URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2674
[ Назад ]
Исходное сообщение
"Авторизация в samba4"
Отправлено Downloader , 16-Май-16 17:45 
Здравствуйте.
Есть машина (FreeBSD 10.1) на которой работает samba 4.1.
Файловая система - ZFS.
Проблема при авторизации:
1. При входе с аналогичной машины сначала (с первой попытки) выдается "session setup failed: NT_STATUS_UNSUCCESSFUL",
а со второй попытки входит.
2. При входе с Win7, если вход осуществляется из под виндового аккаунта, который зерегистрирован в sambe, то первый раз входит с задержкой.
Если же аккаунт не зарегистрирован или не совпадает пароль, то выдается окно авторизации и ситуация аналогична входу с unix, т.е. с первого раза выдает "...возможно у вас нет прав на использование указанного ресурса..", а со второго входит.

Релевантная часть smb4.conf
Код:
[global]
   dos charset = cp866
   workgroup = exhold
   netbios name = server1
   server role = standalone
   security = user
   hosts deny = 0.0.0.0/0
   hosts allow = 127. 192.168.10.0/25 EXCEPT 192.168.10.0/28
#       Delete of CUPS messages (log.smbd)
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
   wins server = 192.168.10.98
   read only = no
   name resolve order = wins bcast
   local master = no
   create mask = 0760
   directory mask = 0770
# ZFS ACLs
    unix extensions = no
    nt acl support  = yes
    inherit acls    = no
    map acl inherit = yes
    vfs objects     = zfsacl
    nfs4:mode       = special
    nfs4:acedup     = merge
    nfs4:chown      = yes
[5_NOAP]
   path = /var/samba/Common/NOAP
   valid users = @NOAP
[6_NOAP_RI]
   path = /var/samba/Common/NOAP/NOAP_LRI
   valid users = @NOAP_RI

Использовалась Samba4.1.22 с опциями:
        ACL_SUPPORT    : on
        ADS            : on
        AD_DC          : on
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : on
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : on
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Вместо 4.1 поставил Samba4.3.3 со следующими опциями:
Options        :
        ACL_SUPPORT    : on
        ADS            : off
        AD_DC          : off
        AIO_SUPPORT    : on
        AVAHI          : off
        BIND910        : off
        BIND99         : off
        CUPS           : off
        DEBUG          : on
        DEVELOPER      : off
        DNSUPDATE      : off
        DOCS           : on
        EXP_MODULES    : off
        FAM            : on
        LDAP           : off
        MANPAGES       : off
        MDNSRESPONDER  : off
        NSUPDATE       : off
        PAM_SMBPASS    : off
        PTHREADPOOL    : on
        QUOTAS         : on
        SYSLOG         : on
        UTMP           : on

Проблема сохранилась.
Буду рад любой оказанной помощи.

Содержание
Сообщения в этом обсуждении
"Авторизация в samba4"
Отправлено Downloader , 16-Май-16 17:48 
В логах samba-сервера ничего нет - временно установил log level = 10 и снова обратился с serv-ex к server1 под пользователем Ermakova_AA
(smbclient //server1/6_NOAP_RI -U Ermakova_AA)
лог winbind - https://yadi.sk/i/ziQWeOALrkVEn.

Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.

"Авторизация в samba4"
Отправлено ACCA , 16-Май-16 22:45 
> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.

Походу да.
Разберись с idmap - чем и что именно ты делаешь. Там есть несколько способов, от lookup-файла до алгоритма преобразования UID.

"Авторизация в samba4"
Отправлено Downloader , 17-Май-16 12:33 
>> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Походу да.
> Разберись с idmap - чем и что именно ты делаешь. Там есть
> несколько способов, от lookup-файла до алгоритма преобразования UID.

SAMBA.ORG:
"Standalone Samba Server
A standalone Samba server is an implementation that is not a member of a Windows NT4 domain, a Windows 200X Active Directory domain, or a Samba domain.

By definition, this means that users and groups will be created and controlled locally, and the identity of a network user must match a local UNIX/Linux user login. The IDMAP facility is therefore of little to no interest, winbind will not be necessary, and the IDMAP facility will not be relevant or of interest. "

В конфиге про idmap ничего нет, но testparm выдает  idmap config * : backend = tdb (видимо по дефолту)

В rc.conf unix-машин прописаны разные домены.
Клиентские машины ни к какому домену не присоединены, просто поделены по рабочим группам.

Буду читать про idmap.

"Авторизация в samba4"
Отправлено Downloader , 17-Май-16 12:46 
> В rc.conf unix-машин прописаны разные домены.

Ошибся

server1.YYY.ZZ
serv-ex.XXX.YYY.ZZ
,т.е. serv-ex принадлежит к домену более низкого уровня, входящего в YYY.ZZ


"Авторизация в samba4"
Отправлено Downloader , 20-Май-16 16:12 
Причем пользователям регулярно заходящим на сервер (расшаренные папки)
заходить по два раза не требуется:
В unix "smbclient //server1/Shate -U User" запрашивает пароль и потом успешно заходит
В windows пароль вводит сама ОС.
Те же, кто заходит нерегулярно (критичный промежуток еще не определил, думаю измеряется днями) должны повторять вход по 2 раза (что в unix, что в windows)
"Авторизация в samba4"
Отправлено Downloader , 20-Июн-16 13:58 
>> Думаю проблема в NT_STATUS_NONE_MAPPED, но знающим людям виднее.
> Походу да.
> Разберись с idmap - чем и что именно ты делаешь. Там есть
> несколько способов, от lookup-файла до алгоритма преобразования UID.

Проблема решилась добавлением
idmap config * : default = yes
idmap config * : backend = tdb
idmap config * : range = 10000-11000
в [global]

Спасибо за указание правильного направления.