настроил самбу, работает.
все кто не в домене могут подключаться к нему по логину\паролю

кто в домене (есть такие компьютеры) в нашей локальной сети подключиться не могут. К таким относятся машины с Windows 7, проблемы с ХР, даже если они в домене - нет.

КАк решить? что то не так в машинах? что то не так в настройках самбы?

конфиг самбы:

global]
encrypt password = yes
    server string = predpr
    security = user
    workgroup = WORKGROUP
    netbios name = pe

;    unix charset = UTF-8
    dos charset = CP866
    display charset = UTF-8

    smb passwd file = /etc/samba/smbpasswd
    unix password sync = no
    passwd program = /usr/bin/passwd %u
    passwd chat = *New*password* %n\n *Please*retype*new*password* %n\n *password*successfully*updated*

[share]
    writeable = yes
    only user = no
    write list = user1
    read list = user1 user2
    valid users = user1 user2
    path = /media/HDD
    force directory mode = 0775
    force create mode = 0777
    comment = Директор
    create mode = 0777
    directory mode = 0777
    browseable = yes

Добрый день.

Пытаюсь настроить квотирование для Samba 3.6.9 на FreeBSD 9.0.
В ядре включил квотирование.
Самбу собрал с поддержкой квотирования.
Вроде бы квоты работают. Но не совсем корректно.
Устанавливаю ограничение на группу mygroup: soft 8MB, hard 10MB.
Копирую через Самбу на расшареный ресурс маленький файлик на 1МВ. Все ОК.  
Копирую затем большой файл на 30МВ. Файл начинает копироваться и на уровне 10МВ прерывается с уведомлением о нехватке свободного места.
Пытаюсь затем скопировать еще один маленький файл на 1МВ - ругается, что нет свободного места. Хотя 9МВ должны быть свободны, ведь большой файл не скопировался.

Запускаем на сервере команду:
#edquota -g mygroup
В поле in use указано 10МВ. Т.е. свободного места для записи уже нет.
Теперь, чтобы сбросить эти неверные показания, необходимо выполнить команду:
#quotacheck -a

Что сделать, чтобы эти показания автоматически сбрасывались?

собственно сабж

Доброго всем времени суток!!
продолжаю копания новичка в самбе. Возник затык в том что не пускает в шару даже пользователя домена прописаного как администратор шары.

кусок конфига самбы

[global]
        dos charset = cp866
        unix charset = utf8
        display charset = utf8
        workgroup = ZNO
        realm = ZNO.NET
        server string = Samba Server Version %v
        security = ADS
        password server = SRV4.ZNO.NET
        log file = /var/log/samba/log.%m
        max log size = 50
        local master = No
        domain master = No
        idmap uid = 10000 - 20000
        idmap gid = 10000 - 20000
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes

[pub]
        comment = Shares for Documents
        path = /home/exch
        admin users = "@администраторы домена", макеев
        read list = "@пользователи домена"
        write list = "@пользователи домена"
        read only = No
        create mask = 0660
        directory mask = 0770
        inherit permissions = Yes
        inherit acls = Yes
        inherit owner = Yes
        map acl inherit = Yes
        locking = No
Права на шару

ls -l /home
итого 8
drwxrwxrwx. 3 root root 4096 Окт 22 09:51 exch
drwxr-xr-x. 3 root root 4096 Окт 11 10:12 storage

fstab на всякий случай

[root@sambafs samba]# cat /etc/fstab

#
# /etc/fstab
# Created by anaconda on Wed Oct 10 17:23:40 2012
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/VolGroup-lv_root /                       ext4    defaults        1 1
UUID=5f2cd187-7c8b-4677-9987-a0454f0372e6 /boot                   ext4    defaults        1 2
/dev/mapper/VolGroup-lv_swap swap                    swap    defaults        0 0
tmpfs                   /dev/shm                tmpfs   defaults        0 0
devpts                  /dev/pts                devpts  gid=5,mode=620  0 0
sysfs                   /sys                    sysfs   defaults        0 0
proc                    /proc                   proc    defaults        0 0
/dev/VolGroup/exchlv   /home/exch               ext3  user_xattr,acl,defaults   0 0

Захожу под в домен под пользователем макеев, подключаюсь к \\sambafs и вижу там шару pub.
при попытке туда войти пишет
"Разрешение на доступ к \\sambafs\pub отсутствуют.
Где подводный камень?
еще вдогонку
[root@sambafs samba]# id макеев
uid=10001(макеев) gid=10004(пользователи домена) группы=10004(пользователи домена),10009(администраторы домена),10010(organization management),10008(администраторы предприятия),10007(администраторы схемы),10006(общепит),10005(администраторы dhcp),10001(BUILTIN+users),10000(BUILTIN+administrators)

Я новичек поэтому если ругаетесь то ругайтесь не сильно и по делу =)
Задача сделать файловую шару для пользователей домена.
На виртуальной машине VirtualBox поднят CentOS 6.2 kernel 2.6.32-22
Несколько дней копал инфу и пытался настроить Самбу, в итоге я не могу достучаться к шаре из под винды. В чем проблема не пойму, помогите разобраться, а то мои мысли зашли в тупик.

Сама виртуальная машина пингуется из сети и по АЙПИ и по имени
Тикеты по крб5 получаю.
wbinfo тянет из домена группы и пользователей.

правда net ads join отрабатывает с ошибкой, но где то мне попадалось заявление о том, что это вроде как некритично
[2012/10/25 12:02:06.962238,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password SAMBAFS$@ZNO.NET failed: Preauthentication failed
[2012/10/25 12:02:06.975109,  0] utils/net_ads.c:1147(net_update_dns_internal)
  net_update_dns_internal: Failed to connect to our DC!
Правда учетку машины в AD делал ручками.

В итоге не могу достучаться к шаре =(

[root@sambafs /]# vi /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = ZNO.NET
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
ZNO.NET = {
  kdc = srv4.zno.net
  admin_server = srv4.zno.net
}

[domain_realm]
.zno.net = ZNO.NET
zno.net = ZNO.NET

[root@sambafs samba]# testparm smb.conf
Load smb config files from smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[printers]"
WARNING: [printers] service MUST be printable!
WARNING: No path in service printers - making it unavailable!
NOTE: Service printers is flagged unavailable.
Processing section "[pub]"
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        dos charset = cp866
        unix charset = utf8
        display charset = utf8
        workgroup = ZNO
        realm = ZNO.NET
        server string = Samba Server Version %v
        security = ADS
        password server = SRV4.ZNO.NET
        log file = /var/log/samba/log.%m
        max log size = 50
        local master = No
        domain master = No
        idmap uid = 10000 - 20000
        idmap gid = 10000 - 20000
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes

[homes]
        comment = Home Directories
        read only = No
        browseable = No

[printers]
        printable = Yes
        browseable = No
        available = No

[pub]
        comment = Shares for Documents
        path = /home/exch
        admin users = "@пользователи домена", макеев
        read list = "@пользователи домена"
        write list = "@пользователи домена"
        read only = No
        create mask = 0660
        directory mask = 0770
        inherit permissions = Yes
        inherit acls = Yes
        inherit owner = Yes
        map acl inherit = Yes
        locking = No

/etc/nsswitch.conf

passwd:     files winbind
shadow:     files
group:      files winbind
hosts:      files dns

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

Доброго времени суток.
Есть домен win2003 и есть Samba член домена (security - ads).
В домен подключился без проблем.
net testjoin OK
wbinfo -u OK (видит всех пользователей)
wbinfo -g OK (видит все группы)

есть у Samba расшаренный ресурс, через

valid users = Sergei user2

пользователи заходят на него а вот если указываю доменную группу

valid users = @"AD^users_group"

Samba ругается на недопустимый формат.

getent passwd выдает всё ок
getent group не видит группы домена я думаю что вот тут то и проблема

nsswitch.conf
passwd: files winbind
group: files winbind

может кто уже сталкивался с этим или подскажите куда копать...

о системе
FreeBSD 8.3
Samba 3.6.5 с winbind

Samba в принципе видит группы домена но использовать их не позволяет, а вот система не получает группы от Samba

HI!
комрады ,помогите линком.
развалился у меня raid, вернее его контроллер SiliconImage похерил, 1й диск вообще пустой, второй нормальный, после проверки fsck удалось подключиться и разглядеть файлы и каталоги.
скопировал всё на win тачку, но с кодировкой названий полный анус. а данных почти 400Gb
в общем подскажите прогу которая автоматом из CP1251 → KOI8-R переведёт.

Здравствуйте, подскажите как настроить конфиг. С самбой не работал, но купил диск Seagate.

Что есть:

# This file was generated from a template.  To make local modifications,
# copy the template from /etc/oe-admin/templates/system to
# /etc/oe-admin/templates/local , modify it,
# then make some change on the Windows Networking page.

[global]

netbios name = motoroller
workgroup = HOME
server string = GoFlex Home

security = user
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
use sendfile = yes

guest account = lp

printcap name = cups
load printers = yes
printing = cups

socket options = TCP_NODELAY SO_RCVBUF=65536 SO_SNDBUF=65536
dns proxy = no

browseable = yes
map to guest = never

domain master = no
local master = yes
preferred master = yes
os level = 2
unix charset = UTF8
unix extensions = no
mangled names = no
veto files = /.swapfile/.tmp/.users/.timemachine/
delete veto files = yes

# We need this here to prevent errors from appearing in WinXP
# https://listman.redhat.com/archives/redhat-list/2003-January...
use client driver = yes

log level = 0

[Public]
comment = GoFlex Home (GoFlex Home Public)
path=/home/%U/Public
browseable = yes
writeable = yes
guest ok = no
#guest only = no
#public = yes
create mode = 0664
directory mode = 0775
force create mode = 0664
force directory mode = 0775
force security mode = 0775
force directory security mode = 0775
force group = users
valid users = %U

Вот собственно конфиг.
Как работает сейчас эта система мне не нравится, т.е чтобы зайти по ip на диск надо ввести пароль пользователя и потом уже ползать по папкам.

Я хочу сдлеать так. На диск можно попасть без ввода пароля. И там должно быть допустим две папки Private и Public.

Соотвественно в public попадают все и делают что хотят в Private только по паролю.
Что я пытался сделать:

security = public

После этого я попадаю на диск))) и вижу папку Public, но при вводе пароля не могу туда попасть, пароль ввожу верно.

Пытался дописыать что-товроде:

[Public]
comment = GoFlex Home (GoFlex Home Public)
path=/home/%U/Public
browseable = yes
writeable = yes
guest ok = ok
guest account= nobody
public = yes

[Private]
comment = GoFlex Home (GoFlex Home Private)
path=/home/%U/Private
browseable = yes
writeable = yes
guest ok = no
#guest only = no
#public = yes
create mode = 0664
directory mode = 0775
force create mode = 0664
force directory mode = 0775
force security mode = 0775
force directory security mode = 0775
force group = users
valid users = %U

Результат таков: в Private под нужным логимно и аролем не пускает
Public пишет что вообще не такого ресурса

Заходил под Win7

Подскажите релаьно ли реализовать данную структуру.Если как, подскажите конфиг. Пробовал уже много но нчиего не работает:::(((

Доброе время суток!

Может я излишне придирчив, но 40 секунд, на мой взгляд - очень долго :((
Рядом точно такой же комп в домен win2003 входит без задержки.

Сервер: gentoo, samba-3.5.15
Клиент: свежеустановленный win7, все обновления, антивирь nod32, клиент novell(не спрашивайте зачем)

В журнале ошибок нет, за исключением:
Компьютер не может установить безопасный сеанс связи с контроллером домена по следующей  причине: Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть.
Это может затруднить проверку подлинности...

Но эта же ошибка присутствует и в журнале на компе, который входит в домен win2003.

ДНС настроен и работает правильно. На сервере прямая и обратная зона, резолвится всё как надо. На клиенте единственный ДНС - IP сервера. Синхронизация времени по ntp с pdc Samba. И вообще, с вводом-выводом в домен - никаких проблем. Выбешивает эта странная задержка.

Профиль - перемещаемый. Пробовал делать локальным - задержка не исчезает.

PS: На клиентах с win XP всё ок!

Здравствуйте, вопрос наверное уже пережеванный, но не могу найти то что нужно. На сервере выделен отдельный раздел /data. На нем будут хранится общие ресурсы. Создаю шару, например:
[sfiles]
path = /data/sfiles
guest ok = yes
writeable = yes
create mask = 0666
directory mask = 0777
read only = no

Затем на клиенте подключаю ее через меню "Переход" и все работает. Для автоматического монтирования прописал в fstab следующее:
//10.0.0.1/sfiles    /home/user/test   cifs _netdev,rw,username=user,password=********,file_mode=0777,dir_mode=0777,iocharset=utf8    0    0
и шара монтируется, но с ограничениями на созданные папки и файлы. Где у меня тут ошибка?  Нагуглил что еще нужно прописывать UID и GID, или дело не только в этом?
Спасибо!

Больше года проработал сервер Samba под Debian 6, а сейчас закончилось место на системном диске, который самбой даже не используется((
/dev/sdb1              11G   11G     0 100% /
tmpfs                 474M     0  474M   0% /lib/init/rw
udev                  469M  156K  469M   1% /dev
tmpfs                 474M     0  474M   0% /dev/shm
/dev/sdb7             438G  416G  543M 100% /capture/168
/dev/sdb5             438G  416G  432M 100% /capture/169
/dev/sdb6             438G  416G  341M 100% /capture/170
/dev/sda1             917G  735G  136G  85% /capture/171
/dev/sda2             917G  248G  623G  29% /capture/172
/dev/sdb8             480G  456G   95M 100% /capture/172old
overflow              1,0M     0  1,0M   0% /tmp

Системный диск в списке первый. По-папочная проверка командой "du --max-depth=1 -hc" показала, что общий объём папок в корне "/", за исключением "/capture", не должен превышать 3Гб.

Вопрос, куда могло деться 8Гб и что может занимать свободное пространство системного диска?
Какой вообще алгоритм поиска того "что занимает системный диск" в моём случае?

Если выключить или демонтировать диск, смонтированный в расшаренную Самба папку, эта пустая папка остаётся расшаренной и доступной для записи файлов. При последующем авто монтировании диска в эту папку все эти файлы удаляются. Пустые папки также сбивают с толку пользователя, вызывая вопросы "Почему у меня нет доступа"?

Как сконфигурировать Самба чтобы прятала (перестала шарить) пустую папку после демонтажа диска из неё? Почему эта базовая очевидная функция отсутствует среди опций конфига?

Есть маленький сервер, который раздаёт интернет с помощью squid. Чтобы в большой сети найти мой маленький сервер использую wins, но возникли некоторые проблемы.

Компьютеры, которым нужно раздавать интернет находятся в разных подсетях. Ip получают с dhcp-серверов. При раздаче ip везде используется один и тот же wins-сервер: 192.168.54.1, однако в силу великой мудрости системных администраторов(не одного!) - одни компьютеры, которые находятся в подсети 192.168.54.0 могут видеть 192.168.54.1, другие же 192.168.52.0 не видят 192.168.54.1.

В этой чудесной истории я не являюсь системным администратором, который может добраться до 2 админов или dhcp-серверов, дабы настроить их как-то по-человечески (серверы+админов)...

Однако я не сдался и сделал 2 провода - один в свитч с работающим dhcp-сервером подсетки 1(192.168.54.0) и второй в свитч 2(192.168.52.0). Ну и оба провода в свою тачку, которая раздаёт бесплатный интернет.

Таким образом моя тачка получает 2 ip в посети 192.168.54.0 и подсети 192.168.52.0. Первоначально - я не использовал wins-сервер, дабы не связываться с админами никак. Прописывал, на компьютерах, которые хотели интернета ip моей тачки с прокси-сервером... Но, конечно, это долго продолжаться не могло и в конце концов ip тачки сменился...

Для того чтоб передавать wins-серверу имя сервера решил использовать самбу. Однако, это произвело какой-то странный эффект - мне позвонил один из админов и сказал, что данный сервер мешает работе wins-сервера. Спамит его. Вот конфиг самбы:

[global]
workgroup = WORKGROUP
dns proxy = no
domain master = no
preferred master = no
#max ttl = 259200
#max wins ttl = 518400
name resolve order = wins bcast dns
wins proxy = no
wins support = no
wins server = 192.168.54.1
os level = 1

# Disable printer support
    load printers = no
    show add printer wizard = no
#    printing = NONE
    printcap name = /dev/null
    disable spoolss = yes

map to guest = Bad User
force directory mode = 777

[shar]
path = /home/2
public = yes
writeable = yes
read only = No
guest ok = yes
directory mask = 0777
create mask = 0777

Как я понимаю в этом конфиге отключено всё, что возможно.
Сервер: Debian wheezy. Squid+Samba+Dansguardian+isc-dhcp-client
Пожалуйста подскажите: могу ли я, настроить частоту обращения к wins-серверу? Вариант - "найти домашние адреса админов, взять биту и сделать доброе дело" не предлагать!..Они домашние адреса не говорят.
Такие дела.

Сетевая папка на samba в Windows 7 монтируется как FAT, что делает невозможным записывать файлы размером более 4 Gb.
Система стоит Debian Lenny (заводская установка на WD My Book Live).
Подскажите плиз как это вылечить, что прописать в конфиге самбы что бы сетевая папка стала монтироваться в NTFS?
Мой конфиг (секция global)

[global]
  load printers = no
  printing = bsd
  printcap name = /dev/null
  disable spoolss = yes
  log file = /var/log/samba/log.smbd
  max log size = 50
  dead time = 15
  security = user
#  auth methods = guest, sam_ignoredomain, winbind:ntdomain
  encrypt passwords = yes
  passdb backend = smbpasswd:/etc/samba/smbpasswd  
  create mask = 0775
  directory mask = 0775
  local master = yes
  domain master = no
  preferred master = auto
  os level = 5
  socket options = TCP_NODELAY SO_RCVBUF=65536 SO_SNDBUF=65536
  min receivefile size = 128k
  use sendfile = yes
  dns proxy = no
  idmap uid = 10000-65000
  idmap gid = 10000-65000
  dont descend = /proc,/dev,/etc
  admin users =
  null passwords = yes
  map to guest = bad user
  guest account = nobody
  unix extensions = no  
  acl check permissions = false
  veto files = /.access_conf/

На линухе (openSuSE) настроена самба.
smb.conf

##############################################
[global]
    workgroup = testWG
#    map to guest = Bad User
    server string = PomoiKA
    interfaces = 10.180.10.216/24
    security = share
#    guest account = Admin
    log file = /var/log/smb.log
#    usershare allow guets = yes
    
[download]
    path = /tmp
    locking = no
    public = yes
    create mode = 777
    directory mode = 777
    guest ok = yes
    guest only = yes
    writeable = yes

#########################################

при попытке обратится к каталагу с винды по айпи, показывает, что мол Виндоус не может получить доступ к х.х.х.х. файрволы выключены и на линукс и на виндоус, права все на папку задал полные.

VM:/var/log # ls -l /tmp/
total 68
drwxrwxrwx 2   777 root   4096 Aug  9 18:35 download

В чем причина?! Уже незнаю что и думать!

поставил полную анархию на шару banks.  В итоге открывается только на чтение. ЧЯДНТ?

[root@localhost samba]# testparm -v                                
Load smb config files from /etc/samba/smb.conf                    
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
params.c:Parameter() - Ignoring badly formed line in configuration file: Logging Options -----------------------------
Processing section "[homes]"                                                                                          
Processing section "[printers]"                                                                                      
Processing section "[public]"                                                                                        
Processing section "[banks]"                                                                                          
Global parameter guest account found in service section!                                                              
Loaded services file OK.                                                                                              
Server role: ROLE_STANDALONE                                                                                          
Press enter to see a dump of your service definitions                                                                

[global]
        dos charset = CP850
        unix charset = UTF-8
        display charset = LOCALE
        workgroup = ZHILSERVICE
        realm =                
        netbios name = CENTOSHOST
        netbios aliases =        
        netbios scope =          
        server string = Samba Server Version %v
        interfaces = lo, eth2, 192.168.23.0/24
        bind interfaces only = Yes            
        security = USER                        
        auth methods =                        
        encrypt passwords = Yes                
        update encrypted = No                  
        client schannel = Auto                
        server schannel = Auto                
        allow trusted domains = Yes            
        map to guest = Bad User                
        null passwords = No                    
        obey pam restrictions = No            
        password server = *                    
        smb passwd file = /var/lib/samba/private/smbpasswd
        private dir = /var/lib/samba/private              
        passdb backend = tdbsam                          
        algorithmic rid base = 1000                      
        root directory =                                  
        guest account = nobody                            
        enable privileges = Yes                          
        pam password change = No                          
        passwd program =                                  
        passwd chat = *new*password* %n\n *new*password* %n\n *changed*
        passwd chat debug = No                                        
        passwd chat timeout = 2                                        
        check password script =                                        
        username map =                                                
        password level = 0                                            
        username level = 0                                            
        unix password sync = No                                        
        restrict anonymous = 0                                        
        lanman auth = No                                              
        ntlm auth = Yes                                                
        client NTLMv2 auth = No                                        
        client lanman auth = No                                        
        client plaintext auth = No                                    
        client use spnego principal = No                              
        preload modules =                                              
        dedicated keytab file =                                        
        kerberos method = default                                      
        map untrusted to domain = No                                  
        log level = 0                                                  
        syslog = 1                                                    
        syslog only = No                                              
        log file = /var/log/samba/log.%m                              
        max log size = 50                                              
        debug timestamp = Yes                                          
        debug prefix timestamp = No                                    
        debug hires timestamp = Yes                                    
        debug pid = No                                                
        debug uid = No                                                
        debug class = No                                              
        enable core files = Yes                                        
        smb ports = 445 139                                            
        large readwrite = Yes                                          
        max protocol = NT1                                            
        min protocol = CORE                                            
        min receivefile size = 0                                      
        read raw = Yes                                                
        write raw = Yes                                                
        disable netbios = No                                          
        reset on zero vc = No                                          
        acl compatibility = auto                                      
        defer sharing violations = Yes                                
        nt pipe support = Yes                                          
        nt status support = Yes                                        
        announce version = 4.9                                        
        announce as = NT                                              
        max mux = 50                                                  
        max xmit = 16644                                              
        name resolve order = lmhosts wins host bcast                  
        max ttl = 259200                                              
        max wins ttl = 518400                                          
        min wins ttl = 21600                                          
        time server = No                                              
        unix extensions = Yes                                          
        use spnego = Yes                                              
        client signing = auto                                          
        server signing = No                                            
        client use spnego = Yes                                        
        client ldap sasl wrapping = plain                              
        enable asu support = No                                        
        svcctl list =                                                  
        deadtime = 0                                                  
        getwd cache = Yes                                              
        keepalive = 300                                                
        lpq cache time = 30                                            
        max smbd processes = 0                                        
        paranoid server security = Yes                                
        max disk size = 0                                              
        max open files = 16384                                        
        socket options = TCP_NODELAY                                  
        use mmap = Yes                                                
        hostname lookups = No                                          
        name cache timeout = 660                                      
        ctdbd socket =                                                
        cluster addresses =                                            
        clustering = No                                                
        ctdb timeout = 0                                              
        load printers = Yes                                            
        printcap cache time = 750                                      
        printcap name =                                                
        cups server =                                                  
        cups encrypt = No                                              
        cups connection timeout = 30                                  
        iprint server =                                                
        disable spoolss = No                                          
        addport command =                                              
        enumports command =                                            
        addprinter command =                                          
        deleteprinter command =                                        
        show add printer wizard = Yes                                  
        os2 driver map =                                              
        mangling method = hash2                                        
        mangle prefix = 1                                              
        max stat cache size = 256                                      
        stat cache = Yes                                              
        machine password timeout = 604800                              
        add user script =                                              
        rename user script =                                          
        delete user script =                                          
        add group script =                                            
        delete group script =                                          
        add user to group script =                                    
        delete user from group script =                                
        set primary group script =                                    
        add machine script =                                          
        shutdown script =                                              
        abort shutdown script =                                        
        username map script =                                          
        logon script =                                                
        logon path = \\%N\%U\profile                                  
        logon drive =                                                  
        logon home = \\%N\%U                                          
        domain logons = No                                            
        init logon delayed hosts =                                    
        init logon delay = 100                                        
        os level = 65                                                  
        lm announce = Auto                                            
        lm interval = 60                                              
        preferred master = No                                          
        local master = No                                              
        domain master = No                                            
        browse list = Yes                                              
        enhanced browsing = Yes                                        
        dns proxy = Yes                                                
        wins proxy = No                                                
        wins server =                                                  
        wins support = Yes                                            
        wins hook =                                                    
        kernel oplocks = Yes                                          
        lock spin time = 200                                          
        oplock break wait time = 0                                    
        ldap admin dn =                                                
        ldap delete dn = No                                            
        ldap group suffix =                                            
        ldap idmap suffix =                                            
        ldap machine suffix =                                          
        ldap passwd sync = no                                          
        ldap replication sleep = 1000                                  
        ldap suffix =                                                  
        ldap ssl = start tls                                          
        ldap ssl ads = No                                              
        ldap deref = auto                                              
        ldap follow referral = Auto                                    
        ldap timeout = 15                                              
        ldap connection timeout = 2                                    
        ldap page size = 1024                                          
        ldap user suffix =                                            
        ldap debug level = 0                                          
        ldap debug threshold = 10                                      
        eventlog list =                                                
        add share command =                                            
        change share command =                                        
        delete share command =                                        
        preload =                                                      
        lock directory = /var/lib/samba                                
        state directory = /var/lib/samba                              
        cache directory = /var/lib/samba                              
        pid directory = /var/run                                      
        utmp directory =                                              
        wtmp directory =                                              
        utmp = No                                                      
        default service =                                              
        message command =                                              
        get quota command =                                            
        set quota command =                                            
        remote announce =                                              
        remote browse sync =                                          
        socket address = 0.0.0.0                                      
        nmbd bind explicit broadcast = Yes                            
        homedir map = auto.home                                        
        afs username map =                                            
        afs token lifetime = 604800                                    
        log nt token command =                                        
        time offset = 0                                                
        NIS homedir = No                                              
        registry shares = No                                          
        usershare allow guests = No                                    
        usershare max shares = 0                                      
        usershare owner only = Yes                                    
        usershare path = /var/lib/samba/usershares                    
        usershare prefix allow list =                                  
        usershare prefix deny list =                                  
        usershare template share =                                    
        panic action =                                                
        perfcount module =                                            
        host msdfs = Yes                                              
        passdb expand explicit = No                                    
        idmap backend = tdb                                            
        idmap alloc backend =                                          
        idmap cache time = 604800                                      
        idmap negative cache time = 120                                
        idmap uid =                                                    
        idmap gid =                                                    
        template homedir = /home/%D/%U                                
        template shell = /bin/false                                    
        winbind separator = \                                          
        winbind cache time = 300                                      
        winbind reconnect delay = 30                                  
        winbind max clients = 200                                      
        winbind enum users = No                                        
        winbind enum groups = No                                      
        winbind use default domain = No                                
        winbind trusted domains only = No                              
        winbind nested groups = Yes                                    
        winbind expand groups = 1                                      
        winbind nss info = template                                    
        winbind refresh tickets = No                                  
        winbind offline logon = No                                    
        winbind normalize names = No                                  
        winbind rpc only = No                                          
        create krb5 conf = Yes                                        
        comment =                                                      
        path =                                                        
        username =                                                    
        invalid users =                                                
        valid users =                                                  
        admin users =                                                  
        read list =                                                    
        write list =                                                  
        printer admin =                                                
        force user =                                                  
        force group =                                                  
        read only = Yes                                                
        acl check permissions = Yes                                    
        acl group control = No                                        
        acl map full control = Yes                                    
        create mask = 0744                                            
        force create mode = 00                                        
        security mask = 0777                                          
        force security mode = 00                                      
        directory mask = 0755                                          
        force directory mode = 00                                      
        directory security mask = 0777                                
        force directory security mode = 00                            
        force unknown acl user = No                                    
        inherit permissions = No                                      
        inherit acls = No                                              
        inherit owner = No                                            
        guest only = No                                                
        administrative share = No                                      
        guest ok = No                                                  
        only user = No                                                
        hosts allow = 127.0.0.1, 192.168.16., 192.168.23.              
        hosts deny = all                                              
        allocation roundup size = 1048576                              
        aio read size = 0                                              
        aio write size = 0                                            
        aio write behind =                                            
        ea support = No                                                
        nt acl support = Yes                                          
        profile acls = No                                              
        map acl inherit = No                                          
        afs share = No                                                
        smb encrypt = auto                                            
        block size = 1024                                              
        change notify = Yes                                            
        directory name cache size = 100                                
        kernel change notify = Yes                                    
        max connections = 0                                            
        min print space = 0                                            
        strict allocate = No                                          
        strict sync = No                                              
        sync always = No                                              
        use sendfile = No                                              
        write cache size = 0                                          
        max reported print jobs = 0                                    
        max print jobs = 1000                                          
        printable = No                                                
        printing = cups                                                
        cups options = raw                                            
        print command =                                                
        lpq command = %p                                              
        lprm command =                                                
        lppause command =                                              
        lpresume command =                                            
        queuepause command =                                          
        queueresume command =                                          
        printer name =                                                
        use client driver = No                                        
        default devmode = Yes                                          
        force printername = No                                        
        printjob username = %U                                        
        default case = lower                                          
        case sensitive = Auto                                          
        preserve case = Yes                                            
        short preserve case = Yes                                      
        mangling char = ~                                              
        hide dot files = Yes                                          
        hide special files = No                                        
        hide unreadable = No                                          
        hide unwriteable files = No                                    
        delete veto files = No                                        
        veto files =                                                  
        hide files =                                                  
        veto oplock files =                                            
        map archive = Yes                                              
        map hidden = No                                                
        map system = No                                                
        map readonly = yes                                            
        mangled names = Yes                                            
        store dos attributes = No                                      
        dmapi support = No                                            
        browseable = Yes                                              
        access based share enum = No                                  
        blocking locks = Yes                                          
        csc policy = manual                                            
        fake oplocks = No                                              
        locking = Yes                                                  
        oplocks = Yes                                                  
        level2 oplocks = Yes                                          
        oplock contention limit = 2                                    
        posix locking = Yes                                            
        strict locking = Auto                                          
        share modes = Yes                                              
        dfree cache time = 0                                          
        dfree command =                                                
        copy =                                                        
        preexec =                                                      
        preexec close = No                                            
        postexec =                                                    
        root preexec =                                                
        root preexec close = No                                        
        root postexec =
        available = Yes
        volume =
        fstype = NTFS
        set directory = No
        wide links = No
        follow symlinks = Yes
        dont descend =
        magic script =
        magic output =
        delete readonly = No
        dos filemode = No
        dos filetimes = Yes
        dos filetime resolution = No
        fake directory create times = No
        vfs objects =
        msdfs root = No
        msdfs proxy =

[homes]
        comment = Home Directories
        read only = No
        browseable = No

[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No

[public]
        comment = Public Stuff
        path = /home/bases
        read only = No
        guest ok = Yes

[banks]
        comment = Bank Upload
        path = /home/banks
        read only = No
        create mask = 0777
        directory mask = 0777
        guest ok = Yes

Помогите пожалуйста!я- очень сильно начинающий системный администратор!проблемма в след не запускается winbind!в логах самбы ошибка
initialize_winbindd_cache: clearing cache and re-creating with version number 1
что это значит?до перезагрузки все нормально работало!в чем дело помогите пожалуйста

Столкнулся с распространенным затыком при вводе самбы (smb) на Centos в домен Win2k3 (pdc). Вчера перестала пускать народ на шары. Перезавожу машину в домен, получаю

Using short domain name -- XX
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'SMB' in realm 'XX.YY.COM'
Failed to join domain: Type or value exists

в отладке name_to_fqdn: lookup for SMB failed

Конфиги:

/etc/samba/smb.conf
workgroup = XX
netbios name = SMB
server string =
security = ads
encrypt passwords = yes
realm = XX.YY.COM
password server = pdc.xx
idmap uid = 100000-200000
idmap gid = 100000-200000
winbind enum users = yes
winbind enum groups = yes
winbind separator = \\
load printers = no
printcap name = /etc/printcap
printing =
log file = /var/log/samba/%m.log
max log size = 50
acl compatibility = auto
inherit owner = yes
inherit acls = yes
#inherit permissions = yes
create mask = 770
map acl inherit = yes
nt acl support = yes
os level = 10
oplocks = yes
winbind use default domain = yes
admin users = %D\admin
#debug level = 10

/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = XX.YY.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
XX.YY.COM  = {
  kdc = pdc.xx.yy.com:88
  admin_server = pdc.xx.yy.com:749
  default_domain = xx.yy.com
}

[domain_realm]
.xx.yy.com = XX.YY.COM
xx.yy.com = XX.YY.COM

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

в /etc/nsswitch.conf
passwd:     files    winbind
shadow:     files    winbind
group:      files    winbind
hosts:      files       dns

/etc/hosts
127.0.0.1       localhost.localdomain localhost
192.168.1.8     smb.xx.yy.com smb
192.168.1.6     pdc.xx.yy.com pdc

hostname
SMB

/etc/resolv.conf
nameserver 192.168.1.6

nslookup smb.xx.yy.com успешно резолвится в IP

Куда смотреть?...

И так вот схема
http://s2.hostingkartinok.com/uploads/images/2012/07/0d8b08b...

Суть такова-
есть две сети соединенные между собой туннелем, на концах туннеля маршрутизаторы на fedora core, на обоих концах открыты порты.

-A INPUT -i eth0 -p tcp -m tcp --dport 443:445 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 135:139 -j ACCEPT

Внутри каждой подсети по Samba серверу, на которых нету iptables.
Так же в каждой сети по Windows Server с AD.
Суть в том что с одного Windows сервер я могу зайти на самбу из другой сети, а с Windows сервер из другой сети я не могу попасть на первую самбу...
Настройки smb.conf одинаковые, пользователь, под которым я захожу заведен на обоих Samba серверах.

Добрейшего всем дня!
Значит вопрос вот какой. Стоит самба на RHEL6 и раздает авторизованные и свободные шары. С виндовыми и MAC OS X клиентами проблем нет. Но вот с Linux (SuSe и Ubuntu) клиентами странная вещь. При заходе из под линукс самба не спрашивает пароль и показывает лишь общедоступные ресурсы (типа PUB). Как заставить линух авторизоваться на самбе? Конфиг самбы на серваке ниже:

[global]
workgroup = DOMAIN
server string = Windows Cloude
netbios name = WINSHARE
security = user
encrypt passwords = yes
lanman auth = yes
client plaintext auth = yes
wins support = no
usershare owner only = yes
#guest account = nobody
#map to guest = Bad User
#usershare owner only = False
#usershare allow guests = yes
create mask = 0666
security mask = 0666
directory mask = 0777
log file = /var/log/samba/log.%m
max log size = 50
dns proxy = no
load printers = no
dos charset = 866
unix charset = koi8-u
display charset = koi8-u
server signing = Auto
oplocks = no
locking = no

[homes]
writable = yes
browseable = no
public = no
valid users = %S
guest ok = no

[pub]
path = /home/pub
#valid users = %S
public = yes
browseable = yes
comment = pub
read only = no
#guest ok = yes
guest only = no
writeable=yes

Добрго времени суток!
Настроен прокси с авторизацией в АД. Суть проблемы: при внесении изменений в АД(перевод пльзователя из группы internetallow в internetdeny), странно себя ведет winbind, а именно
wbinfo -r username выдает что пользователь остался в internetallow.
id username - то же самое.
getent group "internetallow" - что пользователя username нет в группе.
getent group "internetdeny" - username тут.

/etc/init.d/winbind restart/reload не помогают.

Причем winbind игнорит параметр конфига idmap cache time = 900 (файл /var/lib/samba/winbindd_idmap.tdb не изменяется)
Может кто сталкивался с такой проблемой....Пожалуйста подскажите решение!!!!!
Готов выслушать советы по всей связке!

PS:
для аутентификации по группам в squid использую wbinfo_group.pl.Может кто  предложит более оптимальное решение.Заранее благодарен!

имеем:
CentOS release 6.2
Linux2.6.32-220.17.1.el6.x86_64
samba-3.5.10-116.el6_2.x86_64
samba-winbind-3.5.10-116.el6_2.x86_64
squid-3.1.10-1.el6_2.4.x86_64

Конфиг кербероса.
##############################krb5.conf#########################################

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DOMAIN.RU = {
kdc = 192.168.1.1
admin_server = 192.168.1.1
default domain = domain.ru
}
[domain_realm]
.domain.ru = DOMAIN.RU

############################################################################
smb.conf

[global]
    workgroup = DOMAIN
    realm = DOMAIN.RU
    server string =squid_proxy_sever
    netbios name = proxy
    winbind use default domain = yes
    winbind uid = 10000-15000
    winbind gid = 10000-15000
    winbind enum users = yes
    winbind enum groups = yes
    winbind nested groups =yes
    winbind cache time = 300
    idmap cache time = 900
    log level = idmap:10 winbind:10
    log file = /var/log/samba/log.%m
    max log size = 50
    security = ADS
[homes]
    comment = Home Directories
    browseable = no
    writable = yes
#####################################################################
squid.conf

visible_hostname proxy.DOMAIN.RU
coredump_dir /var/spool/squid
http_port 192.168.1.2:3130
hierarchy_stoplist cgi-bin ?

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 20
auth_param basic realm Ssquid proxy
external_acl_type nt_group ttl=60 %LOGIN   /usr/lib64/squid/wbinfo_group.pl

acl AuthorizedUsers proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.146.0.0/16       # RFC 4193 local private network range
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl inet_users  external nt_group "/etc/squid/groups/internet_allow"
acl inet_deny  external nt_group "/etc/squid/groups/internet_deny"
acl access_denied_domain dstdom_regex '/etc/squid/lists/access_denied'
acl CONNECT method CONNECT

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny access_denied_domain
http_access deny inet_deny all
http_access allow inet_users
http_access deny all
#######################################################################################
nsswitch.conf

passwd:     files winbind
group:      files winbind

Столкнулся с такой проблемой. Модуль full_audit.so даже при указании на то из конфига самбы
vfs objects = full_audit
full_audit:prefix = %u|%I|%m|%S
full_audit:failure = all
full_audit:success = all
full_audit:facility = local5
full_audit:priority = notice

пишет только удачные попытки подключения

Jun 20 13:29:18 yoserv smbd[45722]: user|192.168.х.х|user11-pc|share|connect|ok|share
Jun 20 13:29:18 yoserv smbd[45723]: user|192.168.х.х|admin-pc|IPC_|connect|ok|IPC$

при этом попытки логина скажем с неправильным именем пользователя оставляет без внимания, не говоря уж о неверном пароле. Очень хотелось бы решить эту проблему.

Уважаемые Оупеннетовцы! Помогите победить фул аудит :)

Полигон:
alnas ~ # uname -a
Linux alnas 3.2.9-gentoo #1 SMP Sun Mar 11 12:45:02 YEKT 2012 x86_64 AMD Phenom(tm) II X4 965 Processor AuthenticAMD GNU/Linux
alnas ~ # emerge samba -1pv

These are the packages that would be merged, in order:

Calculating dependencies... done!
[ebuild   R   ~] net-fs/samba-3.6.5  USE="acl ads aio client cups fam ldap netapi pam readline server smbclient swat winbind -addns -avahi -caps -cluster -debug -doc -examples -ldb -quota -smbsharemodes -syslog" 0 kB

Total: 1 package (1 reinstall), Size of downloads: 0 kB

* IMPORTANT: 3 news items need reading for repository 'gentoo'.
* Use eselect news to read news items.

alnas ~ # mount|grep -i raid5
/dev/md1 on /raid5 type reiserfs (rw,noatime,acl,user_xattr,notail)

Инфраструктура:
Домен Win2k3 sp2, на нём организована пользовательский public со соедующей структурой
\\server\public\[ФИО пользователей по каталогам] (каждый пользователь является хозяином своего каталога, другие пользователи могут в нём что нибудь создавать)
\\server\public\Общие\[отделы] (тут разбивка по отделам, в каталоге отдела пермишинами выставлено кому что можно делать, кому что нельзя. сюда ходят только избранные аля руководство отделов)
\\server\public - данный ресурс пользователю на машине подрубается как сетевой диск.

Собственно из процесса решения задачи поднял samba, загнал в домен, расширенные атрибуты доступа в каталогах ресурса устанавливаются отлично владельцы меняются, разграничения работают(все ч\з свойства).

теперь о проблеммах:
0) "создатель должен быть владельцем и иметь права"
в настройках шары:
[public]
        comment = DOM public
        path = /raid5/public
        valid users = @"DOM\\domain users"
        admin users = @"DOM\\domain admins"
        read only = No
        create mask = 0666
        directory mask = 0777
        inherit permissions = no
        inherit acls = no
        inherit owner = no
        map acl inherit = no
если зайти юзверем в его(или чужой) каталог, то у созданного объекта владелец тот, кто его создавал, как и должно быть и наследуются атрибуты доступа каталога - создателя\владельца. это правильно.

1) vip привилегии с принудительным наследованием на том же ресурсе
однако есть \\server\public\Общие\[отделы], там создаваемые объекты должны создаватся жостко с наследованием атрибутов доступа родительского каталога. владелецем как и в прошлом случае должен быть создатель.

Вопрос как такое разрулилть на одном ресурсе ? очень не желательно цеплять 2 сетевых диска....

Как разрешения доступа, описываемые в smb.conf, сочетаются с разрешениями доступа к каталогу на уровне файловой системы (RWX разрешениями), а также с тем, какой пользователь (UID) и группа (GID) являются владельцами каталога на уровне файловой системы?

Добрый день!
Разбираюсь с настройкой Samba в качестве standalone сервера. Версия ОС - Centos 6.2, версия Samba - samba-3.5.10-115.el6_2.x86_64. С самбой имею дело практически впервые, поэтому возникло несколько вопросов:

1. В секции [global] есть такие параметры как
invalid users
valid users
create mask 0740
force create mode 00
и т.д. При этом такие же параметры можно указать и для конкретной шары. Правильно ли я понимаю, что параметры указанные в секции [global] будут параметрами по умолчанию для всех шар? Параметры указанные при создании конкретной шары будут для нее более приоритетными чем глобальные?

2. На Википедии в истории версий самбы написано:
Версия 3.5.0 выпущена 1 марта 2010 года. Первый релиз с экспериментальной поддержкой SMB2.
Версия 3.6.0 выпущена 9 августа 2011 года. Одним из главных нововведений этой ветки является полнофункциональная поддержка SMB2.
Насколько опасно включать поддержку SMB2 для моей версии 3.5.10-115.el6_2? Достаточно ли для этого указать max protocol SMB2?

3. При запуске testparm в консоль выводится сообщение:
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Что это значит?

4. Читал, что для увеличения скорости самбы нужно включать асинхронный ввод\вывод. Как это сделать и какие минусы у данного решения?

Операционная система FreeBSD 8.1-RELEASE-p1,Samba 3.6 Приведу файл настройки:

-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
[global]
    dos charset = CP866
    unix charset = KOI8-R
    workgroup = EIP
    netbios name = EIPNGGTKI
    server string = MainBSD Samba Server3
    interfaces = 192.168.0.1/24
    passwd program = /usr/bin/passwd %u
    passwd chat = *New*password* %n\n *Please*retype*new*password* %n\n *password*successfully*updated*
    username map = /usr/local/etc/samba/smbusers
    log file = /var/log/samba/log.%m
    max log size = 50
    domain logons = Yes
    os level = 255
    preferred master = Yes
    domain master = Yes
    wins support = Yes
    idmap config * : backend = tdb
    admin users = serg
    hosts allow = 127. 169.254.37.

[homes]
    comment = Home Directories
    read only = No

[STUDENTS]
    comment = Documents
    path = /mnt/samba/students
    valid users = @docs
    write list = @docs
    read only = No
    create mask = 0775
    directory mask = 0775
    guest ok = Yes

[ADMIN]
    comment = ADministration
    path = /mnt/samba/admin
    valid users = @teacher
    write list = @teacher
    read only = No
    create mask = 0770
    directory mask = 0770
    guest ok = Yes
-----------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------
Кто знает где копать подскажите. Возможно проблема в [global],но я не уверен.

Есть сервер на Debian. На нем стоит Samba. На самбе файлопомойка. Если качать с компов с виндой на самбу, все нормально (в сколько угодно потоков). Если качать с самбы на винду (в один поток) тоже все ОК, загрузка сети около 90%. Но если качать с самбы на винду >1 потока (даже просто два разных файла в два разных каталога двумя разными программами) скорость резко падает (у обоих потоков, даже у первого, у которого была нормальная до того как запустился второй), загрузка сети 5-6-10%, и так пока кто-то не скачается. Скачался - все, оставшийся один снова разгоняется и шустро докачивается. Что делать?

http://pastebin.com/kxJFXEsj - smb.conf

Привет всем!  :)
Буквально вчера разбирался с поддержкой wins в самба, попробовал, покрутил - работает. Однако, наслышан, что совместно/заместо wins используют dns, а именно ddns, который реализуется через связку dhcp+bind. Вот текущий конфиг самбы, вдруг кому то будет интересно:

[global]
        workgroup = urfu-nsk
        netbios name = tux
        server string = pdc
        wins support = Yes
        name resolve order = wins bcast hosts
        domain logons = Yes
        preferred master = Yes
        os level = 255
        time server = yes
        disable spoolss = yes
        load printers = no
#       log level = 5 passdb:5 auth:10 winbind:2
#       socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        interfaces = lo eth0 192.168.2.0/24
        bind interfaces only = Yes
        hosts allow = 192.168.2. 127.
        username map = /etc/samba/users.map
#       invalid users = root
        map to guest = Bad User
        guest account = gard
        add group script = /etc/samba/scripts/addPdcGroup.sh %g
        delete group script = /usr/sbin/groupdel %g
        add user script = /etc/samba/scripts/addPdcUser.sh %u
        delete user script =  /usr/sbin/userdel %u
        set primary group script = /usr/sbin/usermod -g %g %u
        add machine script = useradd -M -N -s /bin/false -g machines %u
        logon script = login.bat
#       logon path = \\%L\profile
        logon path =
[netlogon]
        comment = logon service for all user groups
        path = /home/netlogon
        read only = Yes
        browseable = no
#[profile]
#       comment = network profiles for users
#       path = /home/data/%U/.profile
#       profile acls = yes
#       create mask = 0600
#       directory mask = 0700
#       valid users = +%G
#       csc policy = disable
#       read only = no
#       browseable = no
#Пользовательские каталоги, общие шары
[data]
        comment = home folder for user
        path = /home/data/%U
        valid users = %U
        csc policy = disable
        read only = no
        browseable = no
        include = /etc/samba/recycle.conf
[share]
        comment = shared folder
        path = /home/shares/%G
        valid users = +%G
        csc policy = disable
        read only = no
        browseable = no
        create mask = 0770
        directory mask = 0770
        include = /etc/samba/recycle.conf
[netShare]
        comment = shared Folder for all users
        path = /home/gard/NetShare
        writable = yes
        guest ok = yes
        write list = @staff @empls
        include = /etc/samba/recycle.conf

Самба пока крутится на компьютере с адресом 192.168.2.10 (мой рабочий комп, на котором ставлю опыты. А dhcp и dns у меня крутятся на шлюзе, который имеет адрес 192.168.2.1. Конфиг dhcp со шлюза:

# dhcpd.conf
authoritative;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
#option ms-classless-static-routes code 249 = array of unsigned integer 8;
#option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
subnet 192.168.2.0 netmask 255.255.255.0 {
        option subnet-mask 255.255.255.0;
        option broadcast-address 192.168.2.255;
        option routers 192.168.2.1; #,192.168.2.1;
        option domain-name-servers 192.168.2.1; #93.88.181.2,8.8.8.8,93.88.182.2;
        #option ntp-servers 192.168.2.1;
        option domain-name "urfu";
        ddns-updates on; #Разрешение Dynamic DNS
        ddns-update-style interim;
        option netbios-name-servers 192.168.2.10; #Самба-сервер, выступающий в роли WINS-сервера
        option netbios-node-type 8;
        default-lease-time 3600;  #36000;
        max-lease-time 7200; #43200;
#       Клиенты получают маршруты от сервера DHCP (для работы этого надо раскомменитровать определение выше)
#       option ms-classless-static-routes  16,172,16,172,16,10,1, 8,10,172,16,10,1, 20,93,88,176,172,16,10,1;
        range 192.168.2.30 192.168.2.254;
        group top{
        host area51 { hardware ethernet 00:1C:C0:5A:21:E1; fixed-address 192.168.2.10; }
        host dhcp11 { hardware ethernet 00:1c:c0:5a:22:4c; fixed-address 192.168.2.11; }
        host dhcp12 { hardware ethernet 00:e0:4c:16:11:29; fixed-address 192.168.2.12; }
        host dhcp13 { hardware ethernet 00:50:ba:53:49:aa; fixed-address 192.168.2.13; }
        host dhcp14 { hardware ethernet 00:1c:c0:5a:33:1f; fixed-address 192.168.2.14; }
        host dhcp15 { hardware ethernet 00:1c:c0:0a:0f:26; fixed-address 192.168.2.15; }
        host dhcp16 { hardware ethernet 00:1c:c0:0a:0f:18; fixed-address 192.168.2.16; }
        host dhcp17 { hardware ethernet 70:71:bc:0b:c9:c5; fixed-address 192.168.2.17; }
        host dhcp18 { hardware ethernet 00:19:66:2c:4e:a9; fixed-address 192.168.2.18; }
        host dhcp19 { hardware ethernet 00:19:66:2c:4e:a1; fixed-address 192.168.2.19; }
        host dhcp20 { hardware ethernet 00:01:6c:a5:bc:85; fixed-address 192.168.2.20; }
        host dhcp21 { hardware ethernet 00:1c:c0:0a:0f:4a; fixed-address 192.168.2.21; }
        }
}

Как я понимаю для связки с pdc Samba (wins или же ddns) тут важными являются параметры:

        option domain-name "urfu";
        ddns-updates on; #Разрешение Dynamic DNS
        ddns-update-style interim;
        option netbios-name-servers 192.168.2.10; #Самба-сервер, выступающий в роли WINS-сервера
        option netbios-node-type 8;

Что касается dns-сервера, который также крутится на шлюзе, с сегодняшнего дня это bind, до этого стоял dnsmasq. Итак, выдержка моей новосозданной локальной зоны с named.conf:

//Внутренняя зона
zone "urfu" IN {
      type master;
      file "urfu.zone";
      allow-query { lan; };
      allow-update { lan; };
      allow-transfer { lan; };
};
zone "2.168.192.in-addr.arpa" IN {
      type master;
      file "192.168.2.zone";
      allow-query { lan; };
      allow-update { lan; };
      allow-transfer { lan; };
};

Соответствующие файлы прямого и обратного преобразования:

[root@area51 ~]# cat /var/named/urfu.zone 
$TTL 3h
@ IN SOA ns.urfu. gard.area51.gmail.com. (
                20120322        ; serial (date)
                3h              ; время обновления
                1h              ; повтор каждый час
                1w              ; как долго хранить информацию
                1h )            ; TTL (время жизни ) записи
; Адреса DNS-серверов
@         IN NS         ns.urfu.
; Адреса узлов для зоны
ns              IN A        192.168.2.1
tux              IN A        192.168.2.10
; Псевдонимы
gw         IN CNAME     ns
[root@area51 ~]# cat /var/named/192.168.2.zone 
$TTL 3h
@ IN SOA ns.urfu. gard.area51.gmail.com. (
                20120322        ; serial (date)
                3h              ; время обновления
                1h              ; повтор каждый час
                1w              ; как долго хранить информацию
                1h )            ; TTL (время жизни ) записи
; Адреса DNS-серверов
@         IN NS         ns.urfu.
; Адреса узлов для зоны
1                  IN PTR        ns.urfu.
10              IN PTR        tux.urfu.
[root@area51 ~]# 

В named.conf как я понимаю за возможность реализации ddns отвечает директива:

allow-update { lan; };

Она позволяет клиентам вносить записи о себе в эту зону dns?

И вот мне интересно как же виндовс клиенты, которые будут в домене samba PDC, будут посылать запросы на внесение себя в список объектов dns-зоны? Это вообще реализуемо? Может быть все работает совсем по другому, а не так как я думаю? Просветите, знающие люди. =)

ps: простите, если спрашиваю банальные или глупые вещи, сам только-только начал разбираться с самба, год готовился, а тут прям недели две уже читаю, копаю, пробую. Но чем больше узнаю, тем больше понимаю, что я ничего не знаю. =)

Доброе время суток, коллеги.
Столкнулся с проблемой авторизации.
Работает samba (3.5.6) сервер (Freebsd 7.0), опция security = user
Сервер работает давно, в него входят win'xp станции, сервер win'2008 как член домена.
Есть сервер Freebsd 7.0 На нем понадобилось развернуть шару. Установил самбу (3.5.6). Установил security = DOMAIN
Ввел в домен через net join
Сервер появился на контролере, в списке (pdbedit --list)
Открыл шару на новом сервере. Сервер появился в сетевом окружении на виндовых станциях. Жму на сервер, появляется авторизация. Ввожу пользователя, который есть в списках контролера домена. Снова появляется авторизация.
Установил подробные логи (log level = 3)
Смотрю логи на новом сервере.

[2012/03/25 19:36:28.949490,  3] libsmb/namequery.c:1880(get_dc_list)
  get_dc_list: preferred server list: "SERVER, *"
[2012/03/25 19:36:28.950918,  3] libsmb/namequery_dc.c:201(rpc_dc_name)
  rpc_dc_name: Returning DC SERVER (192.168.0.101) for domain TLINKNET
[2012/03/25 19:36:28.951523,  3] libsmb/cliconnect.c:2209(cli_start_connection)
  Connecting to host=SERVER
[2012/03/25 19:36:28.951721,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 445
[2012/03/25 19:36:28.956379,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 139
[2012/03/25 19:36:28.978084,  3] auth/auth.c:216(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [TLINKNET]\[vylyaykina]@[K207] with the new password interface
[2012/03/25 19:36:28.978182,  3] auth/auth.c:219(check_ntlm_password)
  check_ntlm_password:  mapped user is: [TLINKNET]\[vylyaykina]@[K207]
=== вроде пока понятно. Нашел pdc, начал коннект, будет проверять пользователя vylyaykina домена TLINKNET. Смущает только добавка K207 (это станция, откуда пытаются открыть шару).

[2012/03/25 19:36:28.978291,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2012/03/25 19:36:28.978362,  3] smbd/uid.c:429(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2012/03/25 19:36:28.978415,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/03/25 19:36:28.978897,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:28.979105,  3] libsmb/namequery.c:1880(get_dc_list)
  get_dc_list: preferred server list: "SERVER, *"
[2012/03/25 19:36:28.980434,  3] libsmb/namequery_dc.c:201(rpc_dc_name)
  rpc_dc_name: Returning DC SERVER (192.168.0.101) for domain TLINKNET
[2012/03/25 19:36:28.981197,  3] libsmb/cliconnect.c:2209(cli_start_connection)
  Connecting to host=SERVER
[2012/03/25 19:36:28.981441,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 445
[2012/03/25 19:36:28.985346,  3] lib/util_sock.c:974(open_socket_out_send)
  Connecting to 192.168.0.101 at port 139
[2012/03/25 19:36:29.038197,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [vylyaykina] -> [vylyaykina] FAILED with error NT_STATUS_NO_SUCH_USER
[2012/03/25 19:36:29.038545,  3] smbd/error.c:80(error_packet_set)
  error packet at smbd/sesssetup.c(111) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
=== Результат вроде тоже ясный. Нет такого пользователя.
Задался вопросом - может новый сервер не так ищет?
Перевел контролер в подробный лог, начал смотреть.

[2012/03/25 19:36:39.911614,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 2
[2012/03/25 19:36:39.911694,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/03/25 19:36:39.911738,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.911766,  3] auth/auth.c:265(check_ntlm_password)
  check_ntlm_password: sam authentication for user [vylyaykina] succeeded
[2012/03/25 19:36:39.911790,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(65534, 65533) : sec_ctx_stack_ndx = 1
[2012/03/25 19:36:39.911816,  3] smbd/uid.c:429(push_conn_ctx)
  push_conn_ctx(100) : conn_ctx_stack_ndx = 0
[2012/03/25 19:36:39.911838,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2012/03/25 19:36:39.911890,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.911930,  2] auth/auth.c:304(check_ntlm_password)
  check_ntlm_password:  authentication for user [vylyaykina] -> [vylyaykina] -> [vylyaykina] succeeded
=== как я понимаю, был таки запрос на пользователя vylyaykina и атентификация прошла успешно.
...
[2012/03/25 19:36:39.917387,  3] smbd/service.c:1251(close_cnum)
  firewall (192.168.0.15) closed connection to service IPC$
=== новый сервер закрыл соединение.

[2012/03/25 19:36:39.917429,  3] smbd/connection.c:31(yield_connection)
  Yielding connection to IPC$
[2012/03/25 19:36:39.917518,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.918006,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2012/03/25 19:36:39.918074,  3] smbd/connection.c:31(yield_connection)
  Yielding connection to
[2012/03/25 19:36:39.918228,  3] smbd/server.c:902(exit_server_common)
  Server exit (failed to receive smb request)
=== единственная странная строка (для меня странная).

Что же делать?
Несколько лет назад вывел к этому же контролеру сервер на ASPLinux, как будто прошло все нормально.
Тут прям засада какая-то.
Как провести авторизацию?

Здравствуйте!

На работе столкнулся с проблемой. Локальная сеть нашей лаборатории подключена к сети нашего института через linux роутер, ОС ubuntu server 8, через snat. Из лабораторной сети нужен доступ доступ в институтскую сеть к серверу базы данных, ОС windows 2000 server. Столкнулись с проблемой, когда из лабораторной сети одновременно невозможно подключиться к серверу более чем одному компьютеру. Когда подключается второй компьютер, соединение с первым разрывается. Выяснили, что проблема не в базе данных и не в конкретном windows сервере -- достаточно одновременно двум компьютерам из нашей сети обратиться к одному и тому же файлу на любом windows компьютере в институтской сети, скажем начать копирование, и тогда соединение с тем, кто начал копирование раньше, разрывается с ошибкой "Сетевое имя не может быть найдено". Внутри сети института таких проблем нет. Может ли быть такое из-за nat? Сейчас наш роутер пропускает всё, и добавлено лишь правило для nat:

# laboratory network: 192.168.0.0/255.255.0.0 lan0
# institute network: 10.2.0.0/255.255.0.0 lan1 our IP 10.2.0.41
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# Set up nat on institute interface
iptables -t NAT -A POSTROUTING -o lan1 -j SNAT --to 10.2.0.41