Проблемы с вводом Samba в домен Win 2003

[Маслов Д. А.]

Задача: Необходимо включить сервер под управлением UnixWare в домен Windows 2003
Домен: MYDOMAIN.MYFIRM.RU
Контроллер домена:alfasm.mydomain.myfirm.ru
Подключаемый сервер: reserv

Выполненные действия:
1. Установлен Maintance Pack 3
2. Установлен Samba Supplement for UnixWare 7.1.4
3. Сконфигурирован файл настройки Kerberos.
Он имеет вид:

Код: Выделить всё

[libdefaults]
        default_realm = MYDOMAIN.MYFIRM.RU
    clockskew = 300
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }

[realms]
    MYDOMAIN.MYFIRM.RU = {
        kdc = alfasm.mydomain.myfirm.ru
    }
    OTHER.REALM = {
        v4_instance_convert = {
            kerberos = kerberos
            computer = computer.some.other.domain
        }
    }
[domain_realm]
    .my.domain = MY.REALM

4. Выполнена команда kinit <имя_пользователя_ad> .
Введен пароль.
В результате получен билет.
5. Настроен файл /etc/samba/smb.conf
Он имеет следующий вид.

Код: Выделить всё

# Samba config file created using SWAT
# from ()
# Date: 2007/12/25 15:49:27

[global]
    workgroup = MYDOMAIN
    netbios name = reserv
    realm = MYDOMAIN.MYFIRM.RU
    password server = alfasm.mydomain.myfirm.ru
    server string = Reserv Server
    passdb backend = tdbsam
    security = ADS
    auth methods = winbind
    encrypt passwords = Yes
    template homedir = /home2/%U
    paranoid server security = No
    load printers = No
    show add printer wizard = No
    template shell = /bin/bash
    idmap uid = 15000-20000
    idmap gid = 15000-20000
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain =Yes
    winbind nested groups = No
    winbind refresh tickets = Yes
    case sensitive = No
    log file = /var/log/samba/log.smbd-%m
     smb passwd file = /etc/samba/private/smbpasswd
    log level = 4
    ldap ssl = no
    hide unreadbable = Yes
[homes]
    comment = Home Directories for %u
    read only = No
    browseable = Yes

[Public]
    comment = Public Direcroty
    path = /home2
    valid users = MYDOMAIN\user
[Proba]
        comment = Test Directory
    guest ok = Yes
    path = /home2/proba

6. Выполнена команда
net ads join -U <администратор_домена>
В машина вошла в домен. Появилась в оснастке Пользователи и компьютеры AD и в сетевом окружении.
(Так же пробовалась команад net rpc join -S alfasm.mydomain.myfirm.ru -U <администратор_домена> выполнена
была так же успешно.
7. Запущен winbind. Для этого выполнена команда winbindd.
8. Проведена проверка пользователей домена wbinfo -u, wbinfo -g. Получены списки пользователей и групп домена.
9. Изменен файл nsswitch.conf.
Он имеет вид:

Код: Выделить всё

passwd:    winbind    files
group:    winbind    files
shadow:    winbind    files
iaf:    winbind    files

10. Для пробы выполнена команда chown MYDOMAIN\\user /home2/proba. Команда выполняется успешно. Владелец директории успешно изменяется на MYDOMAIN\\user. Если указывать пользователя которого нет в домене, то выдается ошибка, что такого
пользователя не существует.
10. Запущен smbd и nmbd.
11. При попытке зайти через сетевое окружение на компьютер под UnixWare как правило выдает сообщение об ошибке, пришет, что данная учетная запись не имеет права доступа к компьютеру. Если обращаться к компьютеру через ip адресс, то есть в проводнике windows набрать в строке адресса \\192.xxx.xxx.xxx, происходит
вход на компьютер с самбой. При попытке обращения к ресурсам выдает запрос на ввод пароля учетной записи гость. Если для ресурса указана опция guest ok = yes, то доступ к ресурсу осуществляется. Так же интересно, что в ресурсах отображается папка с именем доменного пользователя от имени, которого осуществлен вход. То есть если пользователь MYDOMAIN\user, то в результате получаем следующие ресурсы public, proba, user.
12. Введено изменение в PAM модуль Samba теперь имеет следующий вид:

Код: Выделить всё

#ident    "@(#)opensrc:src/samba/SCO/samba.pam /main/uw714mp/2"
auth    sufficient    /usr/lib/security/pam_winbind.so
auth    requisite /usr/lib/security/pam_unix.so nullok
account    sufficient    /usr/lib/security/pam_winbind.so
account    requisite /usr/lib/security/pam_unix.so nullok
password    requisite /usr/lib/security/pam_unix.so
session    requisite /usr/lib/security/pam_unix.so

13. Получить доступ к ресурсам всеравно не удается.

Вопрос: Из - за чего может быть такое глючное поведение самбы? Где допущена ошибка? И по возможности правильное решение входа samba в домен Win 2003?

[sydenis]

У меня сейчас та же проблема на Centos 5.1. Предполагаю, что дело настройках /etc/pam.d/login
как-то там надо правильно последовательность расставить... пока сам не разбрался
см. http://www.samba.org.ua/articles/?section=...p;articleid=104

[Маслов Д. А.]

У меня сейчас та же проблема на Centos 5.1. Предполагаю, что дело настройках /etc/pam.d/login
как-то там надо правильно последовательность расставить... пока сам не разбрался
см. http://www.samba.org.ua/articles/?section=...p;articleid=104

Я изменения в PAM модуль самбы внес. Насколько я полагаю изменения в него уже внесены в Linux, на UnixWare пришлось вносить изменения вручную. Конкретные изменения нашел на каком-то англоязычном форуме. Насчет внесения изменения в другие PAM модули /etc/pam.d/login, то эти изменения будут применяться если Вы хотите войти на компьютер под управлением *nix под учетной записью домена. Пока лично передо мной такой задачи не стоит хотя ради интереса попробовать думаю стоит.

[sydenis]

Я изменения в PAM модуль самбы внес. Насколько я полагаю изменения в него уже внесены в Linux, на UnixWare пришлось вносить изменения вручную.

мне наоборот пока не встречалась самба, которая на winbind сама настраивалась бы - тоже всё руками
самбовский пам модуль я поправил так как было написано у меня в man winbind - один хрен не работает...
может нужно ещё делать всякие сопоставления групп типа
net groupmap add rid=513 ntgroup="Domain Users" unixgroup=users ??
правда мне и это не помогло.. а у вас там получилось в конце-концов?

[Маслов Д. А.]

Да! Только, что удалось решить эту проблему.
Проблема была была на самом деле очень глупая. С диска Samba Supplement for UnixWare 7.1.4
установились все пакеты кроме Samba, соответсвенно версия самбы осталась старая. Сейчас переустановил самбу все заработало!
А Вы Kerberos настроели, билет получаете? Доменных пользователей видите?

[Маслов Д. А.]

Выкладываю текущий рабочий конфиг

# Samba config file created using SWAT
# Date: 2007/12/25 15:49:27

[global]
workgroup = MYDOMAIN
netbios name = bis-reserv
os level = 8
realm = MYDOMAIN.MYFIRM.RU
password server = alfasm.mydomain.myfirm.ru
server string = Reserv BIS Server
security = ADS
auth methods = winbind
encrypt passwords = Yes
template homedir = /home2/%U
paranoid server security = No
load printers = No
show add printer wizard = No
template shell = /bin/bash
idmap uid = 15000-20000
idmap gid = 15000-20000
winbind enum users = Yes
winbind enum groups = Yes
case sensitive = No
log file = /var/log/samba/log.smbd-%m
smb passwd file = /etc/samba/private/smbpasswd
log level = 3
client NTLMv2 auth = Yes
[homes]
comment = Home Directories for %u
read only = No
browseable = No

[Resurs]
comment = Public Direcroty
path = /home2/bis/quit41d
browseable = Yes
valid users = MYDOMAIN\\user

[sydenis]

билет получаю и юзеров вижу и в домен вошёл, а дальше ваша проблема...
попробую самбу переставить

[Маслов Д. А.]

билет получаю и юзеров вижу и в домен вошёл, а дальше ваша проблема...
попробую самбу переставить

Передо мной в ближайшее время будет стоять аналогичная задача, именно для CentOS. Так, что очень интересно что у Вас в итоге получится.

[sydenis]

есть пара вопросов

[global]
smb passwd file = /etc/samba/private/smbpasswd
client NTLMv2 auth = Yes
[homes]
comment = Home Directories for %u
read only = No
browseable = No

А что за smb passwd file - как он используется? Вроде ж вся аутентификация через винбинд идёт...
Шара Homes нужна в вашем частном случае или она всегда нужна для нормального логона?

p.s. Про client NTLMv2 auth = Yes я читал, что это только для старых nt-клиентов нужно (до w2000).

[Маслов Д. А.]

smb passwd file = /etc/samba/private/smbpasswd Уверен, что не оказывает никакого влияния, так как авторизация ведется действительно через winbindd . Указал, ее когда была старая версия самбы, и если не ошибаюсь, то ли в логе, то ли при запуске smbclient вываливалось предупреждение, что не указан passwd файл. Потом просто не стал ее трогать.

[homes]
comment = Home Directories for %u
read only = No
browseable = No

На логон не оказывает никакого влияния, просто для каждого пользователя создается ресурс с именем учетной записи, под которой вошел пользователь. Если нет необходимости можете смело убирать.

[Маслов Д. А.]

Разрешилась проблема с вводом в домен ОС CentOS с самбой версии Version 3.0.23c-2.
Правда у меня проблем возникло слегка больше, чем у Вас.
1. Мне пришлось пересобрать kerberos, так как при получении билета выдавалась ошибка, потом запрашивался пароль и в результате было глубокое молчание, то есть не было не понятно получен билет или нет. Поэтому решил перестраховаться и пересобрать kerberos.
2. Так же при входе на машину под управлением CentOS получал отказ на доступ. Исправлено путем добоваления в /etc/hosts ip адресса и имени машины с которой будет осущствляться вход. Считаю, что это не совсем грамотное решение, поэтому буду разбираться дальше.

[sydenis]

Разрешилась проблема с вводом в домен ОС CentOS с самбой версии Version 3.0.23c-2.
Правда у меня проблем возникло слегка больше, чем у Вас.
1. Мне пришлось пересобрать kerberos, так как при получении билета выдавалась ошибка, потом запрашивался пароль и в результате было глубокое молчание, то есть не было не понятно получен билет или нет. Поэтому решил перестраховаться и пересобрать kerberos.
2. Так же при входе на машину под управлением CentOS получал отказ на доступ. Исправлено путем добоваления в /etc/hosts ip адресса и имени машины с которой будет осущствляться вход. Считаю, что это не совсем грамотное решение, поэтому буду разбираться дальше.

У меня тоже решилась проблема.
Кереберос в центосе действительно молчит после kinit, но это не страшно - klist показывает, что билет есть.
Мои проблемы решились с помощью бубна... помог параметр в smb.conf - winbind use default domain = yes. Без него wbinfo -a почему-то не распознавал юзеров... А так же сват зачем-то прописал мне msdfs proxy = yes. Его нужно совсем убрать.
Как выяснилось ничего в pam.d трогать не надо. В hosts я тоже ничего не добавлял (кроме PDC). Пока всё работает

[Маслов Д. А.]

Кереберос в центосе действительно молчит после kinit, но это не страшно - klist показывает, что билет есть.
Мои проблемы решились с помощью бубна... помог параметр в smb.conf - winbind use default domain = yes. Без него wbinfo -a почему-то не распознавал юзеров... А так же сват зачем-то прописал мне msdfs proxy = yes. Его нужно совсем убрать.
Как выяснилось ничего в pam.d трогать не надо. В hosts я тоже ничего не добавлял (кроме PDC). Пока всё работает

Зато проблемы начались у меня . Присмотрелся внимательнее, изменения hosts ничего не дает. Просто совпало разрешение доступа и соответсвенно написание этой директивы.
У меня возникла проблема в том, что Самба не разрешает доступ к конкретным шарам. В каком виде Вы указываете пользователя в valid users:
1. MYDOMAIN\\user
2. MYDOMAIN\user
3. user
.
У меня указанием директивы winbind use default domain = yes никакого влияние на функционирование самбы не оказывает. Разве, что по wbinfo -u пользователи отображаются в виде user, а не MYDOMAIN\user.
А какая у Вас версия самбы?

[sydenis]

valid users я вообще не стал указывать, как я писал - для меня это осталось непонятным:
wbinfo -u выдаёт пользователей - например MYDOMAIN\admin, а
wbinfo -a MYDOMAIN\admin%12345 говорит, что нет такого...
прокатывает только если сказать wbinfo -a admin%12345 при включённом winbind use default domain
так что я так и не разобрался как они там юзеров именуют...
v3.025b-1el5_1.4 получена тупо через yum

кстати ещё у меня была проблема с именем хоста, может быть из-за моей невнимательности...
во-первых, после включения в домен он не прописался автоматом в DNS на PDC
во-вторых на самой линуксовой машине пришлось руками прописать полное имя хоста linuxcomp.mydomain.ru
именно оно должно выводиться по, напр., uname -n