The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"W2K3 ADS + Samba 3.0.11"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [ Отслеживать ]

"W2K3 ADS + Samba 3.0.11"  +/
Сообщение от poperek email(ok) on 28-Фев-05, 17:37 
Имеется AD контроллер на 2003 и Linux-сервер с samba 3.0.11, на котором необходимо сделать файловый сервер. Все делаем по инструкции, все чисто-гладко, пока дело не доходит до работы с группами. При появлении в smb.conf строки типа valid users=@"DOMAIN\Domain Users" самба перестает пускать на ресурс и в логах пишет:

log.smbd=============
[2005/02/28 17:08:11, 2] smbd/service.c:make_connection_snum(311)
  user 'DOMAIN\user' (from session setup) not permitted to access this share (public)
log.winbindd=============
[2005/02/28 17:18:05, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(299)
  group Domain Users in domain DOMAIN does not exist

проверяем: #wbinfo -g
...
...
DONJUST\domain users
...

все вроде на месте.

комментируем valid users, заходим на ресурс, создаем каталог и проверяем владельца:
Имя владельца: DOMAIN\user
Имя группы: 10000 <--??? Не видит название группы?

Мой smb.conf:

[global]
unix charset = KOI8-R
dos charset = CP866
workgroup = DOMAIN
netbios name = BARS
server string = File Server
security = ADS
realm = DOM.LOCAL
password server = *
encrypt passwords = yes
allow trusted domains = no
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 0
preferred master = no
local master = no
domain master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
use spnego = yes
client use spnego = yes
log level = 2

[public]
path = /data/public
valid users = @"DOMAIN\Domain Users"
read only = no

Кто-нибудь сталкивался? Варианты решения? Заранее благодарен.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "W2K3 ADS + Samba 3.0.11"  +/
Сообщение от poperek email(ok) on 28-Фев-05, 20:49 
да, и еще не проходит проверку wbinfo -t, пишет:

checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "W2K3 ADS + Samba 3.0.11"  +/
Сообщение от новичок в линухе email on 29-Мрт-05, 01:19 
Обязательно отруби на 2003 серваке ЛДАП реквае сайнинг политиках безопасности и контроллера и домена

имел то же горе..
вывел линух из адс, в smb.conf оставил только строки с вибиндом
# Global parameters
[global]
    security = ads
    workgroup = KIT
    realm = KIT.ZSU.ZP.UA
    update encrypted = Yes
    os level = 32
    preferred master = No
    local master = No
    domain master = No
    dns proxy = No
    wins server = 10.1.100.25
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind cache time = 10
    winbind enable local accounts = Yes
    winbind nested groups = Yes
    winbind use default domain = yes


в krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = KIT.ZSU.ZP.UA
[realms]
KIT.ZSU.ZP.UA = {
  default_domain = kit.zsu.zp.ua
  admin_server = kit-server.kit.zsu.zp.ua
  kdc = kit-server.kit.zsu.zp.ua
  kdc = 10.1.100.39
}

[domain_realm]
kit.zsu.zp.ua = KIT.ZSU.ZP.UA
.kit.zsu.zp.ua = KIT.ZSU.ZP.UA


[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

#service smb stop
#service winbind stop
#kinit Administrator
#net ads join -U Administrator
#service smb start
#service winbind start

все остальное по классике причем не рекомендуют:
use spnego = yes ( лучше но)
client use spnego = yes
у себя вооще закоментировал. Когда отработал wbinfo -t
стал дописывать в конфу самбы по вкусу
не хило бы
#getent group
#getent passwd

в /etc/pam.d/login

#%PAM-1.0
auth       required    pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required    pam_stack.so service=system-auth
auth       required    pam_nologin.so

account    sufficient   /lib/security/pam_winbind.so
account    required    pam_stack.so service=system-auth

password   required    pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session    required    pam_selinux.so close
session    required    pam_stack.so service=system-auth
session    optional    pam_console.so
# pam_selinux.so open should be the last session rule
session    required    pam_selinux.so multiple open

в /etc/pam.d/samba

#%PAM-1.0
auth       required    pam_nologin.so
auth       required    pam_stack.so service=system-auth
auth       sufficient   pam_winbind.so

account    sufficient   pam_winbind.so
account    required    pam_stack.so service=system-auth
session    required    pam_stack.so service=system-auth
password   required    pam_stack.so service=system-auth

успехов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "W2K3 ADS + Samba 3.0.11"  +/
Сообщение от Студент (??) on 17-Окт-09, 18:50 
>>новичок в линуксе

Евгений Эдуардович, залогинтесь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру