URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84643
[ Назад ]

Исходное сообщение
"FreeBSD+Samba+Win2003 AD - NT_STATUS_ACCESS_DENIED"

Отправлено Allan Sundry , 25-Мрт-09 14:55 
Доброе время суток!
Хочу настроить файлопомойку на FreeBSD + Samba. Помогите разобраться с связкой Samba + Win2003 AD.

Система:
net# uname -a
FreeBSD net.XXXX.XXX.XX 7.1-RELEASE-p2 FreeBSD 7.1-RELEASE-p2 #0: Mon Feb 16 13:49:52 EET 2009     rsv@net.XXXX.XXX.XX:/usr/obj/usr/src/sys/NET  i386
net# pkg_info | grep samba
samba-3.3.2         A free SMB and CIFS client and server for UNIX

/etc/resolv.conf
net# cat /etc/resolv.conf
domain  XXXX.XXX.XX
nameserver      10.111.0.8
nameserver      10.111.0.21

10.111.0.8 - Datacenter.XXXX.XXX.XX Windows Server 2003 R2 + AD + DNS
/etc/hosts

net# cat /etc/hosts
::1               localhost localhost.XXXX.XXX.XX
127.0.0.1      localhost localhost.XXXX.XXX.XX
10.111.0.20  net.XXXX.XXX.XX                  net
10.111.0.8    Datacenter.XXXX.XXX.XX      Datecenter

/etc/krb5.conf
net# cat /etc/krb5.conf
[libdefaults]
default_realm = XXXX.XXX.XX
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
             host = {
                        rcmd = host
                        ftp = ftp
                       }
             plain = {
                        something = something-else
                        }
                             }
[realms]
        XXXX.XXX.XX = {
        kdc = Datacenter.XXXX.XXX.XX
                        }
[domain_realm]
        .хххх.ххх.хх = XXXX.XXX.XX

/usr/local/etc/smb.conf
[global]
   workgroup = XXXX
   server string = Samba Server
   security = ads
   hosts allow = 10.111.0. 127.
   load printers = no
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = Datacenter.xxxx.xxx.xx
   encrypt passwords = yes
   realm = XXXX.XXX.XX
   local master = no
   domain master = no
   preferred master = no
   domain logons = no
   dns proxy = no
   dos charset = UTF-8
   unix charset = UTF-8
   display charset = UTF-8
   winbind nss info = rfc2307
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes
[Share]
  comment = Sharing folder
  path = /pub3/
  valid users = "@XXXX\samba"
  read list = "@XXXX\samba"
  write list = "@XXXX\samba"
  read only = No
  create mode = 666
  directory mode = 666
  create mask = 0666

где test - группа пользователей

Тесты:
net# kinit
rsv@XXXX.XXX.XX's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
net# klist -v
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: rsv@XXXX.XXX.XX
    Cache version: 4

Server: krbtgt/XXXX.XXX.XX@XXXX.XXX.XX
Ticket etype: arcfour-hmac-md5, kvno 2
Auth time:  Mar 18 16:28:02 2009
End time:   Mar 19 02:28:02 2009
Renew till: Mar 25 16:28:02 2009
Ticket flags: renewable, initial, pre-authenticated
Addresses: IPv4:10.111.0.20

Сервер без проблем включился в домен.

net# wbinfo -t
checking the trust secret via RPC calls succeeded

Немного смущает следующий вывод winbind
net# wbinfo -u
гость
администратор
krbtgt
mvv
rsv
gmn
olm
...

net# wbinfo -g
компьютеры домена
издатели сертификатов
гости домена
серверы ras и ias
пользователи домена
владельцы-создатели групповой политики
администраторы схемы
администраторы предприятия
контроллеры домена
администраторы домена
dnsadmins
dnsupdateproxy
пользователи dhcp
администраторы dhcp
samba
<прочие>

net# wbinfo -a rsv%пароль
plaintext password authentication succeeded
challenge/response password authentication succeeded

net# id rsv
id rsv
uid=1001(rsv) gid=0(wheel) groups=0(wheel),10007(пользователи домена),10009(администраторы схемы),10010(администраторы предприятия),10151(samba)

При заходе с Windows XP под пользователем rsv состоящим в группе samba в логе появляются слудующие ошибки

[2009/03/23 13:06:04,  0] smbd/service.c:make_connection_snum(740)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2009/03/23 13:06:04,  0] smbd/service.c:make_connection_snum(740)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2009/03/23 13:06:04,  0] smbd/service.c:make_connection_snum(740)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2009/03/23 13:06:04,  0] smbd/service.c:make_connection_snum(740)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED


Содержание

Сообщения в этом обсуждении
"FreeBSD+Samba+Win2003 AD - NT_STATUS_ACCESS_DENIED"
Отправлено inot , 30-Мрт-09 17:10 
ПОпробуй
valid users = @"DOMAIN\\Domain Admins"

@ ДО кавычек


"FreeBSD+Samba+Win2003 AD - NT_STATUS_ACCESS_DENIED"
Отправлено Allan Sundry , 30-Мрт-09 18:32 
>ПОпробуй
>valid users = @"DOMAIN\\Domain Admins"
>
>@ ДО кавычек

не помогло... все равно не дает создавать папки и файлы


"FreeBSD+Samba+Win2003 AD - NT_STATUS_ACCESS_DENIED"
Отправлено PJ , 31-Мрт-09 13:25 
>ПОпробуй
>valid users = @"DOMAIN\\Domain Admins"
>
>@ ДО кавычек

А где у него группа Domain Admins? У него "Администраторы домена", Windows Server локализованный.
тут или надо group mapping делать, либо на DC делать группу Domain Admins и в нее включать "Администраторы домена".



"FreeBSD+Samba+Win2003 AD - NT_STATUS_ACCESS_DENIED"
Отправлено Allan Sundry , 31-Мрт-09 22:03 
>>ПОпробуй
>>valid users = @"DOMAIN\\Domain Admins"
>>
>>@ ДО кавычек
>
>А где у него группа Domain Admins? У него "Администраторы домена", Windows
>Server локализованный.
>тут или надо group mapping делать, либо на DC делать группу Domain
>Admins и в нее включать "Администраторы домена".

Специально создал группу samba и прописывал все для нее