URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 62571
[ Назад ]

Исходное сообщение
"Samba как файл сервер"
Отправлено globus , 09-Дек-05 14:15

Есть FreeBSD 5.3 + samba-3.0.20b,1 + домен на w2k
самба собрана с поддержкой PAM, WinBIND, ADS, LDAP
хочеться сделать фаловый сервак ...
вот конфиг
#======================= Global Settings =====================================
[global]
   workgroup = GRIL
   server string = srv-storage
   security = ads
   hosts allow = 192.168. 172.16. 127.
   load printers = no
   log level = 3 passdb:5 auth:10 winbind:2
   log file = /var/log/samba/%m.log
   max log size = 50
   password server = srv-ukfm.f-master.ru
   realm = F-MASTER.RU
   socket options = TCP_NODELAY
   domain master = no
   wins support = yes
   wins server = 192.168.8.8
   wins proxy = yes
   dns proxy = no
# Charset settings
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind separator = /
template homedir = /home/winnt/%D/%U
template shell = /bin/sh
max log size = 50
encrypt passwords = yes
lock directory = /var/smb-locks
nt acl support = yes
#============================ Share Definitions ==============================
[public]
   comment = Public Stuff
   path = /var/samba/pub
   public = yes
   writable = yes
   printable = no
/etc/krb5.conf
[logging]
                   kdc = 0/FILE:/var/log/kdc.log
                   default = 0/FILE:/var/log/kdc.log
[libdefaults]
        default_realm      = F-MASTER.RU
        admin_server       = srv-ukfm.f-master.ru
        default_domain     = GRIL
        default_etypes     = des-cbc-crc des-cbc-md5
        default_etypes_des = des-cbc-crc des-cbc-md5
[realms]
        F-MASTER.RU = {
        kdc = srv-ukfm.f-master.ru
        }
[domain_realms]
        srv-ukfm.f-master.ru = F-MASTER.RU
/etc/nsswitch.conf
passwd: files winbind
group:  files winbind

/etc/pam.d/login
auth    required        pam_nologin.so  no_warm
auth    sufficient      pam_winbind.so
auth    sufficient      pam_opie.so     no_warm no_fake_prompts
auth    requisite       pam_opieaccess.so       no_warm allow_local
auth    required        pam_unix.so     no_warm try_first_pass
# account
account sufficient      pam_winbind.so
account required        pam_unix.so
# session
session required        pam_permit.so
не пускает на САМБУ ... просит пароль и пользователя ...
net ads join прошел без ошибок, в списке тачек машина появилась ...
kinit -p admin@F-MASTER.RU
проходит без ошибок, те билет выдается ...
в логе пользовтеля (точнее IP его тачки) следующее
Failed to verify incoming ticket!
перерыл все .... ничего по делу не нашел !

Содержание

Samba как файл сервер,PJ, 23:36 , 10-Дек-05
Samba как файл сервер,Skif, 02:05 , 11-Дек-05
- Samba как файл сервер,Skif, 02:09 , 11-Дек-05
- Samba как файл сервер,globus, 06:05 , 12-Дек-05
  - Samba как файл сервер,globus, 14:08 , 12-Дек-05

Сообщения в этом обсуждении

"Samba как файл сервер"
Отправлено PJ , 10-Дек-05 23:36

1) Попробуй для начала соединить Sambу c AD через
security=domain
затем net rpc join и.т.д., работает ничуть не хуже, хоть и без Kerberos.
2)
>winbind separator = /
winbind separator = \ # в Windows формат имени DOMAINNAME\username
Хотя при
winbind use default domain = yes
winbind separator влияния не оказывает имхо.

"Samba как файл сервер"
Отправлено Skif , 11-Дек-05 02:05

Для начала уменьшите количество узких мест - отключите на время в контроллере домена поддержку Kerberos, введите машину в домен без кербероса и проверьте результат. если все нормально будет, тогда добавляйте керберос. АД на win2k не требует обязаловки кербероса

"Samba как файл сервер"
Отправлено Skif , 11-Дек-05 02:09

>Для начала уменьшите количество узких мест - отключите на время в контроллере
>домена поддержку Kerberos, введите машину в домен без кербероса и проверьте
>результат. если все нормально будет, тогда добавляйте керберос. АД на win2k
>не требует обязаловки кербероса
да, и еще, для начала проверьте на sshd и локально как пускает под пользователями из домена. Для ssh не пользуйте только putty - он почему-то не умеет изъясняться при таком раскладе. Да и проверять надо на OpenSSH некоторые другие не хотят тоже понимать авторизацию из АД

"Samba как файл сервер"
Отправлено globus , 12-Дек-05 06:05

>Для начала уменьшите количество узких мест - отключите на время в контроллере
>домена поддержку Kerberos, введите машину в домен без кербероса и проверьте
>результат. если все нормально будет, тогда добавляйте керберос. АД на win2k
>не требует обязаловки кербероса
странно НО через security = domai пашет .... млин ... обойдусь без кербероса !
ЗЫ но если кто знает в чем рамс, то подскажите !

"Samba как файл сервер"
Отправлено globus , 12-Дек-05 14:08

еще такой вопрос.
как права по правильному раздовать на шары ?!
допустим, если нескольком пользователям user1, user2 и user3 надо писать туда , а user4 только читать ?!
я понял так, что самба3 позволяет пользоваться mmc астнасткой для того, чтоб править права и это действительно так, но я там ничего не могу сменить .... получаю access deny ...
кинте линк на описание, или на примеры, из оф. руководства ничего не понял ....