2005, 12:56
Откуда: Москва
Контактная информация:

Сообщение mclaud » 26 окт 2005, 13:25

А мне кажется, что самба у тебя настроена корректно, а вот разрешение на шару-нет. Попробуй valid users=user@domain.ru и что такое "password server=*" ? Пропиши ip DC

weih
member
Сообщения: 26
Зарегистрирован: 12 дек 2004, 10:48

Сообщение weih » 27 окт 2005, 09:39

mclaud писал(а):А мне кажется, что самба у тебя настроена корректно, а вот разрешение на шару-нет. Попробуй valid users=user@domain.ru и что такое "password server=*" ? Пропиши ip DC
Я ставил разрешения на шару chmod 777
password server=* - это значит что в сети присутствую 2 контролера домена и при отказе одного будет переключение на другой. Я пробовал жестко указывать определенный контроллер, это не помогло моей проблеме

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 10 гостей