URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 29038
[ Назад ]

Исходное сообщение
"SAMBA не прикручивается как надо... :("

Отправлено Dilys , 18-Апр-03 12:29 
Цель: сделать в SQUID'е авторизацию по логинам WIN2K домена.
Имеется: домен, построенный на Win2K машинках. PDC, 2 BDC - все Win2KSP3 в native mode. FreeBSD 4.8-RELEASE, SAMBA-2.2.8a, SQUID-2.5.STABLE2
Делаю: установил SAMBA с соотв. ключами (--with-winbind*), далее делаю как описано на www.artmagic.ru/labs/sqlandwin.shtml, т.е. конфигурю smb.conf, прописываю адреса DC в lmhosts, проверяю, что все пингается как надо, запускаю /usr/local/sbin/smbpasswd -j <DOMAIN> -r <PDC> -U Administrator, вожу пароль, получаю в ответ "Joined domain <DOMAIN>". Пока вроде как все идет по графику. Запускаю nmbd -D - в логах все ОК. Запуска. winbindd и пытаюсь его пингануть (wbinfo -p), на что получаю:

'ping' to winbindd failed
could not ping winbindd!

Лезу в логи winbindd. Там вроде в основном все в порядке, и единственное сообщение, явно похожее на диагностику ошибки выглядит так:

[DATE/TIME] nsswitch/winbindd_cm.c:get_connection_from_cache(406)
Could not open connection to <DOMAIN> for \PIPE\lsarpc (NT_STATUS_ACCESS_DENIED)

Ок. Залез на сайт Самбы, скачал PDF с траблштингом. Делаю как у них описано:

  smbd -D (ok)
  smbclient -L <FreeBSD> -N (ok)
  smbclient //PDC/Share -U Administrator%password (ok)
  smb: \>dir
  [список файлов и каталогов внутри //PDC/Share]

Т.е. тут вроде как все хорошо. Но почему же тогда не работает winbindd? Что я сделал не так? Насколько я ничего не понимаю, без winbindd мне SQUID с NT-авторизацией не подружить?
Спасибо.


Содержание

Сообщения в этом обсуждении
"SAMBA не прикручивается как надо... :("
Отправлено Mikhail , 18-Апр-03 13:41 
В домене запись машины появляется?
>could not ping winbindd!
ps -a|grep winbind - он работает?
firewall порты не перекрывает?

"SAMBA не прикручивается как надо... :("
Отправлено Dilys , 18-Апр-03 14:25 
>В домене запись машины появляется?

Да.

>>could not ping winbindd!
>ps -a|grep winbind - он работает?

Разумеется, иначе как бы он логи постоянно генерировал. ;)
(ps -ax тоже показывает)

>firewall порты не перекрывает?

Нет, это все во внутренней сети и на нее никаких ограничений нет.



"SAMBA не прикручивается как надо... :("
Отправлено Mikhail , 20-Апр-03 13:17 
wbinfo -p - должно работать в любом случае, если  winbind работает. Т.е. у тебя wbinfo не видит собрата. Что-то, видимо, неладно с самой самбой (проверь другие парамер=тры компиляции?).
Если бы машина в домен не вошла, была бы отрицательная реакция на другой тест - wbinfo -t - Secret is bad. А что говорят всякие wbinfo -u|g|r ?

"SAMBA не прикручивается как надо... :("
Отправлено Dilys , 21-Апр-03 11:02 
>wbinfo -p - должно работать в любом случае, если  winbind работает.
>Т.е. у тебя wbinfo не видит собрата. Что-то, видимо, неладно с
>самой самбой (проверь другие парамер=тры компиляции?).

Я тоже к такому выводу склоняюсь, потому и написал, что самба нормально не прикрутилась. Только вот я не понял что именно я сделал не так. Вроде все собирал так, как указано в документации.

>Если бы машина в домен не вошла, была бы отрицательная реакция на
>другой тест - wbinfo -t - Secret is bad.
>А что говорят всякие wbinfo -u|g|r ?

$>wbinfo -t
Could not check secret
$>wbinfo -u
Error looking up domain users
$>wbinfo -g
Error looking up domain groups
$>wbinfo -r Administrator
Could not get groups for user Administrator

В log.smbd фигурирует следующее:

connect_to_domain_password_server: machine <PDC> rejected the tconX on the IPC$ share. Error was: NT_STATUS_ACCESS_DENIED.

Аналогичная записть есть и для BDC.

Но при этом к зашаренной на PDC директории и файлам я доступ получаю! Если пересобрать, то какие ключи обязательно указать (кроме with_winbind*)?

Спасибо.



"SAMBA не прикручивается как надо... :("
Отправлено Mikhail , 21-Апр-03 11:17 
С правами на log/pid файлы все ОК?
На http://www.artmagic.ru/labs/sqlandwin.shtml справедливо замечают, что запускается он всегда, но не всегда работает.
Если запустить 'nmbd -i -d 9' , ругань есть? 'smbd -i -d9' ?
Удалить из домена, внести обратно (и так до опупения ;-))? Кстати, после прописывания в домене должен пройти интервал для синхронизации (минут 10-15), до этого момента авторизация может не работать. Если в это время еще раз повторить команду, SID может еще раз поменяться, и т.д.

"SAMBA не прикручивается как надо... :("
Отправлено Sarge , 21-Апр-03 11:26 
>А на кой Х ты все в native режим перевел..?!
Там же в той статье кою ты приводил сноска дана:

3. Лирическое отступление по поводу паролей. Более-менее надежной является аутентификация через Kerberos, но дядя Билл сделал в W2K свою реализацию Kerberos и таперича его низя использовать из других (отличных от Windows) систем. В связи с этим Самба доселе не может подружиться с W2K доменом в режиме native.



"SAMBA не прикручивается как надо... :("
Отправлено Dilys , 21-Апр-03 11:42 
>>А на кой Х ты все в native режим перевел..?!

Пытаюсь найти ответ на этот вопрос, но что-то не могу вспомнит нахера я это сделал 2 года назад. Веротяно, были причины.

>Там же в той статье кою ты приводил сноска дана:

>с этим Самба доселе не может подружиться с W2K доменом в
>режиме native.

Я это читал. Но в этом же форуме кто-то писал, что подружил самбу и c "нативными" виндами. И потом - у меня же все пароли проходят, домен виден, ресурсы тоже. Не пойму почему же winbindd не работает как надо?! :(


"SAMBA не прикручивается как надо... :("
Отправлено Grit , 04-Ноя-03 22:05 
>>А на кой Х ты все в native режим перевел..?!
>Там же в той статье кою ты приводил сноска дана:
>
>3. Лирическое отступление по поводу паролей. Более-менее надежной является аутентификация через Kerberos,
>но дядя Билл сделал в W2K свою реализацию Kerberos и таперича
>его низя использовать из других (отличных от Windows) систем. В связи
>с этим Самба доселе не может подружиться с W2K доменом в
>режиме native.

Собственно та же проблема. Причем это однозначно мастдайная проблема реализации кербероса, потому что в сети сейчас есть два домена. Один PDC переведен в натив, другой нет. В один домен входит, в другой нет. Догадайтесь в какой из....
Меня тут посетила такая мысль. А что если к pdc в нативном режиме подцепить BDC или как сейчас принято говорить, просто DC, но уже в обычном режиме? И при авторизации самбе указывать имя только BDC.
Может такое сработать или это бред?


"SAMBA не прикручивается как надо... :("
Отправлено Dilys , 21-Апр-03 11:39 
>С правами на log/pid файлы все ОК?
>На http://www.artmagic.ru/labs/sqlandwin.shtml справедливо замечают, что запускается он всегда, но не всегда работает.

Так и есть.

>
>Если запустить 'nmbd -i -d 9' , ругань есть? 'smbd -i -d9'
>?

Нет, никакого криминала я там не вижу.

>Удалить из домена, внести обратно (и так до опупения ;-))? Кстати, после
>прописывания в домене должен пройти интервал для синхронизации (минут 10-15), до
>этого момента авторизация может не работать. Если в это время еще
>раз повторить команду, SID может еще раз поменяться, и т.д.

Пробовал - без эффекта :(



"SAMBA не прикручивается как надо... :("
Отправлено Sarge , 21-Апр-03 11:52 
Короче вывод такой...
90% за то что ты этого сделать не смогешь..домен в mixed режим обратно уже не переведешь...а в нативе он керберос от раб.станций автоматом требует похоже...или что-то подобное, ройся в PDC отключать пробуй лишнюю авторизацию, могет что и получица.
Но ты потеряешь время намного больше..а это дороже...как админ тебе говорю.
Делаешь так - ставишь ISA server on NT2000server это тоже опупенная круть..причем логи генерит красивые.
SQUID сносишь..самбу оставь, а пароли пропиши все из домена в smbpasswd.
Так что файл сервер у тебя останется...а юзерам все равно откель в инет ходить.

"SAMBA не прикручивается как надо... :("
Отправлено Dilys , 21-Апр-03 12:11 
>Короче вывод такой...
>90% за то что ты этого сделать не смогешь..домен в mixed режим
>обратно уже не переведешь...а в нативе он керберос от раб.станций автоматом
>требует похоже...

Уж не знаю кто от кого и чего требует, но мне не понятно, почему через smbclient я нативные ресурсы вижу, а winbindd при этом не работает. ПОЧЕМУ?

>или что-то подобное, ройся в PDC отключать пробуй лишнюю авторизацию,
>могет что и получица.

Авторизацию чего?

>Но ты потеряешь время намного больше..а это дороже...как админ тебе >говорю.

У меня время, во-первых, есть, во-вторых, мне это сделать просто интересно.

>Делаешь так - ставишь ISA server on NT2000server это тоже опупенная круть..причем логи генерит красивые.

Мне надо, что бы ехало, а не шашечки. ;)

>SQUID сносишь..самбу оставь, а пароли пропиши все из домена в smbpasswd.
>Так что файл сервер у тебя останется...а юзерам все равно откель в
>инет ходить.

Файлсервер у меня нормально живет и под Win2K. B Squid меня более чем устраивает. Samba ставилась не ради файлсервера, а как раз ради winbind'а, который как раз и не работает. У меня главная идея - научить squid авторизовывать пользователей через Win2K домен. Меня в большей степени интересует именно реализация этой возможности. Безусловно, я могу оставить все как есть, тем более, что у меня юзеры с компа на комп не прыгают - я и по IP адресам знаю кто куда ходит.



"SAMBA не прикручивается как надо... :("
Отправлено Mikhail , 21-Апр-03 12:22 
'Ну, тогда не знаю' (С) из анекдота.
Взял samba-2.2.8.tar.gz, скомпилировал с
'--with-winbind --with-winbind-auth-challenge --disable-cups', прописАл winbind в nsswitch.conf - и он заработал. Это уж потом авторизаторы squidовские с ним 'дружил', но 'wbinfo -p' было сразу (соотв., до прописывания машины в домене).
Может, кинешь smb.conf и логи посмотреть? mailto:larinATmail.ru

"SAMBA не прикручивается как надо... :("
Отправлено vir2ual , 22-Апр-03 06:57 
Для авторизации пользователей SQUIDa через домен W2k можно использовать модуль авторизации MSNT, который идет вместе с SQUIDом

"SAMBA не прикручивается как надо... :("
Отправлено Dilys , 22-Апр-03 11:08 
>Для авторизации пользователей SQUIDa через домен W2k можно использовать
>модуль авторизации MSNT, который идет вместе с SQUIDом

А где про это почитать? Что-то на www.squid-cache.org я ничего внятного не нашел (наверное плохо искал). :(
Спасибо.