 Samba + AD и русские имена юзеров NEED HELP!!,  immortald, 08-Апр-13, 05:03 [смотреть все]Здрасте всем!! Помогите плиз кто знает или сталкивался уже!!!
Настраиваю файлопомойку на FreeBSD 9.0
Все встало на УРА... Все работает, машина в домене, шары сделаны + прикручена корзина и аудит.. НО! Пользователи с учетками на латинице заходят на шару без проблем (хоть адмниы, хоть обычные), а вот юзеры с русскими учетками не могут, запрашивается логин и пароль и все... Есть мысли какие-нидь по решению, гуру иксов??
Вот конфиг самбы...
#======================= Global Settings =====================================
[global]
workgroup = DOMAIN
server string = File Server
security = ADS
hosts allow = 192.168.10. 192.168.20. 127.
load printers = no
log file = /var/log/samba/log.%m
max log size = 50
password server = 192.168.10.1
realm = DOMAIN.RU
netbios name = file
dns proxy = no display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
client codepage = 1251 nt acl support = yes
inherit acls = yes
map acl inherit = yes
winbind use default domain = yes
admin users = "@DOMAIN\Администраторы домена", SERVIKO\admin
defer sharing violations = false
winbind enum users = yes
winbind enum groups = yes
winbind uid = 10000-20000
winbind gid = 10000-20000 #============================ Share Definitions ==============================
[personal]
comment = Сетевая папка обмена
path = /files/personal
veto files = /*.scr/*.mp3/
read list = "@DOMAIN\пользователи домена"
write list = "@DOMAIN\пользователи домена"
admin users = "@DOMAIN\администраторы домена"
read only = No
create mask = 0660
directory mask = 0770
locking = no
force unknown acl user = yes
vfs object = recycle full_audit
recycle:repository = /files/trash/%S
recycle:keeptree = Yes
recycle:touch = Yes
recycle:touch_mtime = Yes
recycle:version = Yes
recycle:maxsize = 0
recycle:exclude = *.TMP *.tmp
recycle:directory_mode = 0770
recycle:versions = Yes
recycle:minsize = 0
full_audit:prefix = share=%S; id=%U; ip=%I -->
full_audit:failure = none
full_audit:success = mkdir rmdir write pwrite sendfile rename
full_audit:facility = local5
full_audit:priority = notice [trash]
comment =
path = /files/trash
veto files = /*.scr/*.mp3/
read list = "@DOMAIN\пользователи домена"
write list = "@DOMAIN\пользователи домена"
admin users = "@DOMAIN\администраторы домена"
browseable = no krb5.conf:
[libdefaults]
default_realm = DOMAIN.RU
clockskew = 300
ticket_lifetime = 24000
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
} [realms]
DOMAIN.RU = {
kdc = dcad1.domain.ru
admin_server = dcad1.domain.ru
kpasswd_server = dcad1.domain.ru
default_domain = domain.ru
}
OTHER.REALM = { v4_instance_convert = { kerberos = kerberos computer = dcad1.domain.ru } }
[domain_realm]
.domain.ru = DOMAIN.RU В логах 0!! Полнейший)) Очистил логи, пытаюсь зайти, открываю логи - ни одной строки, 0...
Команда wbinfo -u и -g видит по русски и пользователей и группы...
|
- Samba + AD и русские имена юзеров NEED HELP!!, sasku, 09:06 , 08-Апр-13 (1)
- Samba + AD и русские имена юзеров NEED HELP!!, immortald, 09:20 , 08-Апр-13 (2)
>> display charset = koi8-r
>> unix charset = koi8-r
>> dos charset = cp866
>> client codepage = 1251
> может на utf8 попытаться перейти ?Переключаю в самбе utf8 зайти вообще не могу, не доступа пишет.. Может имеете ввиду и локаль перевести на utf8??
- Samba + AD и русские имена юзеров NEED HELP!!, immortald, 09:29 , 08-Апр-13 (3)
Поменял, ситуация не изменилась, русских не пусчает... Просит логин и пароль.
Странно хотя wbinfo все видит, id тоже:
[15:26] file >id Васильев_Василий
uid=10013(vasya) gid=10009(пользователи домена) groups=10009(пользователи домена)
- Samba + AD и русские имена юзеров NEED HELP!!, name, 12:34 , 09-Апр-13 (4)
- Samba + AD и русские имена юзеров NEED HELP!!, immortald, 04:18 , 10-Апр-13 (5)
>[оверквотинг удален]
>> одной строки, 0...
>> Команда wbinfo -u и -g видит по русски и пользователей и группы...
> # Cap the size of the individual log files (in KiB).
> max log size = 50000
> # We want Samba to log a minimum amount of information to
> syslog. Everything
> # should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
> # through syslog you should set the following parameter to something higher.
> syslog = 0
> log level = 3 Увеличил лог...
[2013/04/10 10:02:48.497310, 3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
libads/kerberos_verify.c:429: enc type [23] failed to decrypt with error Invalid argument
[2013/04/10 10:02:48.497341, 3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
libads/kerberos_verify.c:429: enc type [1] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497365, 3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
libads/kerberos_verify.c:429: enc type [3] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497400, 3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
libads/kerberos_verify.c:429: enc type [23] failed to decrypt with error Decrypt integrity check failed
[2013/04/10 10:02:48.497424, 3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
libads/kerberos_verify.c:429: enc type [1] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497447, 3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
libads/kerberos_verify.c:429: enc type [3] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497464, 3] libads/kerberos_verify.c:632(ads_verify_ticket)
libads/kerberos_verify.c:632: krb5_rd_req with auth failed (Program lacks support for encryption type)
[2013/04/10 10:02:48.497477, 1] smbd/sesssetup.c:342(reply_spnego_kerberos)
Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2013/04/10 10:02:48.497485, 3] smbd/error.c:81(error_packet_set)
error packet at smbd/sesssetup.c(344) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2013/04/10 10:02:48.497495, 5] lib/util.c:332(show_msg)
[2013/04/10 10:02:48.497499, 5] lib/util.c:342(show_msg)
Чем то шифрование кербероса не устраивает... Стучу в бубен дальше))
Хотя саму аутентификацию winbind отстреливает на ура...
[10:14] file /var/log/samba >wbinfo -a "Васильев_Василий"
Enter Васильев_Василий's password:
plaintext password authentication succeeded
Enter Васильев_Василий's password:
challenge/response password authentication succeeded
- Samba + AD и русские имена юзеров NEED HELP!!, luckyy, 03:58 , 09-Окт-13 (6)
- Samba + AD и русские имена юзеров NEED HELP!!, immortald, 04:37 , 09-Окт-13 (7)
> небольшой оффтоп:
> работает ли разграничение прав доступа, через доменные группы при таком конфиге?Работает, но корявенько, не так как хотелось бы, во-первых железно работает разграничение трех типов: "Разрешить все", "Только чтение", "Запретить все" (может конечно еще с самбой не до конца разобрался). И во-вторых с наследованием прав трабла, на папки вроде проходит, а на сами файлы внутри ни как... Кажется что перебивают разрешения в конфиге, пока с разрешениями в конфиге не играл...
- Samba + AD и русские имена юзеров NEED HELP!!, luckyy, 09:03 , 09-Окт-13 (8)
- Samba + AD и русские имена юзеров NEED HELP!!, immortald, 09:41 , 09-Окт-13 (9)
> понтятно! Удачно настроить вам фалопомойку :-)
> в сторону готовых дистрибутивов не смотрели, например FreNAS ?
> http://macrodmin.blogspot.ru/2011/03/freenas.html Да я это вроде хранилище настроил, пока устраивает:) Благо при переноси с винды тоталом, все права остались не изменными, вот и работает пока...
Здесь прикрутил логи и корзину сетевую, нравится))
А по поводу готовых, не... Люблю я почему то FreeBSD... может легкие пути не устраивают:)
|
Версия для распечатки
