Fedora 6 + w2k3 AD
3491
17
Не могу подружить. Точнее - не могу подружить файлопомойку на самбе 3-0-27с.

Прикреплен .tar.gz с конфигом самбы, кербероса и винбинды. Самба упорно не хочет пускать в себя членов АД. Причем wbinfo -u, -g, -D - все выдают правильно. Что я делаю не так, и кто сию проблему решит - пиво с меня. (Или вотку). Пробовал уже все, что написано (накурено) в интернете, в том числе и нерусскоговорящими пингвиноводами, включая форумы поддержки рэдхата.

PS в домен машина попадает, kinit срабатывает, klist тоже выдает откэшированные билеты кербероса.
Mad_Dollar
domain logons = yes
Что это? :eek: У тебя с поднятой самбой юзера могут в домен вообще входить?

valid users = @"+BUILTIN+users"
Что сие означает?
1. Перед билтин плюса не надо
2. Надо указывать домен
3. Надо типа @"ASM+Domain Users"
Stalker
Нет. Это "пережиток" для компов с 98 виндой, судя по ману самбы.
Stalker
ЗЫ консольно тоже члены домена не могут залогинится на файлопомойку.
Mad_Dollar
Поправил выше....
[global]
workgroup = ASM
security = ads
realm = AVTOSPECMASH.RU
client use spnego = no
Stalker
Кстати, wbinfo -a user%password работает?
Stalker
Да, и ещё. Неплохо было бы и nsswitch.conf посмотреть/поправить, хотя не уверен, что это обязательно.
Stalker
разобрался? похоже выпендривается самба ..

Самба не знает где искать SERVER.AVTOSPECMASH.RU, потому как к DNS ее не пускают. Поэтому
вместо
password server = SERVER.AVTOSPECMASH.RU
укажи IP-адрес сервера

и, для надежности, пропиши его в /etc/hosts

а также укажи параметр
host allow = какие_то_адреса

вместо
winbind use default domain = true
укажи
winbind use default domain = yes

и добавь
auth methods = winbind

Удачи.
marselAlex
З.Ы. и кусочек лога в студию, при попытке обращения к самбовой шаре
Stalker
Хм. Не проверял, с утра отпишусь. По идее winbind отрабатывает на получение инфы - а это помоему критичное при авторизации. Но чем черт не шутит - завтра проверю - выложу. nsswitch.conf выложу завтра:улыб:
marselAlex
Проходит ping server - отрабатывает на полное доменное имя server.avtospecmash.ru - то есть связь есть по идее.
Stalker
работает.

[ root @ inet2 ~]# wbinfo -a den%password

Результат:

plaintext password authentication succeed.
challenge/response password authentication succeed.
Stalker
Прикрепил nsswitch.conf на всякий случай.
Mad_Dollar
Чего говорит
getent passwd den
?


И пропиши в smb.conf
idmap backend = rid:ASM=16777216-33554431
Mad_Dollar
Мой совет -- не наворачивай параметров. Алгоритм же стар, как мир -- добавил параметр -- посмотрел логи.
То, что хост пингует сервер AD по имени, еще не значит, что по имени его Samba находит.

зЫ. логи будут?
marselAlex
Если уж wbinfo авторизует пользователя нормально - значит всё идёт нормально.
Mad_Dollar
баксег, разбираццо лень, но своим конфигом поделюсь - у меня как раз такая файлопомойка работаед..

[global]
realm = NSB.LOCAL
workgroup = NSB.LOCAL
netbios name = UUCP
server string = UUCP
encrypt passwords = Yes
security = ADS
password server = *
allow trusted domains = yes
nt acl support = yes
log file = /var/log/samba/log.%U
max log size = 50
socket options = SO_KEEPALIVE O_BROADCAST TCP_NODELAY SO_RCVBUF=4096 SO_SNDBUF=4096
load printers = No
preserve case=yes
short preserve case=yes
domain logons = No
os level = 33
preferred master = No
domain master = No
local master = No
hosts allow = 10.xxx.xxx. 10.xxx.yyy. 10.xxx.zzz.
interfaces = 10.xxx.xxx.218/24

dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R

printcap name = cups
printing = cups
load printers = yes

winbind separator = +
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes

add user = /usr/sbin/pw useradd %u -d /home/samba/%u -g 600 -m -k /etc/skel_samba -s /sbin/nologin %u

[homes]
comment = Home Directories
read only = No
create mask = 0600
browseable = No
valid users = %S


[Public]
comment = Public
path = /home/samba/incoming
writable = yes
create mask = 0655 # получается 644
guest ok = no

[gringo_smb]
comment = only for gringo
path = /home/samba/gringo
valid users= NSB.LOCAL+gringo # gringo - это пользователь в AD
public = no
writable = yes
printable = no
create mask = 0655 # получается 644

[cb]
comment = CB files
path = /home/samba/cb
valid users= @NSB.LOCAL+CB # CB - это группа в AD
public = no
writable = yes
printable = no
create mask = 0666 # получается 644

# остальные шары поскипаны...


и ишщо

[root@uucp /etc]# cat /etc/krb5.conf

[realms]
NSB.LOCAL = {
kdc = 10.xxx.xxx.5
}
[root@uucp /etc]#