Здравствуйте.
Есть машина (FreeBSD 10.1) на которой работает samba 4.1.
Файловая система - ZFS.
Проблема при авторизации:
1. При входе с аналогичной машины сначала (с первой попытки) выдается "session setup failed: NT_STATUS_UNSUCCESSFUL",
а со второй попытки входит.
2. При входе с Win7, если вход осуществляется из под виндового аккаунта, который зерегистрирован в sambe, то первый раз входит с задержкой.
Если же аккаунт не зарегистрирован или не совпадает пароль, то выдается окно авторизации и ситуация аналогична входу с unix, т.е. с первого раза выдает "...возможно у вас нет прав на использование указанного ресурса..", а со второго входит.Релевантная часть smb4.conf
Код:
[global]
dos charset = cp866
workgroup = exhold
netbios name = server1
server role = standalone
security = user
hosts deny = 0.0.0.0/0
hosts allow = 127. 192.168.10.0/25 EXCEPT 192.168.10.0/28
# Delete of CUPS messages (log.smbd)
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
wins server = 192.168.10.98
read only = no
name resolve order = wins bcast
local master = no
create mask = 0760
directory mask = 0770
# ZFS ACLs
unix extensions = no
nt acl support = yes
inherit acls = no
map acl inherit = yes
vfs objects = zfsacl
nfs4:mode = special
nfs4:acedup = merge
nfs4:chown = yes
[5_NOAP]
path = /var/samba/Common/NOAP
valid users = @NOAP
[6_NOAP_RI]
path = /var/samba/Common/NOAP/NOAP_LRI
valid users = @NOAP_RIИспользовалась Samba4.1.22 с опциями:
ACL_SUPPORT : on
ADS : on
AD_DC : on
AIO_SUPPORT : on
AVAHI : off
BIND910 : off
BIND99 : off
CUPS : off
DEBUG : on
DEVELOPER : off
DNSUPDATE : on
DOCS : on
EXP_MODULES : off
FAM : on
LDAP : on
MANPAGES : off
MDNSRESPONDER : off
NSUPDATE : off
PAM_SMBPASS : off
PTHREADPOOL : on
QUOTAS : on
SYSLOG : on
UTMP : onВместо 4.1 поставил Samba4.3.3 со следующими опциями:
Options :
ACL_SUPPORT : on
ADS : off
AD_DC : off
AIO_SUPPORT : on
AVAHI : off
BIND910 : off
BIND99 : off
CUPS : off
DEBUG : on
DEVELOPER : off
DNSUPDATE : off
DOCS : on
EXP_MODULES : off
FAM : on
LDAP : off
MANPAGES : off
MDNSRESPONDER : off
NSUPDATE : off
PAM_SMBPASS : off
PTHREADPOOL : on
QUOTAS : on
SYSLOG : on
UTMP : onПроблема сохранилась.
Буду рад любой оказанной помощи.
В логах samba-сервера ничего нет - временно установил log level = 10 и снова обратился с serv-ex к server1 под пользователем Ermakova_AA
(smbclient //server1/6_NOAP_RI -U Ermakova_AA)
лог winbind - https://yadi.sk/i/ziQWeOALrkVEn.Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.Походу да.
Разберись с idmap - чем и что именно ты делаешь. Там есть несколько способов, от lookup-файла до алгоритма преобразования UID.
>> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Походу да.
> Разберись с idmap - чем и что именно ты делаешь. Там есть
> несколько способов, от lookup-файла до алгоритма преобразования UID.SAMBA.ORG:
"Standalone Samba Server
A standalone Samba server is an implementation that is not a member of a Windows NT4 domain, a Windows 200X Active Directory domain, or a Samba domain.By definition, this means that users and groups will be created and controlled locally, and the identity of a network user must match a local UNIX/Linux user login. The IDMAP facility is therefore of little to no interest, winbind will not be necessary, and the IDMAP facility will not be relevant or of interest. "
В конфиге про idmap ничего нет, но testparm выдает idmap config * : backend = tdb (видимо по дефолту)
В rc.conf unix-машин прописаны разные домены.
Клиентские машины ни к какому домену не присоединены, просто поделены по рабочим группам.Буду читать про idmap.
> В rc.conf unix-машин прописаны разные домены.Ошибся
server1.YYY.ZZ
serv-ex.XXX.YYY.ZZ
,т.е. serv-ex принадлежит к домену более низкого уровня, входящего в YYY.ZZ
Причем пользователям регулярно заходящим на сервер (расшаренные папки)
заходить по два раза не требуется:
В unix "smbclient //server1/Shate -U User" запрашивает пароль и потом успешно заходит
В windows пароль вводит сама ОС.
Те же, кто заходит нерегулярно (критичный промежуток еще не определил, думаю измеряется днями) должны повторять вход по 2 раза (что в unix, что в windows)
>> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Походу да.
> Разберись с idmap - чем и что именно ты делаешь. Там есть
> несколько способов, от lookup-файла до алгоритма преобразования UID.Проблема решилась добавлением
idmap config * : default = yes
idmap config * : backend = tdb
idmap config * : range = 10000-11000
в [global]Спасибо за указание правильного направления.