URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 288
[ Назад ]

Исходное сообщение
"W2K3 ADS + Samba 3.0.11"
Отправлено poperek , 28-Фев-05 17:37

Имеется AD контроллер на 2003 и Linux-сервер с samba 3.0.11, на котором необходимо сделать файловый сервер. Все делаем по инструкции, все чисто-гладко, пока дело не доходит до работы с группами. При появлении в smb.conf строки типа valid users=@"DOMAIN\Domain Users" самба перестает пускать на ресурс и в логах пишет:
log.smbd=============
[2005/02/28 17:08:11, 2] smbd/service.c:make_connection_snum(311)
user 'DOMAIN\user' (from session setup) not permitted to access this share (public)
log.winbindd=============
[2005/02/28 17:18:05, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(299)
group Domain Users in domain DOMAIN does not exist
проверяем: #wbinfo -g
...
...
DONJUST\domain users
...
все вроде на месте.
комментируем valid users, заходим на ресурс, создаем каталог и проверяем владельца:
Имя владельца: DOMAIN\user
Имя группы: 10000 <--??? Не видит название группы?
Мой smb.conf:
[global]
unix charset = KOI8-R
dos charset = CP866
workgroup = DOMAIN
netbios name = BARS
server string = File Server
security = ADS
realm = DOM.LOCAL
password server = *
encrypt passwords = yes
allow trusted domains = no
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 0
preferred master = no
local master = no
domain master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
use spnego = yes
client use spnego = yes
log level = 2
[public]
path = /data/public
valid users = @"DOMAIN\Domain Users"
read only = no
Кто-нибудь сталкивался? Варианты решения? Заранее благодарен.

Содержание

W2K3 ADS + Samba 3.0.11,poperek, 20:49 , 28-Фев-05
W2K3 ADS + Samba 3.0.11,новичок в линухе, 01:19 , 29-Мрт-05
- W2K3 ADS + Samba 3.0.11,Студент, 18:50 , 17-Окт-09

Сообщения в этом обсуждении

"W2K3 ADS + Samba 3.0.11"
Отправлено poperek , 28-Фев-05 20:49

да, и еще не проходит проверку wbinfo -t, пишет:
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret

"W2K3 ADS + Samba 3.0.11"
Отправлено новичок в линухе , 29-Мрт-05 01:19

Обязательно отруби на 2003 серваке ЛДАП реквае сайнинг политиках безопасности и контроллера и домена
имел то же горе..
вывел линух из адс, в smb.conf оставил только строки с вибиндом
# Global parameters
[global]
    security = ads
    workgroup = KIT
    realm = KIT.ZSU.ZP.UA
    update encrypted = Yes
    os level = 32
    preferred master = No
    local master = No
    domain master = No
    dns proxy = No
    wins server = 10.1.100.25
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind cache time = 10
    winbind enable local accounts = Yes
    winbind nested groups = Yes
    winbind use default domain = yes

в krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = KIT.ZSU.ZP.UA
[realms]
KIT.ZSU.ZP.UA = {
  default_domain = kit.zsu.zp.ua
  admin_server = kit-server.kit.zsu.zp.ua
  kdc = kit-server.kit.zsu.zp.ua
  kdc = 10.1.100.39
}
[domain_realm]
kit.zsu.zp.ua = KIT.ZSU.ZP.UA
.kit.zsu.zp.ua = KIT.ZSU.ZP.UA

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
#service smb stop
#service winbind stop
#kinit Administrator
#net ads join -U Administrator
#service smb start
#service winbind start
все остальное по классике причем не рекомендуют:
use spnego = yes ( лучше но)
client use spnego = yes
у себя вооще закоментировал. Когда отработал wbinfo -t
стал дописывать в конфу самбы по вкусу
не хило бы
#getent group
#getent passwd
в /etc/pam.d/login
#%PAM-1.0
auth       required    pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required    pam_stack.so service=system-auth
auth       required    pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
account    required    pam_stack.so service=system-auth
password   required    pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session    required    pam_selinux.so close
session    required    pam_stack.so service=system-auth
session    optional    pam_console.so
# pam_selinux.so open should be the last session rule
session    required    pam_selinux.so multiple open
в /etc/pam.d/samba
#%PAM-1.0
auth       required    pam_nologin.so
auth       required    pam_stack.so service=system-auth
auth       sufficient   pam_winbind.so
account    sufficient   pam_winbind.so
account    required    pam_stack.so service=system-auth
session    required    pam_stack.so service=system-auth
password   required    pam_stack.so service=system-auth
успехов

"W2K3 ADS + Samba 3.0.11"
Отправлено Студент , 17-Окт-09 18:50

>>новичок в линуксе
Евгений Эдуардович, залогинтесь