Добрый день, настроил samba в качесте домена, пользователей и группы создаю, компьютеры в домен заводятся, но не могу настроить общий доступ т.к. нет интеграции и не вижу пользователей.

Конфиг самбы:
[global]
workgroup=GOU
realm = GOU.NTKP
server string=%h server (Samba, Ubuntu)
dns proxy=no
log file=/var/log/samba/log.%m
max log size=1000
syslog=0
panic action=/usr/share/samba/panic-action %d
server role=standalone server
passdb backend=tdbsam
obey pam restrictions=yes
unix password sync=yes
passwd program=/usr/bin/passwd %u
passwd chat=*Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssucc$
pam password change=yes
map to guest=bad user
usershare allow guests=yes
idmap config * : range=10000-20000
idmap config * : backend=tdb
winbind enum groups=yes
winbind enum users=yes
winbind use default domain=yes
template shell=/bin/bash
winbind refresh tickets=yes

[printers]
comment=All Printers
browseable=no
path=/var/spool/samba
printable=yes
guest ok=no
read only=yes
create mask=0700

[print$]
comment=Printer Drivers
path=/var/lib/samba/printers
browseable=yes
read only=yes
guest ok=no

smbclient -L localhost -U%
Domain=[GOU] OS=[Unix] Server=[Samba 4.1.23]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.1.23)
Domain=[GOU] OS=[Windows 6.1] Server=[Samba 4.3.11-Ubuntu]

        Server               Comment
        ---------            -------
        108-1
NTKP                 ntkp server (Samba, Ubuntu)

        Workgroup            Master
        ---------            -------
        GOU                  NTKP

kinit Administrator
Password for Administrator@GOU.NTKP:

klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@GOU.NTKP

Valid starting       Expires              Service principal
28.02.2018 10:02:02  28.02.2018 16:41:59  krbtgt/GOU.NTKP@GOU.NTKP

smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password:
Domain=[GOU] OS=[Unix] Server=[Samba 4.1.23]
  .                                   D        0  Mon Dec 11 08:22:56 2017
  ..                                  D        0  Tue Dec  5 10:30:50 2017

                35283 blocks of size 2097152. 30136 blocks available

wbinfo -V
Version 4.3.11-Ubuntu

wbinfo -p
Ping to winbindd succeeded

wbinfo -t
checking the trust secret for domain GOU via RPC calls failed
wbcCheckTrustCredentials(GOU): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret

wbinfo -P
checking the NETLOGON for domain[GOU] dc connection to "" failed
failed to call wbcPingDc: WBC_ERR_DOMAIN_NOT_FOUND

Добрый день уважаемые коллеги пршу помощи в настройке samb'ы дял гостевого подключения.
megastar:/usr/local/etc > cat smb4.conf
[global]
        netbios name = SHARA
        workgroup = VMS
        security = user
        load printers = no
        printcap name = /dev/null
        disable spoolss = yes
        guest account = nobody
        log file = /var/log/samba4/log.%m
        max log size = 50
        socket options = IPTOS_LOWDELAY TCP_NODELAY
        interfaces = bridge0 127.0.0.1
        bind interfaces only = yes
        wins support = yes
        os level = 64
        unix charset = utf-8
        dos charset = cp866
        #map to guest = Bad User
        map to guest = Bad Password
        use sendfile = yes
        domain master = no
        local master = no
        dns proxy = no
[tmp]
        comment = Public
        path = /tmp
        writable = Yes
        browseable = Yes
        public = yes
        guest ok = Yes
        guest only = Yes

при попытке подключиться получаем следующую ошибку
megastar:/usr/local/etc > smbclient -L shara
Enter VMS\mirror's password:
OS=[Windows 6.1] Server=[Samba 4.6.12]

        Sharename       Type      Comment
        ---------       ----      -------
Error returning browse list: NT_STATUS_ACCESS_DENIED
OS=[Windows 6.1] Server=[Samba 4.6.12]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

megastar:/usr/local/etc > nslookup shara
Server:         213.133.99.99
Address:        213.133.99.99#53

Non-authoritative answer:
Name:   shara.vms.com.ua
Address: 10.0.2.1

подскажите куда копать?
пробовал smbpasswd -an nobody - результата не дает.
если завести реального пользователя и пройти авторизацию, то шара открывается.

заранее благодарен за ответ.

Здравствуйте.
Настраиваю сейчас samba на debian 9. Версия самбы 4.5.12
Конфиг:
<code>
# Global parameters
[global]
        netbios name = TST
        realm = TST.IVK
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        workgroup = TSTIVK
        server role = active directory domain controller
#       idmap_ldb:use rfc2307 = yes
#       winbind separator = +
        winbind cache time = 10
        winbind enum users = true
        winbind enum groups = true
        winbind use default domain = Yes
#       idmap uid = 20000-20999
#       idmap gid = 20000-20999
#       idmap config * :base_rid =20000
        idmap config * : range = 20000-20999
        idmap config * : backend = rid
        idmap config * : default = yes
        log level = 3 winbind:10
        logon script = netlogon.bat
        winbind refresh tickets = yes
#       wins support = Yes

</code>
Почему то не срабатывает опция - winbind use default domain = Yes. Имена пользователей отображаются с доменом:
<code>
getent passwd

TSTIVK\administrator:*:0:100::/home/TSTIVK/administrator:/bin/false
TSTIVK\dns-tst:*:3000018:100::/home/TSTIVK/dns-tst:/bin/false
TSTIVK\krbtgt:*:3000019:100::/home/TSTIVK/krbtgt:/bin/false
TSTIVK\guest:*:3000011:100::/home/TSTIVK/guest:/bin/false
TSTIVK\admin:*:3000014:100::/home/TSTIVK/admin:/bin/false
</code>
Так же как видно игнорируется idmap config * : range = 20000-20999. UID пользователей 3000000 и т.д.
В чем может быть причина?

Когда я пробую открыть .mpp из файлового менеджера или "недавно открытых файлов", программа не реагирует. Если в ручную запустить программу управления проектами, а затем вручную перейдя к папке  с .mpp, и открыть его указав сам путь, проект фактически перестает отвечать на запросы.
Раньше файл принадлежал верси 98, а на данный момент  стоит 2003. С новыми файлами все в порядке. Тут несовместимость версий или ошибка самого файла.

Прошу помощи товарищи!!!
Нужно организовать шару, в которую пользователи могли бы записать файлы и не иметь возможности редактировать их.
В smb.conf устанавливаю create mask = 740 в шаре создаются файлы со следующими правами:
-rwxrw---- 1 root RK\admins 0 ноя 28 17:07 test.txt

установлена samba 4.2
[global]
...
[distrib]
    comment = Admins share
    path = /home/shares/distrib
    browseable = no
    writable = yes
    create mask = 0770
    directory mask = 0777
    valid users = "@RK\admins"
    inherit owner = yes

Подскажите как запретить группе admins права на запись в samba?

интересует, каким образом настроить самба для коллективного доступа нескольких пользователей к файлам. у каждого пользователя на сервере должна быть своя папка с полным доступом, для группы - только чтение и выполнение и вообще без доступа для остальных. предполагается создание нескольких групп с целью разбиения офиса на подгруппы в пределах отделов. домен не предполагается, да и необходимости я в нём не вижу. если не затруднит, киньте хотя бы ссылки на документацию, а то уже заколебался гуглить и вбивать параметры, которые и вовсе перекосили мне сервак. ос - убунту 17.04... заранее благодарен за любую помощь. ниже в хронологическом порядке описаны проблемы, с которыми я столкнулся...

Из-под Ubuntu 17.04 не запускаются файлы с самба-сервера под Ubuntu 17.04. Из-под Винды 10 всё запускается. В чём может быть проблема?

кроме того, файл, создаваемый пользователем, имеет группу пользователя, (пользователь:пользователь вместо пользователь:отдел, к примеру), таким образом становится невозможным применение прав для группы ОТДЕЛ, к примеру. если не сильно затруднит, прошу помочь мне в решении данного вопроса, выслав правильный файлик smb.conf. мне нужен ПРОСТО сервак, для хранения и обмена файлами пользователей...

донастраивался, что теперь уже и запись невозможна по сети... файлы samba (пакетный) и smb.conf прилагаю. что я сделал не так?

sudo apt -y install samba samba-common python-glade2 system-config-samba

sudo groupadd kmuvggroup
sudo mkdir -p /etc/samba/kmuvg
sudo chmod -R 0755 /etc/samba/kmuvg

sudo smbpasswd -a eugene
sudo usermod -a -G kmuvggroup eugene
sudo mkdir -p /etc/samba/kmuvg/eugene
sudo chmod -R 0750 /etc/samba/kmuvg/eugene
sudo chown -R eugene:kmuvggroup /etc/samba/kmuvg/eugene

sudo useradd -m poi
sudo smbpasswd -a poi
sudo usermod -g kmuvggroup poi
sudo mkdir -p /etc/samba/kmuvg/poi
sudo chmod -R 0750 /etc/samba/kmuvg/poi
sudo chown -R poi:kmuvggroup /etc/samba/kmuvg/poi

sudo service smbd restart
sudo service nmbd restart

[global]
workgroup = kmuvg
netbios name = kmuvgsrv
interfaces = 192.168.0.20/24
server role = standalone server
server string = %h (samba server %v)
name resolve order = lmhosts host wins bcast

dns proxy = no
wins proxy = yes
time server = yes
wins support = yes

os level = 34
local master = yes
preferred master = yes

syslog = 0
syslog only = no
max log size = 1000
log file = /etc/samba/log.%m

security = user
encrypt passwords = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *enter\snew\s*\spassword:* %n\n *retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully*

[kmuvg]
valid users = @kmuvggroup
path = /etc/samba/kmuvg
directory mask = 0750
create mask = 0750
browseable = yes
read only = no
guest ok = no

Сервер Samba 3.6 на FreeBSD 10.1, контроллер домена AD1 на Windows 2003.
Всё работает, доменные пользователи нормально заходят на шары, в Cамбе настроено:
security = ads
realm=MYDOMAIN.RU

Поднял второй контроллер AD2, тоже на 2003-м.
При отключении AD1 от сети, самбовский сервер перестаёт пускать пользователей.
Остальные ресурсы сети нормально авторизуются.
Пробовал на самбовском сервере ткнуться через
ntlm_auth --username myadminname
- действительно не авторизует...
Куда смотреть?

В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них одна и та же зона DNS)

Ещё такая штука:
Нет файла /etc/krb5.conf (сервер мне в наследство достался...)
Я нашёл только тот "конфиг" который автоматом сделался: /var/db/samba/smb_krb5/krb5.conf.MYDOMAIN.RU, в нём:
[libdefaulys]
default_realm=MYDOMAIN.RU
//дальше идут три строчки с ключами

[realms]
MYDOMAIN.RU={
kdc=192.168.1.2 (это AD1)
kdc=192.168.1.3 (это AD2)
kdc=192.168.1.3 (это AD2)
}

Здравствуйте.
Помогите... сдуру, не сделав снапшот, перевёл Windows Server с контроллером домена AD из режима Windows Server 2000 в режим Windows Server 2003. Но, пока не перезагрузил... (поэтому сейчас Сервер пишет, что он уже в режиме 2003, но при попытке включить в домен машинку Windows Server 2012, выдаётся сообщение, что контроллер домена ещё в режиме 2000)
Опомнился я насчёт совместимости авторизации клиентов в этих режимах.

У нас все рабочие станции домена - Windows 7 и 10. Насколько я помню, разница между этими режимами - в совместимости имён со старыми машинами, но всё-же...

Неприятность в том, что есть файловый сервер на FreeBSD с Samba 3.6.24 с доменной авторизацией. (ну и ещё сервер RedMine до кучи, кто знает, там авторизация по LDAP - там вроде не должно быть сюрпризов?)

Откатиться назад до 2000 я уже не могу (теоретически есть древний снапшот контроллера домена, но за два года кое-что изменилось...)
Вот и сижу враскоряку - непонятно на что напорюсь после перезагрузки контроллера AD... А грузануть надо бы...
Посоветуйте что делать или кто сталкивался с таким переводом и что из этого вышло насчёт авторизации из Samba и вообще были ли грабли...

Здравствуйте.
Есть старый сервер на ubuntu 10.04.04 LTS
Ни фига там с момента настройка не обновлялось, т.к. он постоянно в работе находится.
На сервере стоит старенькая samba 3.4.7 в качестве контроллера домена.
Вопрос. Будет ли она работать с новыми виндюками 10-ми?
Для win7 там нужно было на клиентских машинах добавлять пару строчек в реестр, а именно:
HKLM\System\CCS\Services\LanmanWorkstation\Parameters
DWORD DomainCompatibilityMode = 1
DWORD DNSNameResolutionRequired = 0

а для win 10 это прокатит или вылезут подводные камни?

Здрасте!
кто встречал подскажите пжл,
samba 4.6 в качестве bdc и в логе пишет
connect_acl_xattr: setting 'inherit acls = true' 'dos filemode = true' and 'force unknown acl user = true' for service IPC$

тоже самое писал и для sysvol но там я поправил ибо шара в конфиге описана , а вот с IPC$ как быть ? в гугле как будто просто не обращают внимание на это.

жил себе простенький самбовый ресурс на фрюхе, раздавался десятку машин под хрюшей - все замечательно работало. пришлось в эту сетку включить машину под семеркой - требует винда пароль при подключении, хоть убей - хотя винды под хрюшей без пароля обходятся. ну и самба отбивает
[2017/05/02 17:15:23.692846,  0] ../source3/lib/access.c:338(allow_access)
  Denied connection from 10.10.10.2 (10.10.10.2)
понятно что проблемы с виндой - но что ей крутить?

Здравствуйте. Помогите понять, что сделали с данными.
Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать.
В логах есть вот такое
nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1)
[2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)
  nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK
[2017/04/03 04:31:56, 2] smbd/open.c:open_file(391)
Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние.
В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...

Возможно ли в Samba настроить наследование ACL-прав на файлы в rw-? При правах на родительскую директорию, соответственно, rwx.

Перепробовал уже, наверное, все опции в smb.conf и связанные и не связанные с правами, включая create/security mode/mask, map archive/system/hidden, unix extensions и многие другие. Самое большее, чего удалось добиться (благодаря map archive) — rw для владельца и группы (но rwx для acl-юзеров):

   $ getfacl dir/file
   # file: dir/file
   # owner: user
   # group: user
   user::rw-
   user:ivanov:rwx
   group::rw-
   group:sambashare:r-x
   mask::rwx
   other::---

   $ getfacl dir
   # file: dir
   # owner: user
   # group: user
   user::rwx
   user:ivanov:rwx
   group::rwx
   group:sambashare:r-x
   mask::rwx
   other::---

smb.conf

   [share]
      path = /home/user/share
      read only = No
      inherit permissions = Yes
      inherit acls = Yes
      inherit owner = Yes
      hide unreadable = Yes
      map archive = No
      browseable = No
      vfs objects = recycle full_audit
      full_audit:priority = NOTICE
      full_audit:facility = local7
      full_audit:failure = none
      full_audit:success = connect disconnect open mkdir rename link unlink rmdir pwrite
      full_audit:prefix = %u|%I|%m|%S
      recycle:exclude_dir = tmp,temp,cache
      recycle:exclude = ?~$*, ~$*, ~*, *.bak, *.iso, *.lnk, *.temp, *.tmp, *.TMP, *.vib, *.vb?
      recycle:maxsize = 1048576000
      recycle:touch = yes
      recycle:versions = Yes
      recycle:directory_mode = 0770
      recycle:repository = .recycle/%U
      
В шаре Самбы пользователи работают под учётными записями, созданными через smbpasswd (для совместимости с правами созданы одноимённые учётки без возможности локального логина). umask в /etc/login.defs: 022.

В манах про inherit permissions сказано, что
«New files inherit their read/write bits from the parent directory. Their execute bits continue to be determined by map archive, map hidden and map system as usual».
(https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)
И здесь же про inherit acls —
«Enabling this option sets the unix mode to 0777, thus guaranteeing that default directory acls are propagated».
(https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)

То есть при наследовании ACL принудительно выставляются в rwx и изменить это нельзя?

Как разрешить или запретить диапазон адресов для доступа к серверу?
Например: 192.168.0.1 - 192.168.0.100 разрешить, 192.168.0.101 - 192.168.0.254 запретить.

Добрый день. Дистрибутив OpenSUSE leap 42.2 x86_64, samba 4. В домен ввел стандартными средствами YAST2. На компьютере установлена 1С 8.3.9.1850 x86_64, если запускать от любого локального пользователя, то все запускается корректно, если запустить под пользователем домена ,то вываливается ошибка "Ошибка сегментирования (core dumped)". На другие программы я сделал через net groupmap маппинг групп домена и локальных, и там все в порядке. При входе под пользователем домена локального пользователя не создается, а есть ли возможность создания его с стандартными группами и правами для пользователя. Думаю это исправит ситуацию. Или есть какие-то другие способы решения этой проблемы?

Привет.
Имеется роутер Asus RT-N56U с прошивкой padavan, при каждой попытке установить соединение с самбой через виндовс вылетает такое в лог:

[2017/01/18 20:44:27, 0] smbd/process.c:construct_reply(1041)
  init_smb_request: invalid wct number 255 (size 112)

процессы smbd и nmbd запущены.
  635     1 admin    S N   3124  2.4   0  0.0 /sbin/smbd -D -s /etc/smb.conf
  633     1 admin    S     3056  2.4   1  0.0 /sbin/nmbd -D -s /etc/smb.conf

Само содержимое smb.conf
[global]
workgroup = WORKGROUP
netbios name = RT-N56U_B1
server string = RT-N56U_B1
local master = no
name resolve order = lmhosts hosts bcast
log file = /var/log/samba.log
log level = 0
max log size = 5
socket options = TCP_NODELAY SO_KEEPALIVE
unix charset = UTF8
display charset = UTF8
bind interfaces only = yes
interfaces = br0
unix extensions = no
encrypt passwords = yes
pam password change = no
obey pam restrictions = no
host msdfs = no
disable spoolss = yes
security = USER
guest ok = no
map to guest = Bad User
hide unreadable = yes
writeable = yes
directory mode = 0777
create mask = 0777
force directory mode = 0777
max connections = 5
use spnego = no
client use spnego = no
null passwords = yes
strict allocate = no
use sendfile = yes
dos filemode = yes
dos filetimes = yes
dos filetime resolution = yes

в чем может быть проблема? в гугле ничего подобного не нашел.
как такое может быть, что роутер один, прошивка одна, а проблема только у меня ...

Добрый день.
Жизнь заставила настраивать сервер SAMBA.
Имеем CentOS v 6.6 и Samba 3.6.23
SELinux отключен
В Iptables доступа предоставлены, если создавать шару доступну для всех или для одного пользователя - проблем нет
Что нужно:
Имеется задание - создать папки, к каждой из них должны иметь доступ разные учетки.
К примеру к папке Test - Ivanov, Petrov, Sidorov
Из того, что нагуглилось сложилось впечатление, что можно создать юзеров, а затем их загнать в группу, и в smb.conf, прописать valid users = @test
Попробовал не получается.
Ниже распишу что было сделано, ибо с Линуксом знаком поверхностно
Создана папка
Создан юзер
useradd Ivanov
groupadd traffics
usermod -a -G traffics Ivanov
smbpasswd -a Ivanov
Такие манипуляции были сделаны с тремя учетками. Все учетки видно в группе если выполнить cat /etc/group
Далее - темнота :)
cd /mnt/
chown -R Ivanov:traffics secret/
Это командой я поменяю владельца, но как дать права на папку всей группе? chmod -R 0770 secret/
На кого будут распостранятся данные правила доступа?
Хелп плиз

Добрый день сообществу!

Досталась недавно в наследство сеть недоделанная - порядка сотни рабочих мест. Старый админ пытался поднять контроллер домена на самбе во времена ещё самбы 3.0, но не доделал (я освежил тут в гугле воспоминания - на 3.х самбе вообще очень непросто сделать PDC) и ушёл дальше. Часть сервисов осталась на фрюниксе (freebsd - dhcp, dns, etc), часть (контроллерно-доменная) - на w2k. Ходили в конторе два эникейщика - нажимали нужные кнопки, создавали пользователей. В настоящее время в живых остался один контроллер домена на одном винте с периодическими подтормаживаниями. С финансированием в госконторе туго: чтобы что-то приобрести - нужен тендер, договора и многое другого. Пару лет назад приобрели они для бухгалтерии приличную машинку под 1.С 8. Возникла идея - поднять в виртуалке BDC на случай краха основного контроллера (похоже, подтормаживает из-за "усталости" винта). В DNS-зоне на фрюниксе есть записи вида
_ldap._tcp.590de540-a1cf-458e-9a0d-bb3941a1ae84.domains._msdcs 600 SRV 0 100 389       newserver.ххх.ххх.ххх.
как я понимаю вот это "590de540-a1cf-458e-9a0d-bb3941a1ae84" - это какой-то id сервера-контроллера домена. Как найти id нового сервера, чтобы прописать его вторым контроллером в dns-е, чтобы клиенты могли к нему обращаться? Я ж так понимаю, что при вводе нового контроллера в AD, винда сама генерирует эти циферки и прописывает в нужной зоне...
Гугл как-то не просветлил пока (я подозреваю, что я вопрос неправильно формулирую) - "воды" много, а до сути добраться не могу.

Подскажите, кто в данном вопросе разбирался - где искать и куда копать?
Спасибо и с праздниками всех!

Приветствую!

Имеется следующая проблема: в сетевых шарах права на группу не работают.
Для примера, возьму шару scan:
# ls -la /data/scan/| grep test1

drwxrwx---   2 root          users     4096 дек  8 10:43 test1

Пытаюсь зайти из винды в эту шару: \\fileskladtest\scan\test1. Юзером, принадлежащим группе users:
Windows не может получить доступ к \\fileskladtest\scan\test1
Разрешение на доступ к \\fileskladtest\scan\test1 отсутствует.

То же самое через консоль:

C:\>net use \\fileskladtest\scan\test1 /user:tu3
Недействительный пароль для \\fileskladtest\scan\test1.
Введите пароль для 'tu3' для подключения к 'fileskladtest':
Системная ошибка 5.
Отказано в доступе.

Хотя пароль правильный. В просто \scan пускает
У юзера права на группу есть:

# id tu3
uid=100278(tu3) gid=100(users) группы=100(users),1018(*****),1010(*****)

Если сменить владельца test1 на tu3 или дать на test1 права 777, то каталог test1 пускает.

Моя конфигурация:
домен - spec, он же spec.local. Работает под управлением виндовых DC 2008 R2, домен 2008. UID-GID цепляются через SFU, настроенную на виндовых DC, как UNIX-атрибуты.
Проблемный сервер - centos 7. Член домена, не DC.

# uname -a
Linux fileskladtest.spec.local 3.10.0-327.18.2.el7.x86_64 #1 SMP Thu May 12 11:03:55 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
# smbd -V
Version 4.2.10

Авторизация в домене - kerberos, вроде с ней все ок.
getent passwd и getent group настроены по ldap и выдают список сначала локальных, а потом доменных юзеров и групп. Юзеры в группах перечислены, все UID-GID правильные.

Конфиги с моей конфигурацией:

# cat /etc/samba/smb.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
[global]
   workgroup = SPEC
   realm = SPEC.LOCAL
   security = ads
   template homedir = /home/%U
   template shell = /bin/bash
   kerberos method = secrets only
   winbind use default domain = true
   winbind offline logon = false
        idmap config * : backend  = ad
        idmap config * : range = 0-9999999
        idmap config * : schema_mode = sfu
        auth methods = winbind
        server string = Samba Server Version %v
        netbios name = FILESKLADTEST
        hosts allow = 127. 192.168.
        # log files split per-machine:
        log file = /var/log/samba/log.%m
        # maximum size of 50KB per log file, then rotate:
        max log size = 50000
        log level = 0 vfs:2
        syslog = 0
    vfs objects = full_audit
    full_audit:prefix = %u|%I|%S
    full_audit:facility = local5
    full_audit:priority = notice
    full_audit:success = none
    full_audit:failure = none
        load printers = no
        # obtain a list of printers automatically on UNIX System V systems:
        disable spoolss = Yes
        show add printer wizard = No
        read only = No
        create mask = 0666
        directory mask = 0777
        map to guest = Bad User
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = P:
        usershare allow guests = No
[scan]
    comment = Сканированные документы
    path = /data/scan
    full_audit:success = all
    full_audit:failure = all
# cat /etc/nslcd.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
uid nslcd
gid ldap
uri ldap://dc5.spec.local
uri ldap://dc1.spec.local
uri ldap://dc2.spec.local
uri ldap://dc4.spec.local
ldap_version 3
base dc=spec,dc=local
binddn CN=unix,OU=Scripts,DC=SPEC,DC=LOCAL
bindpw ***paSsWoRd***
scope sub
filter passwd (objectClass=User)
map    passwd uid              msSFU30Name
map    passwd homeDirectory    unixHomeDirectory
filter shadow (objectClass=User)
filter group  (objectClass=Group)
ssl no
tls_cacertdir /etc/openldap/cacerts
# cat /etc/krb5.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_ccache_name = KEYRING:persistent:%{uid}
 default_realm = SPEC.LOCAL
 clockskew = 3600
[realms]
 SPEC.LOCAL = {
  kdc = dc5.spec.local
  kdc = dc1.spec.local
  kdc = dc2.spec.local
  kdc = dc4.spec.local
  admin_server = dc5.spec.local
 }
 DC5.SPEC.LOCAL = {
  kdc = dc5.spec.local
  admin_server = dc5.spec.local
 }
 SPEC.LOCAL = {
  kdc = spec.local
  admin_server = spec.local
  kdc = spec.local
 }
[domain_realm]
 spec.local = spec.local
 .spec.local = spec.local
 dc1.spec.local = DC1.SPEC.LOCAL
 .dc1.spec.local = DC1.SPEC.LOCAL
 dc5.spec.local = DC5.SPEC.LOCAL
 .dc5.spec.local = DC5.SPEC.LOCAL
# cat /etc/nsswitch.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
passwd:     files ldap
shadow:     files
group:      files ldap
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   files sss ldap
publickey:  nisplus
automount:  files ldap
aliases:    files nisplus

testparm -s /etc/samba/smb.conf ошибок не выдает.

Вроде, все должно быть ок, единственный нюанс, который не удалось победить:
wbinfo -u показывает пустой вывод.
Впрочем, wbinfo -g показывает список всех групп.
Не знаю, имеет ли это какое-то отношение к проблеме.

Логи включал, там по проблеме ни слова. Только то, что мол, все права есть, все ок.
Уже кучу времени убил на проблему, все кажется перепроверил, сейчас даже не понимаю, куда копать.
В гугле - либо неверный вывод getent, либо авторизация кривая, либо еще что. У меня-то вроде все на месте.
Кроме этого сервера, есть еще несколько древних с gentoo и samba 3, на них группы работают. Но там вроде перекомпилировали модуль бекэнда для idmap или что-то вроде того, уже не помнит никто, что и зачем, да и проблема относилась вроде к баге с той древней самбой...

Добрый день!

     Коллеги, кто-нибудь пробовал ставить freeipa-client под Астру.
     Т.к дистрибутив Astra берет начало от Debian Wheezy, попробовал прикрутить unstable репу где есть этот пакет. Но к сожалению установить не дает т.к постоянно проблемы с зависимостями.

      

Приветствую !!
если есть у кого опыт, подскажите пжл. разворачиваю самбу в докере . образ собирается без ошибок но контейнер не запускается если в endpoint указать старт самбы. если стартовать башем и в контейнере руками запускать самбу то всё ок. в логе криминала пока не увидел. буду рад вашим подсказкам.

Dockerfile
FROM ubuntu:latest
ENV DEBIAN_FRONTEND noninteractive
RUN apt-get update && apt-get install -y --no-install-recommends samba gettext
ADD smb.conf /etc/samba/smb.conf
RUN groupadd smbuser
RUN useradd --shell /bin/nologin -g smbuser smbuser.
RUN    mkdir /dfs_root && \
chmod 0755 /dfs_root && \
chown smbuser:smbuser -R /dfs_root
EXPOSE 137/udp 138/udp 139 445
ADD startsmb.sh /startsmb.sh
RUN chmod +x /startsmb.sh
ENTRYPOINT ["/startsmb.sh"]

startsmb.sh
#!/bin/bash
set -o nounset
/etc/init.d/nmbd start
/etc/init.d/smbd start

Всем привет!
Изучаю возможности Samba 4-й - в частности возможность полностью заменить Active Directory.
Прошу поделиться, у кого какой опыт успешный/неуспешный есть?
Точнее интересуют подводные камни, на которые натыкаешься уже в реальной эксплуатации...

Сейчас у меня есть развернутый полигон с виртуальными машинами:
1) FreeBSD 11 + samba43-4.3.11_1 (ставил стандартный с помощью pkg за 5 минут без компиляции и портов). Вначале пробовал поставить 4.4 - но при samba-tool domain provision python уходит в SegFault, поэтому сейчас стоит 4.3).
2) Три чистые виртуалки с WinXP/Win7/Win10

Домен разворачивал по wiki с default параметрами (интегрированный DNS). DHCP нет пока что.

Что уже протестировал и что работает:
1) Включение в домен, видимость шар SYSVOL/NETLOGON.
2) Аутентификация, возможность работы с только что созданными пользователями.
3) Применение групповых политик (ну там шары через bat, шары через Preferences и т.д.).

Что сходу не заработало:
1) Не создаются и не обновляются DNS-записи (при вводе машин в домен, при входе, при выполнении ipconfig /registerdns). параметр allow dns updates стоит в secure only. Через RSAT на зоне параметр тоже стоит Secure Only и не изменяется.
2) При переименовании машины и последующей перезагрузки объект в каталоге AD переименовывается не полностью. Часть атрибутов переименовывается, а вот cn например нет. И еще парочка. На работу правда не влияет - но не кошерно как то )))

Прошу, поделитесь реальным опытом...

Заранее большое спасибо!

Добрый день!

У меня настроен samba server 4 в роли ROLE_DOMAIN_MEMBER (centos 7), довольно долгое время работал нормально. Внезапно перестал запускаться winbind, ошибка почему-то не гуглится.

Конфиг самбы:
[global]
        workgroup = DOMAIN
        realm = DOMAIN.LOCAL
        security = domain
        template shell = /bin/bash
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind nss info = rfc2307
        winbind refresh tickets = Yes
        idmap config domain : schema_mode = rfc2307
        idmap config domain : range = 10000-99999
        idmap config domain : backend = rid
        idmap config * : range = 10000-99999
        idmap config * : backend = tdb

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@DOMAIN.LOCAL

Valid starting       Expires              Service principal
10.11.2016 13:45:10  10.11.2016 23:45:10  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
        renew until 17.11.2016 13:45:08

# net ads testjoin
Join is OK

Запуск winbind:
# winbindd -i -d3
Maximum core file size limits now 16777216(soft) -1(hard)
winbindd version 4.2.10 started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[global]"
Maximum core file size limits now 16777216(soft) -1(hard)
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[global]"
initialize_winbindd_cache: clearing cache and re-creating with version number 2
Added domain BUILTIN (null) S-1-5-32
Added domain SMBSERVER (null) S-1-5-21-4537625865-1728653643-1128407990
PANIC (pid 8230): Could not find our domain
BACKTRACE: 12 stack frames:
#0 /lib64/libsmbconf.so.0(log_stack_trace+0x1a) [0x7f911736b1da]
#1 /lib64/libsmbconf.so.0(smb_panic_s3+0x20) [0x7f911736b2b0]
#2 /lib64/libsamba-util.so.0(smb_panic+0x2f) [0x7f911a01991f]
#3 winbindd(+0x35c43) [0x7f911c022c43]
#4 winbindd(rescan_trusted_domains+0x21) [0x7f911c022c71]
#5 /lib64/libtevent.so.0(tevent_common_loop_timer_delay+0xcf) [0x7f911473dacf]
#6 /lib64/libtevent.so.0(+0x9ada) [0x7f911473eada]
#7 /lib64/libtevent.so.0(+0x81d7) [0x7f911473d1d7]
#8 /lib64/libtevent.so.0(_tevent_loop_once+0x8d) [0x7f911473936d]
#9 winbindd(main+0xb14) [0x7f911c011c54]
#10 /lib64/libc.so.6(__libc_start_main+0xf5) [0x7f9114141b15]
#11 winbindd(+0x2536d) [0x7f911c01236d]
dumping core in /var/log/samba/cores/winbindd
Аварийный останов (core dumped)

На сервере AD (windows 2012) компьютер smbserver прописывается если удалить и снова подключить, в DNS присутствует. Ошибка "PANIC (pid 8230): Could not find our domain" не гуглится почему-то совсем. Подскажите, пожалуйста, в какую сторону смотреть.

Доброго времени суток. Понимаю что многие уже видели подобные темы и вроде люди в них каким то образом нашли решения, но у меня почему то ничего не работает:
Вот мой конфиг
smb.conf
[global]
workgroup = WORKGROUP
server string = SRV
log file = /var/log/samba/%m.log
max log size = 50
security = user
map to guest = Bad Password.
dns proxy = no

domain master = no
local master = no

# utf кодировка
dos charset = cp866
unix charset = UTF8

# отключаем принтеры
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes

hide dot files = yes

[share]
comment = SHARA
path = /share
read only = no
locking = no
browsable = yes.
# разрешить гостевой доступ
guest ok = yes
force user = nobody.
force group = nobody

После этого делаю chown -R nobody:nobody share
map to guest = Bad Password менял на map to guest = Bad User разницы нет.

В логах никаких ошибок, всё чисто. Все порты открыты.
Пытаюсь зайти на шару и говорит нет доступа.
Куда копать ребята?

Есть стенд FreeBSD.

Монтирую шару

mount_smbfs -I 192.168.0.10 -E koi8-r:cp866 //administrator@sv-vd16/key /mnt/share

Монтируется нормально

Прописываю в fstab и
//administrator@sv-vd16/key /mnt/share  smbfs   rw,-I 192.168.0.10      0 0

Прописываю в nsmb.conf
# A simple configuration example:

# First, define a workgroup.
[default]
workgroup=INV

# The 'FSERVER' is an NT server.
[sv-vd16]
charsets=cp1251:cp866
addr=192.168.0.10

[sv-vd16:administrator]
# use persistent password cache for user 'joe'
password=$$15f6e647b2629441c

При попытке смонтировать вижу вот это

root@BSD:~ # mount -a
mount_smbfs: can't get server address `//administrator@sv-vd16/key':
Unknown host
mount_smbfs: can't get server address: syserr = Network is down

В hosts

192.168.0.10            sv-vd16

Подскажите где собака порылась...

Всем доброго дня.

Установлен сервер SLES 11 SP3 и настроена Samba 3.6.3 Серверу присвоен адрес 192.168.1.1 Есть удаленная сеть 192.168.100.0/24, которая подключается к указанному серверу. Так вот возникла проблема с доступом к файлам из Windows 7. Если открывать файлы doc ms office то необходимо дать разрешение на изменение файла и все нормально работает. Если открывать файл odt openoffice файл открывается только для чтения. Из Windows XP или Windows 10 такой проблемы нет все документы открываются нормально. Куда копать, куда смотреть? Уже все перелопатил. Для информации Windows 7 Home, фаервол отключен.
До установки SLES 11 SP3 стоял SLES 10 Все прекрасно работало на всех системах.
Доступы до файлов делал 777 и все равно ситуация не меняется. Доступ к файлам odt только на чтение. ACL тоже ничего не меняют.
В данный момент на файлы и папки действуют следующие доступы
owner:root:rwx
group:user_access:rwx
other::---
chmod 2770
acl прописаны также.

Кто-нибудь делал эту процедуру? Она описана в документации по адресу: https://docs.oracle.com/cd/E53394_01/html/E54849/adsetup-3.h...
Я проделал все шаги из этого руководства. После выполнения команды:
/usr/sbin/kclient -T ms_ad
проверил. Учетная запись компьютера появилась в AD.
На восьмом шаге предлагается осуществить проверку. Так вот при проверке никакой ответ я не получаю и ошибок тоже никаких.:
# getent passwd 'testuser@sfh.local'
#
Кто-нибудь проделывал данную работу? Может быть кто-нибудь знает, что может быть сделано неправильно?

Доброго всем здравия.
На текущий момент есть AD поднятый на Samba4 с двумя КД.
dc1 Samba 4.1.23-SerNet-Debian-10.wheezy
dc2 Samba 4.3.9-Ubuntu

Все роли перенесены на dc2.
На dc1 getent passwd отображдает как локальных пользователей так и доменных.
На dc2 getent passwd отображдает только локальных пользователей
Но при этом getent passwd <user-ad>  отрабатывает правильно.
Т.е. по конкретному пользователю информация выдается.

Есть ли у кого-нибудь идеи о причинах данной проблемы и возможных вариантов ее решения?

Всех с пятницей!

Поставил samba 4.4.3, для простейшего AD DC, на виртуальную машину с CentOS 7.

После успешного выполнения:
samba-tool domain provision --use-rfc2307 --interactive

есть непонятки с прохождением тестов, а именно:

$ smbclient -L localhost -U%
выводит
Domain=[HOMEDOMAIN] OS=[Windows 6.1] Server=[Samba 4.4.3]
tree connect failed: NT_STATUS_CONNECTION_DISCONNECTED

При этом:
$ smbclient -L 127.0.0.1 -UAdministrator
Enter Administrator's password:
Domain=[HOMEDOMAIN] OS=[Windows 6.1] Server=[Samba 4.4.3]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
...

Все ок.

Если с другой машины в этой же сети открыть \\192.168.122.31 (это ip виртуальной машины с samba), то введя логин administrator и пароль, я увижу (и смогу войти в) шары netlogon, sysvol.

Если бы не работало никак, я бы еще понял, что все не так, а так - вроде работает, но вроде и нет, проверку-то не проходит (а она описана как обязательная на https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO#Testing_y...). Что может быть не так? Чем еще проверить?

Здравствуйте.
Есть машина (FreeBSD 10.1) на которой работает samba 4.1.
Файловая система - ZFS.
Проблема при авторизации:
1. При входе с аналогичной машины сначала (с первой попытки) выдается "session setup failed: NT_STATUS_UNSUCCESSFUL",
а со второй попытки входит.
2. При входе с Win7, если вход осуществляется из под виндового аккаунта, который зерегистрирован в sambe, то первый раз входит с задержкой.
Если же аккаунт не зарегистрирован или не совпадает пароль, то выдается окно авторизации и ситуация аналогична входу с unix, т.е. с первого раза выдает "...возможно у вас нет прав на использование указанного ресурса..", а со второго входит.

Релевантная часть smb4.conf
Код:
[global]
   dos charset = cp866
   workgroup = exhold
   netbios name = server1
   server role = standalone
   security = user
   hosts deny = 0.0.0.0/0
   hosts allow = 127. 192.168.10.0/25 EXCEPT 192.168.10.0/28
#       Delete of CUPS messages (log.smbd)
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   wins server = 192.168.10.98
   read only = no
   name resolve order = wins bcast
   local master = no
   create mask = 0760
   directory mask = 0770
# ZFS ACLs
    unix extensions = no
    nt acl support  = yes
    inherit acls    = no
    map acl inherit = yes
    vfs objects     = zfsacl
    nfs4:mode       = special
    nfs4:acedup     = merge
    nfs4:chown      = yes
[5_NOAP]
   path = /var/samba/Common/NOAP
   valid users = @NOAP
[6_NOAP_RI]
   path = /var/samba/Common/NOAP/NOAP_LRI
   valid users = @NOAP_RI

Использовалась Samba4.1.22 с опциями:
        ACL_SUPPORT    : on
        ADS            : on
        AD_DC          : on
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : on
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : on
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Вместо 4.1 поставил Samba4.3.3 со следующими опциями:
Options        :
        ACL_SUPPORT    : on
        ADS            : off
        AD_DC          : off
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : off
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : off
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Проблема сохранилась.
Буду рад любой оказанной помощи.