The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Авторизация в samba4"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"Авторизация в samba4"  +/
Сообщение от Downloader (ok) on 16-Май-16, 17:45 
Здравствуйте.
Есть машина (FreeBSD 10.1) на которой работает samba 4.1.
Файловая система - ZFS.
Проблема при авторизации:
1. При входе с аналогичной машины сначала (с первой попытки) выдается "session setup failed: NT_STATUS_UNSUCCESSFUL",
а со второй попытки входит.
2. При входе с Win7, если вход осуществляется из под виндового аккаунта, который зерегистрирован в sambe, то первый раз входит с задержкой.
Если же аккаунт не зарегистрирован или не совпадает пароль, то выдается окно авторизации и ситуация аналогична входу с unix, т.е. с первого раза выдает "...возможно у вас нет прав на использование указанного ресурса..", а со второго входит.

Релевантная часть smb4.conf
Код:
[global]
   dos charset = cp866
   workgroup = exhold
   netbios name = server1
   server role = standalone
   security = user
   hosts deny = 0.0.0.0/0
   hosts allow = 127. 192.168.10.0/25 EXCEPT 192.168.10.0/28
#       Delete of CUPS messages (log.smbd)
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   wins server = 192.168.10.98
   read only = no
   name resolve order = wins bcast
   local master = no
   create mask = 0760
   directory mask = 0770
# ZFS ACLs
    unix extensions = no
    nt acl support  = yes
    inherit acls    = no
    map acl inherit = yes
    vfs objects     = zfsacl
    nfs4:mode       = special
    nfs4:acedup     = merge
    nfs4:chown      = yes
[5_NOAP]
   path = /var/samba/Common/NOAP
   valid users = @NOAP
[6_NOAP_RI]
   path = /var/samba/Common/NOAP/NOAP_LRI
   valid users = @NOAP_RI

Использовалась Samba4.1.22 с опциями:
        ACL_SUPPORT    : on
        ADS            : on
        AD_DC          : on
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : on
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : on
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Вместо 4.1 поставил Samba4.3.3 со следующими опциями:
Options        :
        ACL_SUPPORT    : on
        ADS            : off
        AD_DC          : off
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : off
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : off
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Проблема сохранилась.
Буду рад любой оказанной помощи.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Авторизация в samba4"  +/
Сообщение от Downloader (ok) on 16-Май-16, 17:48 
В логах samba-сервера ничего нет - временно установил log level = 10 и снова обратился с serv-ex к server1 под пользователем Ermakova_AA
(smbclient //server1/6_NOAP_RI -U Ermakova_AA)
лог winbind - https://yadi.sk/i/ziQWeOALrkVEn.

Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Авторизация в samba4"  +/
Сообщение от ACCA (ok) on 16-Май-16, 22:45 
> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.

Походу да.
Разберись с idmap - чем и что именно ты делаешь. Там есть несколько способов, от lookup-файла до алгоритма преобразования UID.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Авторизация в samba4"  +/
Сообщение от Downloader (ok) on 17-Май-16, 12:33 
>> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Походу да.
> Разберись с idmap - чем и что именно ты делаешь. Там есть
> несколько способов, от lookup-файла до алгоритма преобразования UID.

SAMBA.ORG:
"Standalone Samba Server
A standalone Samba server is an implementation that is not a member of a Windows NT4 domain, a Windows 200X Active Directory domain, or a Samba domain.

By definition, this means that users and groups will be created and controlled locally, and the identity of a network user must match a local UNIX/Linux user login. The IDMAP facility is therefore of little to no interest, winbind will not be necessary, and the IDMAP facility will not be relevant or of interest. "

В конфиге про idmap ничего нет, но testparm выдает  idmap config * : backend = tdb (видимо по дефолту)

В rc.conf unix-машин прописаны разные домены.
Клиентские машины ни к какому домену не присоединены, просто поделены по рабочим группам.

Буду читать про idmap.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Авторизация в samba4"  +/
Сообщение от Downloader (ok) on 17-Май-16, 12:46 
> В rc.conf unix-машин прописаны разные домены.

Ошибся

server1.YYY.ZZ
serv-ex.XXX.YYY.ZZ
,т.е. serv-ex принадлежит к домену более низкого уровня, входящего в YYY.ZZ


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Авторизация в samba4"  +/
Сообщение от Downloader (ok) on 20-Май-16, 16:12 
Причем пользователям регулярно заходящим на сервер (расшаренные папки)
заходить по два раза не требуется:
В unix "smbclient //server1/Shate -U User" запрашивает пароль и потом успешно заходит
В windows пароль вводит сама ОС.
Те же, кто заходит нерегулярно (критичный промежуток еще не определил, думаю измеряется днями) должны повторять вход по 2 раза (что в unix, что в windows)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Авторизация в samba4"  +/
Сообщение от Downloader (ok) on 20-Июн-16, 13:58 
>> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Походу да.
> Разберись с idmap - чем и что именно ты делаешь. Там есть
> несколько способов, от lookup-файла до алгоритма преобразования UID.

Проблема решилась добавлением
idmap config * : default = yes
idmap config * : backend = tdb
idmap config * : range = 10000-11000
в [global]

Спасибо за указание правильного направления.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor