Kerberos+SAMBA+FreeBSD

[FoXKa]

в общем всё делаю по статье http://live.daemony.org/freebsd/samba-serv...p.html#more-507

проблема у меня с получением тикета....
не хочет получать и всё тут...
помогите разобраться с конфигом

у меня есть домен c dns именем скажем - domen.ru а NetBios именем UNIVERSAL
сервер фри имеет имя freebsd.domen.ru
актив директори на сервере ad01.domen.ru
как правильно должен выглядить конфиг krb5.conf для получения тикета?

у меня так:
поправьте плз

[libdefaults]
default_realm = UNIVERSAL
[realms]
UNIVERSAL = {
kdc = freebsd.domen.ru
admin_server = ad01.domen.ru
}
[domain_realm]
.domen.ru = UNIVERSAL
domen.ru = UNIVERSAL

[logging]
kdc = FILE:/var/log/kerb/krb5kdc.log
admin_server = FILE:/var/log/kerb/kadmin.log
default = FILE:/var/log/kerb/krb5lib.log

завёл пользователя root в AD с правом вносить в домен машины.

freebsd# kinit root
root@UNIVERSAL's Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm UNIVERSAL


в общем нужна помошь

[Ariasp]

у меня есть домен c dns именем скажем - domen.ru а NetBios именем UNIVERSAL
сервер фри имеет имя freebsd.domen.ru
актив директори на сервере ad01.domen.ru
как правильно должен выглядить конфиг krb5.conf для получения тикета?

у меня так:
поправьте плз

[libdefaults]
default_realm = UNIVERSAL
[realms]
UNIVERSAL = {
kdc = freebsd.domen.ru
admin_server = ad01.domen.ru
}
...............................................

Указывать клиента в качестве KDC - это хорошая шутка. Вобщем, следует сделать исправления:

Код: Выделить всё

[libdefaults]
default_realm = DOMEN.RU
[realms]
DOMEN.RU = {
kdc = ad01.domen.ru
admin_server = AD01.DOMEN.RU
}
[domain_realm]
.domen.ru = DOMEN.RU
domen.ru = DOMEN.RU

[FoXKa]

сделал как вы сказали... теперь другая ошибка вылазите....

[libdefaults]
default_realm = DOMEN.RU
[realms]
DOMEN.RU = {
kdc = ad01.domen.ru
admin_server = ad01.DOMEN.RU
}
[domain_realm]
.domen.ru = DOMEN.RU
domen.ru = DOMEN.RU

[logging]
kdc = FILE:/var/log/kerb/krb5kdc.log
admin_server = FILE:/var/log/kerb/kadmin.log
default = FILE:/var/log/kerb/krb5lib.log



freebsd# kinit root
root@DOMEN.RU's Password:
kinit: krb5_get_init_creds: Clients credentials have been revoked
freebsd#

как лечить я не знаю... уже облазил поисковики...

[Ariasp]

сделал как вы сказали... теперь другая ошибка вылазите....

freebsd# kinit root
root@DOMEN.RU's Password:
kinit: krb5_get_init_creds: Clients credentials have been revoked
freebsd#

А у вас в AD есть пользователь root? Если есть - не заблокирован ли он.

[FoXKa]

спасибо... были траблы с учёткой...
зашёл под другой всё заработало
Your password/account will expire at Wed Mar 18 14:23:41 2009

kinit: NOTICE: ticket renewable lifetime is 1 week
freebsd#

[FoXKa]

в общем трабла такая... система не идентифицирует пользователей с актив директори после перезагрузки системы:

freebsd# id admindomen
id: admindomen: no such user
и так со всеми пользователями...

хотя до перезагрузки всё работает:

freebsd# net join -U admindomen
admindomen's password:
Using short domain name -- UNIVERSAL
Joined 'FREEBSD' to realm 'DOMEN.RU'

freebsd# id admindomen
uid=10002(admindomen) gid=10005(domain users) groups=10005(domain users)

как проверить внеслась ли машина в домен или нет... нормально ли?!
как проверить на работоспособность?


и не могу залогинится под виндой на самбу под доменным пользователем...

[Ariasp]

система не идентифицирует пользователей с актив директори после перезагрузки системы:

Проблема из области Samba + AD
Как минимум нужно видеть smb.conf и nsswitch.conf.

[FoXKa]

Как минимум нужно видеть smb.conf и nsswitch.conf.

вот конф:

Код: Выделить всё

more /usr/local/etc/smb.conf
printable                = no
use client driver       = no

[data]
comment                 = Shares for Documents
path                    = /filebox/share/
read list               = "@UNIVERSAL\Domain Users"
write list              = "@UNIVERSAL\Domain Users"
admin users             = "@UNIVERSAL\Admin Users"

[global]
workgroup       = UNIVERSAL
security        = ADS
password server = domen.ru
realm           = domen.ru
netbios name    = FREEBSD
server string   = SAMBA Server
log file        = /var/log/samba/%m.%U.log
max log size    = 50000
idmap uid       = 10000-20000
idmap gid       = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset    = koi8-r
dos charset     = 866
template homedir = /shares/mail/%U

[printers]
comment                 = All Printers
path                    = /var/spool/samba
# browseable            = No
public                  = No
read only               = No
create mask             = 0660
directory mask          = 0770
inherit owner           = yes
inherit acls            = yes
inherit permissions     = yes
map acl inherit         = yes
locking                 = no

Код: Выделить всё

freebsd# more /etc/nsswitch.conf
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

[Ariasp]

[global]
workgroup = UNIVERSAL
security = ADS
password server = domen.ru
realm = domen.ru
netbios name = FREEBSD
server string = SAMBA Server
log file = /var/log/samba/%m.%U.log
max log size = 50000
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
template homedir = /shares/mail/%U

На мой взгляд, в этой секции нужны такие изменения:
password server = ad01.domen.ru
--> или указать ip-адрес, если не настроено разрешение имён;
а также добавить следующие директивы:
encrypt passwords = yes
....................................
winbind separator = \\
....................................
winbind cache time = 30
.................................... (дефолтные 5 минут имхо много)
winbind enum users = yes
winbind enum groups = yes
..................................... (это к группе настроек idmap uid = ....)

далее - winbindd в автостарт + релоад самбе и винбинду

[izen.fire]

http://www.samag.ru/cgi-bin/go.pl?q=articles;n=02.2007;a=05

[FoXKa]

http://www.samag.ru/cgi-bin/go.pl?q=articles;n=02.2007;a=05

спасибо за статью. оч популярно всё описано. уловил пару новых фич для себя... НО проблема осталась на том же месте...
самба запушене но авторизацию виндовую не воспринимает... т.е не пускает под виндовыми пользователями...
ещё увидел при загрузки фряхи вот такие ошибки...
файл в атаче.
Гуру что делать?

[FoXKa]

поменял security = DOMAIN на security = ADS
начал видеть групы и пользователей домена с помощью команд wbinfo -g и wbinfo -u
но когда обращаюсь к самому серваку(start\run в нём \\freebsd) он выводит виндовое окно авторизации и не хочет авторизоваться под каким либо пользователем...
делал всё по статье.... вроде ни чего не упустил...
мож какауюто опцию добавить надо что бы авторизация к самбе проходила? подскажите плз...

[Poor Fred]

но когда обращаюсь к самому серваку(start\run в нём \\freebsd) он выводит виндовое окно авторизации и не хочет авторизоваться под каким либо пользователем...

А shell-то у пользователей какой?

Код: Выделить всё

getent passwd

в студию.

[data]
read list = "@UNIVERSAL\Domain Users"
write list = "@UNIVERSAL\Domain Users"
admin users = "@UNIVERSAL\Admin Users"

Это еще зачем? При чем тут домен-то?

[FoXKa]

read list = "@UNIVERSAL\Domain Users"
write list = "@UNIVERSAL\Domain Users"
admin users = "@UNIVERSAL\Admin Users"
Это еще зачем? При чем тут домен-то?

ну мне нужна доменная авторизация знаете ли...
не просто САМБА а САМБА+AD
по этому и вписал эти строки

getent passwd

root:$1$A0YMOQj2$eaPRQVQ5syXjsS4Uh3lo40:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
messagebus:*:556:556:D-BUS Daemon User:/nonexistent:/sbin/nologin
polkit:*:562:562:PolicyKit Daemon User:/nonexistent:/sbin/nologin
haldaemon:*:560:560:HAL Daemon User:/nonexistent:/sbin/nologin
foxka:$1$Y8btNJu7$CqiYrj0aRA0b//VZWJL0F/:1001:1001:User &:/home/foxka:/bin/sh
cups:*:193:193:CUPS Owner:/nonexistent:/usr/sbin/nologin

[Ariasp]

getent passwd
........................................

а что у нас выдаёт команда ps aux|grep winb
-- есть подозрение, что элементарно не запущен винбинд;
это первое; второе - на DC русская винда или английская;
наконец третье - каков winbind separator в конфиге самбы

[FoXKa]

getent passwd
........................................

а что у нас выдаёт команда ps aux|grep winb
-- есть подозрение, что элементарно не запущен винбинд;
это первое; второе - на DC русская винда или английская;
наконец третье - каков winbind separator в конфиге самбы

по порядку:
1)
freebsd# ps aux|grep winb
root 667 0.0 0.6 9612 6200 ?? Is 10:55AM 0:00.25 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root 693 0.0 0.6 9584 6368 ?? I 10:55AM 0:00.32 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root 712 0.0 0.5 8848 4812 ?? I 10:55AM 0:00.01 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root 738 0.0 0.6 9548 6144 ?? I 10:55AM 0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf

2) винда англицкая

3)winbind separator нету у меня в конфиге вообще....
по дефолту пишет : winbind separator = \


продолжил копать:
в дамеске выпало вот что при загрузки сервера:

Mar 26 16:39:36 freebsd winbindd[666]: [2009/03/26 16:39:36, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
Mar 26 16:39:36 freebsd winbindd[666]: initialize_winbindd_cache: clearing cache and re-creating with version number 1
Mar 26 16:39:37 freebsd smbd[662]: [2009/03/26 16:39:37, 0] passdb/pdb_interface.c:guest_user_info(256)
Mar 26 16:39:37 freebsd smbd[662]: guest_user_info: Unable to locate guest account []!
Mar 26 16:39:37 freebsd smbd[662]: [2009/03/26 16:39:37, 0] smbd/server.c:main(1057)
Mar 26 16:39:37 freebsd smbd[662]: ERROR: failed to setup guest info.

[Ariasp]

winbind separator нету у меня в конфиге вообще....
по дефолту пишет : winbind separator = \

а я наверно просто так неделю назад советовал
winbind separator = \\
сепаратор ладно, возможно во фре эта настройка уже не так важна; но если и директивы
winbind enum ......... не указаны, то чему собственно удивляться
;также - в nsswitch.conf следует закомментировать строки group_compat: nis и passwd_compat: nis;
после релоада самбы и винбинда -- смотрим отличия выводов getent passwd и getent group

[FoXKa]

winbind separator нету у меня в конфиге вообще....
по дефолту пишет : winbind separator = \

а я наверно просто так неделю назад советовал
winbind separator = \\
сепаратор ладно, возможно во фре эта настройка уже не так важна; но если и директивы
winbind enum ......... не указаны, то чему собственно удивляться
;также - в nsswitch.conf следует закомментировать строки group_compat: nis и passwd_compat: nis;
после релоада самбы и винбинда -- смотрим отличия выводов getent passwd и getent group

вот мой конфиг обновлённый:

[global]
dos charset = cp866
unix charset = koi8-r
display charset = koi8-r
workgroup = UNIVERSAL
realm = HALYKBANK.NB
server string = SAMBA Server
security = ADS
password server = halykbank.nb
encrypt passwords = yes
log file = /var/log/samba/%m.%U.log
max log size = 50000
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /shares/mail/%U
winbind use default domain = Yes
winbind enum users = yes
winbind enum groups = yes
socket options = TCP_NODELAY
auth methods = winbind
winbind separator = \\
[data]
comment = Shares for Documents
path = /filebox/share/
username = root
read only = No
available = No
read list = "@UNIVERSAL\Domain Users"
write list = "@UNIVERSAL\Domain Admins"
create mode = 666
directory mode = 666
create mask = 0666

[Test]
comment = Test Share
path = /test_share/
read only = No
guest ok = Yes
available = No


как ни старнно но мне ничего это не помогло...
всё равно в дамесге валится эти ошибки


Mar 26 17:41:38 freebsd winbindd[661]: [2009/03/26 17:41:38, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
Mar 26 17:41:38 freebsd winbindd[661]: initialize_winbindd_cache: clearing cache and re-creating with version number 1
Mar 26 17:43:39 freebsd winbindd[661]: [2009/03/26 17:43:39, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 26 17:43:39 freebsd winbindd[661]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

хз что делать
тем куча... народ токо ругается а результата нету (

http://www.bsdportal.ru/viewtopic.php?p=98...36b73300cd270d6
http://www.opennet.ru/openforum/vsluhforumID14/1400.html
http://forum.lissyara.su/viewtopic.php?f=8&t=16456

[Poor Fred]

.

[Poor Fred]

Mar 26 17:41:38 freebsd winbindd[661]: [2009/03/26 17:41:38, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
Mar 26 17:41:38 freebsd winbindd[661]: initialize_winbindd_cache: clearing cache and re-creating with version number 1

Это ничего не значит, это нормально. А вот это:

Mar 26 17:43:39 freebsd winbindd[661]: [2009/03/26 17:43:39, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 26 17:43:39 freebsd winbindd[661]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm[code]

Означает проблемы либо с конфигами, либо с авторизацией на KDC. Ну а spnego говорит о том, что надо бы в самбовый конфиг добавить

Код: Выделить всё

use spnego = yes

Точно синтаксис в мане посмотри.

Ну и на всякий случай, убей тикет, потом получи заново и еще раз войди в домен.

А сепаратор зря трогал. У меня с дефолтным все отлично работает.

[Ariasp]

kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

В этой фразе всё чётко сказано - винбинд не может найти KDC.
Возвращаемся в начало темы - раз ты поменял в конфиге самбы realm, то соответственным образом должен быть изменён и конфиг керберос-клиента krb5.conf. При этом если указываешь password server (он же KDC, он же контроллер AD) по имени, линукс-тачка должна уметь правильно разрешать его в ай-пи адрес, неважно через ДНС или из /etc/hosts. Сомневаюсь, что на ping halykbank.nb ответит контроллер AD.
Соответственно после правки krb5.conf, самба-сервер должен быть включён в новый домен (net ads join .....). (Вообще говоря, перед включением в новый домен неплохо сначала посмотреть
net ads status
и попытаться корректно выйти из прежднего домена net ads leave .........)

[FoXKa]

насчёт пинга - у меня 3 домен контролера... и имеется альяс на них вот смотрите:

Код: Выделить всё

freebsd# ping halykbank.nb
PING halykbank.nb (172.26.60.11): 56 data bytes
64 bytes from 172.26.60.11: icmp_seq=0 ttl=126 time=1.516 ms
64 bytes from 172.26.60.11: icmp_seq=1 ttl=126 time=0.988 ms
^C
--- halykbank.nb ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.988/1.252/1.516/0.264 ms
freebsd# nslookup halykbank.nb
Server:         172.24.60.26
Address:        172.24.60.26#53

Name:   halykbank.nb
Address: 172.24.60.26
Name:   halykbank.nb
Address: 172.26.60.39
Name:   halykbank.nb
Address: 172.26.60.11

Делаю всё заного... убиваю старый ключь.
затем пытаюсь выйти с домена.... получаю ругательства:

Код: Выделить всё

freebsd# net ads leave pavelkr%Rhtcnmzyjd321
foxka's password:
[2009/03/27 09:23:44, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password foxka@HALYKBANK.NB failed: Client not found in Kerberos database
[2009/03/27 09:23:44, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password foxka@HALYKBANK.NB failed: Client not found in Kerberos database
[2009/03/27 09:23:44, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password foxka@HALYKBANK.NB failed: Client not found in Kerberos database

далее:

Код: Выделить всё

freebsd# kinit -p pavelkr
pavelkr@HALYKBANK.NB's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
freebsd# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: pavelkr@HALYKBANK.NB

  Issued           Expires          Principal
Mar 27 09:26:40  Mar 27 19:24:18  krbtgt/HALYKBANK.NB@HALYKBANK.NB
freebsd# net ads join -U pavelkr%Rhtcnmzyjd321
Using short domain name -- UNIVERSAL
DNS update failed!
Joined 'FREEBSD' to realm 'HALYKBANK.NB'

как бы в домене но чёт ругается на обновление днс...

проверяю

Код: Выделить всё

freebsd# wbinfo -t
checking the trust secret via RPC calls succeeded

на команды wbinfo -g и wbinfo -u показывает доменных пользуков и группы.

теперя что касается конфигов.

маленькая предыстория - у нас главное доменное имя имеет halykbank.nb а NetBiosкое имя оно имеет UNIVERSAL
bf01v03.halykbank.nb - это главный домен контролер.
pavelkr - это моя доменная учётка с правами на внесение компов в домен.

теперя выкладываю конфиги как они есть на сей момент:

krb5.conf

Код: Выделить всё

[libdefaults]
default_realm = HALYKBANK.NB
[realms]
HALYKBANK.NB = {
kdc = bf01v03.halykbank.nb
admin_server = BF01V03.HALYKBANK.NB
}
[domain_realm]
.halykbank.nb = HALYKBANK.NB
halykbank.nb = HALYKBANK.NB

[logging]
kdc = FILE:/var/log/kerb/krb5kdc.log
admin_server = FILE:/var/log/kerb/kadmin.log
default = FILE:/var/log/kerb/krb5lib.log

smb.conf

Код: Выделить всё

# Samba config file created using SWAT
# from 172.24.66.101 (172.24.66.101)
# Date: 2009/03/26 10:11:08

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = UNIVERSAL
        realm = HALYKBANK.NB
        server string = SAMBA Server
        security = ADS
        password server = halykbank.nb
        encrypt passwords = yes
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /shares/mail/%U
        winbind use default domain = Yes
        winbind enum users = yes
        winbind enum groups = yes
        socket options = TCP_NODELAY
        auth methods = winbind
        winbind separator = \\
        use spnego = yes
[data]
        comment = Shares for Documents
        path = /filebox/share/
        username = root
        read only = No
        available = No
        read list = "@UNIVERSAL\Domain Users"
        write list = "@UNIVERSAL\Domain Admins"
        create mode = 666
        directory mode = 666
        create mask = 0666

[Test]
        comment = Test Share
        path = /test_share/
        read only = No
        guest ok = Yes
        available = No

nsswitch.conf

Код: Выделить всё

group: files winbind
#group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
#passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

resolv.conf

Код: Выделить всё

search halykbank.nb
nameserver 172.24.60.26
nameserver 172.26.60.11

что скажете ?

[Poor Fred]

что скажете ?

А ты?

на команды wbinfo -g и wbinfo -u показывает доменных пользуков и группы.

Смотри shell у доменных пользователей. Если он /sbin/nologin, то чему удивляться.
Shell тоже задается в smb.conf.

[FoXKa]

Смотри shell у доменных пользователей. Если он /sbin/nologin, то чему удивляться.
Shell тоже задается в smb.conf.

не понял тебя... а можно по подробней ? а какой шел должен быть? раскройте мысль плз!

[Poor Fred]

Смотри shell у доменных пользователей. Если он /sbin/nologin, то чему удивляться.
Shell тоже задается в smb.conf.

не понял тебя... а можно по подробней ? а какой шел должен быть? раскройте мысль плз!

Тоже не понял. Тебе нужно, чтобы юзеры заходили? Или что? Какой вопрос-то был? У тебя вроде в домен Фря вошла. А дальше что не получается?

Кстати, чтобы не ругалась на ДНС занеси ПДК в /etc/hosts.

[FoXKa]

Тоже не понял. Тебе нужно, чтобы юзеры заходили? Или что? Какой вопрос-то был? У тебя вроде в домен Фря вошла. А дальше что не получается?

Кстати, чтобы не ругалась на ДНС занеси ПДК в /etc/hosts.

вопрос в следующем... фря в доемн вошла... но на сам САМБА сервер доменные пользователи авторизоваться так и не могут...
в атаче картинка злосчастная

и что ты говорил насчёт доменного шела ?
на счёт днс - что такое ПДК ?

[Ariasp]

[data]
comment = Shares for Documents
path = /filebox/share/
username = root
read only = No
available = No
read list = "@UNIVERSAL\Domain Users"
write list = "@UNIVERSAL\Domain Admins"
create mode = 666
directory mode = 666
create mask = 0666

[Test]
comment = Test Share
path = /test_share/
read only = No
guest ok = Yes
available = No

А теперь объясни, зачем ты в настройках шар указываешь директиву available = No.
Из мана:
available (S)

This parameter lets you "turn off" a service. If available = no, then ALL attempts to connect to the
service will fail. Such failures are logged.

Default: available = yes
Помочь перевести?

Смотри shell у доменных пользователей. Если он /sbin/nologin, то чему удивляться.
Shell тоже задается в smb.conf.

не понял тебя... а можно по подробней ? а какой шел должен быть? раскройте мысль плз!

Забей, реальный шелл будет нужен, если есть задача логиниться на никс-сервер с учёткой из AD по ssh, из консоли и т.п.. На доступ к самба-шарам он не влияет.

[FoXKa]

[data]
comment = Shares for Documents
path = /filebox/share/
username = root
read only = No
available = No
read list = "@UNIVERSAL\Domain Users"
write list = "@UNIVERSAL\Domain Admins"
create mode = 666
directory mode = 666
create mask = 0666

[Test]
comment = Test Share
path = /test_share/
read only = No
guest ok = Yes
available = No

А теперь объясни, зачем ты в настройках шар указываешь директиву available = No.
Из мана:
available (S)

This parameter lets you "turn off" a service. If available = no, then ALL attempts to connect to the
service will fail. Such failures are logged.

Default: available = yes
Помочь перевести?

спасибо этот косяк я исправил! но результат тот же...
не пускает под доменным пользуком и в мессадже сыпит:

Код: Выделить всё

Mar 27 14:50:06 freebsd winbindd[661]: [2009/03/27 14:50:06, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
Mar 27 14:50:06 freebsd winbindd[661]:   initialize_winbindd_cache: clearing cache and re-creating with version number 1
Mar 27 14:54:55 freebsd smbd[820]: [2009/03/27 14:54:55, 0] lib/util_sock.c:write_data(562)
Mar 27 14:54:55 freebsd smbd[820]:   write_data: write failure in writing to client 172.24.132.71. Error Broken pipe
Mar 27 14:54:55 freebsd smbd[820]: [2009/03/27 14:54:55, 0] lib/util_sock.c:send_smb(761)
Mar 27 14:54:55 freebsd smbd[820]:   Error writing 4 bytes to client. -1. (Broken pipe)
Mar 27 14:55:28 freebsd winbindd[661]: [2009/03/27 14:55:28, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 27 14:55:28 freebsd winbindd[661]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Mar 27 14:56:04 freebsd winbindd[661]: [2009/03/27 14:56:04, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 27 14:56:04 freebsd winbindd[661]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Mar 27 14:56:31 freebsd winbindd[661]: [2009/03/27 14:56:31, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 27 14:56:31 freebsd winbindd[661]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

[FoXKa]

Народ помогите победить зверя... я на так и не победил его... без вас думаю не разберусь (

[Poor Fred]

Народ помогите победить зверя... я на так и не победил его... без вас думаю не разберусь (

Попробуй в smb.conf авторизацию не ADS, а DOMAIN, и в домен войти не net ads join ..., а net rpc join ....

на счёт днс - что такое ПДК ?

=PDC, Primary Domain Controller.