Проблема Samba и Windows

[dis123]

Есть Red Hat Linux 9, в нем расшаренны папки (настройки в smb.conf). Под Linuxom доступ к ним обеспечивается, т.е. вводишь smbclient -L hostname и все ok, все работает... Но когда кто-то из под Windows пытается зайти на етот комп, то ничего не получается, т.е. невозможно даже зайти на сам комп, хотя в сети он отображается...

[clx]

smb.conf в студию

[sergius]

А еще (пишу по памяти, названия могут немного отличаться, но там будет понятно):
/etc/nsswitch.conf
/etc/krb5.conf
/etc/pam.d/pam_login
/etc/pam.d/pam_ssh
И если есть /etc/pam.d/pam_samba

А заодно раскажи, используешь ли ты керберос/winbind? Или, может, ты собираешься каждого юзверя заводить отдельно?

Если чуханов дергаешь с сервера, то покажи вывод команд:
wbinfo -t
wbinfo -u
wbinfo -g

PS Не забудь указать версию самбы.

[Poor Fred]

Есть Red Hat Linux 9, в нем расшаренны папки (настройки в smb.conf). Под Linuxom доступ к ним обеспечивается, т.е. вводишь smbclient -L hostname и все ok, все работает... Но когда кто-то из под Windows пытается зайти на етот комп, то ничего не получается, т.е. невозможно даже зайти на сам комп, хотя в сети он отображается...

Попробуй включить шифрование паролей. Вроде так:

encrypt_password yes

А еще посмотри правила брандмауера. Может он и не пускает?

[Voland]

А домен в сети есть? Если есть, то добавлена ли самба в домен? Если самба не добавлена, то команда

Код: Выделить всё

net ads join -U имя_пользователя_домена

добавит машину в домен. После этого возникает вопрос: как настроена проверка безопасности (домен, юзер...)? Лучше всего выставить domen. Поставить доступ на шару всем пользователям. После этого можно настроить двусторонние доверительные отношения на контроллере домена для упрощенной авторизации и все должно заработать.

[_DmG_]

А домен в сети есть? Если есть, то добавлена ли самба в домен? Если самба не добавлена, то команда

Код: Выделить всё

net ads join -U имя_пользователя_домена

добавит машину в домен. После этого возникает вопрос: как настроена проверка безопасности (домен, юзер...)? Лучше всего выставить domen. Поставить доступ на шару всем пользователям. После этого можно настроить двусторонние доверительные отношения на контроллере домена для упрощенной авторизации и все должно заработать.

Приношу извинения...
Уважаемые, возможно я беспардонно вклиниваюсь, но у меня аналогичная проблема с членством в Win 2003 AD.
Пытаюсь выполнить
net ads join -U имя_пользователя_домена
и получаю "Аварийный останов" (пытаюсь уже 2-е сутки на FC4, samba-3.0-14-a2)

Using short domain name -- NTO
Joined 'LIN2' to realm 'NTO.RU'
а дальше (не перенаправляется вывод команды net в файл)
*** glibs detected *** net: free(): invalid pointer: 0x00df07f0 ***
далее - ===Memory map=== и в конце фраза- "Аварийный останов".

Смотрю в оснастке MMC на Win2003 контроллере домена - Lin2 появился в списке компьютеров, входящих в домен AD. Win XP заводятся в домен без проблем...

Но! Что делать дальше?
1. Пользователи из домена не регистрятся в Линухе (говорит проверь пароль, хотя их видно на экране регистрации в виде списка)
2. Линух не прописывается безопасно динамически в DNS зоне на Win2003 (secure updates)

Привожу файлы настройки. Может где грабельки? (комментарии и настройки взяты из инета)

[global]
unix charset=UTF-8
dos charset=cp866
display charset=cp1251

# Задаёт Kerberos realm, обычно совпадает с именем домена в
# верхнем регистре, например realm = MY.FIRM.COM
realm = NTO.RU

# Это обычно часть реалма до первой точки, например
# workgroup = MY
workgroup = NTO

# Тип домена - Active Directory.
security = ADS

# В случае Active Directory пароли всегда шифруются.
encrypt passwords = true

netbios name = Lin2
security = ADS
password server = *
allow trusted domains = yes
nt acl support = yes

add user script = /usr/sbin/useradd -d /home/domain/%u -g g600 -m\
-k /etc/skel_domain -s /bin/false %u

# Диапазон номеров локальных пользователей, который будет
# использован для динамического создания пользователей домена.
winbind uid = 10000-20000

# Диапазон номеров локальных групп пользователей, который будет
# использован для динамического создания групп пользователей
# домена.
winbind gid = 10000-20000

# Символ-разделитель, используемый для составления доменных имён
# пользователей и располагающийся между именем домена и именем
# пользователя.
# winbind separator = +

# Интервал времени (в секундах) между запросами winbind к PDC
# в целях синхронизации списков пользователей и групп.
winbind cache time = 10

# Шаблон имени домашних каталогов доменных пользователей,
# автоматически присваиваемых каждому пользователю. Сами каталоги,
# однако, динамически не создаются. Вместо переменой %D подставляется
# имя домена, а вместо %U подставляется имя пользователя.
template homedir = /home/%D/%U

# Командный интерпретатор, назначаемый по умолчанию для
# пользователей, авторизованных через winbindd.
template shell = /bin/bash

PS: как мне правильно выставить параметры в окне Аутентификации (Winbind, Kerberos или LDAP - чем пользоваться при работе с Win2003 AD)

[_DmG_]

В догонку...

На Win2003 контроллере домена увидел сообщения в журнале системы:

NetLogon = The session setup from the computer LIN2 failed to authenticate. The following error occurred:
Access is denied.

А перед ним:

KDC = While processing a TGS request for the target server host/localhost.localdomain, the account LIN2$@NTO.RU did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 2. The accounts available etypes were 23 -133 -128 3 1.

Получается, что мой Линух не может получить правильного билета Kerberos?
Куда податься, кому отдаться?

[Voland]

В догонку...

На Win2003 контроллере домена увидел сообщения в журнале системы:

NetLogon = The session setup from the computer LIN2 failed to authenticate. The following error occurred:
Access is denied.

А перед ним:

KDC = While processing a TGS request for the target server host/localhost.localdomain, the account LIN2$@NTO.RU did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 2. The accounts available etypes were 23 -133 -128 3 1.

Получается, что мой Линух не может получить правильного билета Kerberos?
Куда податься, кому отдаться?

А nnswitch.conf и krb5.conf посмотреть можно?

[_DmG_]

[quote]
А nnswitch.conf и krb5.conf посмотреть можно?
[quote]

nnswitch.conf:
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files winbind
rpc: files
services: files winbind
netgroup: files winbind
publickey: nisplus
automount: files winbind
aliases: files nisplus

krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = nto.ru
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[realms]
EXAMPLE.COM = {
kdc = kerberos.example.com:88
admin_server = kerberos.example.com:749
default_domain = example.com
}

NTO.RU = {
kdc = as2.nto.ru:88
admin_server = as2.nto.ru:749
kdc = *
}


[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

[Voland]

[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Добавь сюда

Код: Выделить всё

.nto.ru = NTO.RU
nto.ru = NTO.RU

И

Код: Выделить всё

NTO.RU = {... default_domain = nto.ru}

Добавь имя сервака и ip в /etc/resolve.conf и /etc/hosts
В smb.conf добавь
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
auth method = winbind
Попробуй поменять winbind uid = 10000-20000 и winbind пid = 10000-20000 на winbind uid = 15000-30000, winbind gid = 15000-30000 (мне, кстати, это помогло). Завтра выложу свои настройки, посмотришь, что к чему.

[_DmG_]

Добавил параметры как указано. Но...
1. auth method - нет такого параметра - testparm ругается.
2. Зачем прописывать в resolv имя и IP адрес контроллера домена? Они у меня определены от DHCP на 2003 серваке и записываются в этот файл автоматичеки. Плюс работает DNS... Т.е. ping по полному имени до контроллера домена проходит.
Ну, вобщем, результат всех телодвижений следующий (никак не врублюсь как можно скопировать в буфер содержимое терминального окна и вставить в виде текста в форум, поэтому - скриншоты...):

и продолжение:

Короче, получаем тот же результат.
У меня мысль - я пытаюсь зарулить Линух в домен Win 2003 Server SP1+все последние патчи. Может Самба просто не врубается в суть последних обновлений Microsoft?
Была ли у кого такая-же проблема? Поделитесь горем...

[Voland]

А если net rpc join ?
Насчет resolv - меньше будет бродкастовых запросов на разрешение имен.

[Voland]

Рабочие конфиги

[_DmG_]

А если net rpc join ?
Насчет resolv - меньше будет бродкастовых запросов на разрешение имен.

Попробовал выполнить

Код: Выделить всё

net rpc join

Получил сообщение о присоединении к домену. Без ошибок...
Но при переходе на любую станцию Windows получаю диалог аутентификации - т.е. я не получил билета Kerberos...
На сервере Win 2003 DC в логе безопасности написано, что я проверяюсь по NTLM.

Впрочем у меня это и так работало. Хочется же заходить на расшаренные ресурсы Windows без дополнительного ввода пароля.

И еще. В аутентификации Winbind при указании в Samba опции security=domain по кнопке "Вход в домен" у меня появлялось окно проверки пароля. Теперь при опции security=ADS данный диалог ни на что не реагирует (как бы виснет). А как у тебя?

Может в моем случае не следует использовать Winbind, а вместо него - Kerberos или LDAP? В каких случаях они используются?

[Voland]

У меня все нормально. В 11 номере Системного администратора за 2004 год была очень хорошая статья про настройку Самбы. Почерпнул для себя много интересного. http://www.samag.ru/img/uploaded/samag11(24)-2004.chm

[_DmG_]

У меня все нормально. В 11 номере Системного администратора за 2004 год была очень хорошая статья про настройку Самбы. Почерпнул для себя много интересного. http://www.samag.ru/img/uploaded/samag11(24)-2004.chm

Спасибо за ссылочку!
Сделал как написано -> Линух (FC3) зашел в домен и получил ключи... Но!
1. Пользователь домена с Линух станции при входе на ресурсы Windows станций вводит логин и пароль для каждой станции, что напрягает - ведь билет керберос же есть...
2. В файле system-auth написано:

Код: Выделить всё

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_winbind.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

и моя строчка с pam_winbind.so ... удалается после запуска программы Authentication, т.е. файл генерится автоматически.

Как решить эти 2 проблемы? Кто подскажет? Плиз...

[_DmG_]

В догонку...
В логе на Win 2003 DC при входе пользователя с Линуха создаются минимум 2 события:
1. Failed Audit (Account logon) -> Pre-authentication failed ...
2. Success audit (Logon/Logoff) -> Successful network logon...
Т.е. получается, что предварительная аутентификация не проходит, а потом дается билет Керберос на вход.
Насколько я понимаю этот процесс, то именно при предварительной аутентификации получается билет Керберос с которым пользователь в дальнейшем обращается к ресурсам Windows станций.

Может сравним ситуации с Самбой. У вас говорите работает. Может я торможу или чего-то непонимаю?

[sergius]

В догонку...
Может сравним ситуации с Самбой. У вас говорите работает. Может я торможу или чего-то непонимаю?

Не парь мозги!!!
Обнови самбу и все заработает. Твоя версия не всегда стабильно (я бы даже сказал - очень редко) работает с 2003 мастдаем.

[_DmG_]

Не парь мозги!!!
Обнови самбу и все заработает. Твоя версия не всегда стабильно (я бы даже сказал - очень редко) работает с 2003 мастдаем.

OK, не парю... :P Попробовал сделать тоже-самое на FC4 (Samba 3.0.14a-2).
В результате - я перестал видеть пользователей с домена в экране регистрации (Gnome со списком пользователей). Хотя, при вводе имени и пароля доменного пользователя, Линух начинает его пускать в систему (убирает экран входа), но выдает сообщение "Системный администратор заблокировал вашу учетную запись". После этого возвращает в экран регистрации.

PS: ранее я писал про аварийный останов при заруливании в домен

Код: Выделить всё

# net ads joun -U Администратор

Так вот он опять присутствует, хотя Линух в домен заруливается

Чего делать? Где снять блокировки?

[Voland]

Попробуй отредактировать файл /etc/pam.d/login в соответствии с этим документом.

[_DmG_]

Попробуй отредактировать файл /etc/pam.d/login в соответствии с этим документом.

С каким документом?
Вот мой login:

Код: Выделить всё

#%PAM-1.0
auth       required    pam_securetty.so
auth       required    pam_stack.so service=system-auth
auth       required    pam_nologin.so
account    required    pam_stack.so service=system-auth
password   required    pam_stack.so service=system-auth
# pam_selinux.so close should be the first session rule
session    required    pam_selinux.so close
session    required    pam_stack.so service=system-auth
session    optional    pam_console.so
# pam_selinux.so open should be the last session rule
session    required    pam_selinux.so multiple open

Что здесь неправильно?

[_DmG_]

В догонку... В файле /var/log/messages от входа пользователя прописываются такие строчки:

Код: Выделить всё

Nov 26 20:06:20 lin2 gdm(pam_unix)[2573]: authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=ag
Nov 26 20:06:20 lin2 pam_winbind[2573]: user 'ag' granted access
Nov 26 20:06:20 lin2 pam_winbind[2573]: user 'ag' granted access
Nov 26 20:06:21 lin2 gdm(pam_unix)[2573]: session opened for user ag by (uid=0)
Nov 26 20:06:21 lin2 gdm[2573]: gdm_slave_session_start: Группе разрешена запись в каталог "/home/NTO/ag".
Nov 26 20:06:21 lin2 gdm[2573]: gdm_auth_user_add: Группе разрешена запись в каталог "/home/NTO/ag".
Nov 26 20:06:21 lin2 gdm[3723]: session_child_run: Пользователю не разрешен вход в систему
Nov 26 20:06:22 lin2 gdm(pam_unix)[2573]: session closed for user ag

И еще, при завершении работы ПК пишется [ошибка] в пункте "Останов блокировок NFS". Может где здесь грабельки?

[Voland]

Странно, но у меня тоже слетела регистрация пользователей - выскакивает "Системный администратор заблокировал вашу учетную запись". Причем произошло это после того, как я положил клюц керберос на самбовскую машину. Пока не понял, в чем грабли.

[Voland]

Очень интересно, но после полной перестановки сабжа в домен я вошел на ура, равно, как и прошел авторизацию. Неужели Linux становится похож на Винду: после переустановки все работает?

[Voland]

При установке ключа Kerberos на машину с самбой слетает аутентификация. Сам проверил уже несколько раз. Поэтому не рекомендую это делать.

[all151]

Привет!

У меня такая же проблема, выскакивает сообщение "The systemadministrator has disabled your account!"

Очень интересно, но после полной перестановки сабжа в домен я вошел на ура, равно, как и прошел авторизацию. Неужели Linux становится похож на Винду: после переустановки все работает?

Что собственно вы переставляли?
Вообщето в сабже и Самба и Винда...

[Tokra]

т.е. невозможно даже зайти на сам комп, хотя в сети он отображается...

firewall есть? Если да, то, может, он не должным образом настроен?

[all151]

firewall отключен

[John Lynx]

Как вопрос-то решили?
Такая же проблема: при входе говорит, что "системный администратор заблокировал вашу учетную запись" и вываливается!
Что делать?