URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91214
[ Назад ]
Исходное сообщение
"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 06:50 
Добрый день
Все вроде бы настроил верно

Самба вошла в домен без каких либо проблем

files# net join -U myuser
Enter a.shalin's password:
Using short domain name -- KNPC
Joined 'FILES' to realm 'knpc.local'


Если заходить на самбу с компа, который не в домене KNPC - он запрашивает пароль и логинится

если пытаться зайти на самбу-шару с компа, который в домене KNPC - Аккаунт не авторизован для входа с этой станции


wbinfo -g
wbinfo -u
показывает все верно.. никак не могу найти куда рыть..

помогите люди добрые

Содержание
Сообщения в этом обсуждении
"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено Сергей , 22-Мрт-11 09:12 
> Если заходить на самбу с компа, который не в домене KNPC -
> он запрашивает пароль и логинится
> если пытаться зайти на самбу-шару с компа, который в домене KNPC -
> Аккаунт не авторизован для входа с этой станции

А посмотреть в свойства этого аккаунта нельзя, вдруг у него вход только с определенных компьютеров...

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено Сергей , 22-Мрт-11 09:15 
Посмотрите в dns, там комп с самбой есть?

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 09:26 
>> Если заходить на самбу с компа, который не в домене KNPC -
>> он запрашивает пароль и логинится
>> если пытаться зайти на самбу-шару с компа, который в домене KNPC -
>> Аккаунт не авторизован для входа с этой станции
>  А посмотреть в свойства этого аккаунта нельзя, вдруг у него вход
> только с определенных компьютеров...

пробовал со всех аккаунтов.. которые есть в AD - никаких ограничений нету -(

нету у него ограничений .. захожу с этого аккаунту и других

все делал как описано тут
http://www.kossoff.ru/2008/06/samba-3-freebsd-7-windows-2003...

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 09:42 
Добрый день
Не было хоста в ДНСах. Добавил

Далее

Запустил WhiteSHark на AD

среди прочего нашел
.... ...1 = Mode: USER security mode
.... ..1. = Password: ENCRYPTED password. Use challenge/response
.... .0.. = Signatures: Security signatures NOT enabled
.... 0... = Sig Req: Security signatures NOT required
HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature  - ставил и включить и выключить.. эффект 0

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено boykov , 22-Мрт-11 09:55 
> Добрый день
> Все вроде бы настроил верно

как верно?
какие ваши доказательства?

В частности, как настроен, если настроен, мапинг юзверей.
И, самое главное, что в логах?

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 10:03 
>> Добрый день
>> Все вроде бы настроил верно
> как верно?
> какие ваши доказательства?
> В частности, как настроен, если настроен, мапинг юзверей.
> И, самое главное, что в логах?

Если бы настройках самбы была не верной, но я бы не смог получить список юзеров и групп с АД.. Мне кажется это так

wbinfo -t
wbinfo -g
wbinfo -u

работаю верно и выдают то, что и нужно

В логах ничего нету..

в логах smbd - ничего
winbindd - тоже

в nmbd


[2011/03/22 13:01:46,  4] nmbd/nmbd_workgroupdb.c:170(find_workgroup_on_subnet)
  find_workgroup_on_subnet: workgroup search for KNPC on subnet 172.26.10.140: found.
[2011/03/22 13:01:46,  4] nmbd/nmbd_workgroupdb.c:281(dump_workgroups)
  dump_workgroups()
   dump workgroup on subnet   172.26.10.140: netmask=  255.255.255.0:
        KNPC(1) current master browser = UNKNOWN
                FILES 40819b03 (some server string)

при попытке с виндоуз с AD сделать коннект к самбе

C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
System error 1240 has occurred.

The account is not authorized to log in from this station.

в логах ничего не появляется

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено Static , 22-Мрт-11 10:41 
>[оверквотинг удален]
> 255.255.255.0:
>         KNPC(1) current master browser
> = UNKNOWN
>            
>     FILES 40819b03 (some server string)
> при попытке с виндоуз с AD сделать коннект к самбе
> C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
> System error 1240 has occurred.
> The account is not authorized to log in from this station.
> в логах ничего не появляется

команда # id имя_доменного_пользователя
например id Administrator
что выдает?

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 10:48 
>[оверквотинг удален]
>>
>>     FILES 40819b03 (some server string)
>> при попытке с виндоуз с AD сделать коннект к самбе
>> C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
>> System error 1240 has occurred.
>> The account is not authorized to log in from this station.
>> в логах ничего не появляется
> команда # id имя_доменного_пользователя
> например id Administrator
> что выдает?

files# id KNPC\\a.shalin
uid=10050(KNPC\a.shalin) gid=10018(KNPC\domain users) groups=10018(KNPC\domain users),10017(KNPC\domain admins)
files#

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 10:52 
>[оверквотинг удален]
>>>
>>>     FILES 40819b03 (some server string)
>>> при попытке с виндоуз с AD сделать коннект к самбе
>>> C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
>>> System error 1240 has occurred.
>>> The account is not authorized to log in from this station.
>>> в логах ничего не появляется
>> команда # id имя_доменного_пользователя
>> например id Administrator
>> что выдает?

files# id a.shalin
uid=10050(a.shalin) gid=10018(domain users) groups=10018(domain users),10017(domain admins)

files#  id Administrator
uid=10000(administrator) gid=10018(domain users) groups=10018(domain users),10014(schema admins),10015(enterprise admins),10017(domain admins),10020(group policy creator owners)
files#


"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 22-Мрт-11 15:02 
>[оверквотинг удален]
>>> например id Administrator
>>> что выдает?
> files# id a.shalin
> uid=10050(a.shalin) gid=10018(domain users) groups=10018(domain users),10017(domain
> admins)
> files#  id Administrator
> uid=10000(administrator) gid=10018(domain users) groups=10018(domain users),10014(schema
> admins),10015(enterprise admins),10017(domain admins),10020(group policy creator
> owners)
> files#

Вообщем сделал так

Поднял Jail окружение и подцепился к другом домену с AD без каких либо проблем (на другом домене windows 2003 SP2)

при попытке зайти с компа, который в домене - подключение не происходит - все ОК

поднял еще один JAIL и скопировал конфиги с первого жайла. исправил все что нужно.. вогнал самбу в домен

wbinfo -t,u,g - работает отлично
getent passwd

работает

при попытке зайти с компа, который в домене - подключение не происходит - Этот аккаунт не авторизован для входа


Делаем Вывод, что что-то не то в с виндой.. основные настройки одинаковые.. и еще на втором сервере, откуда нет доступа есть несколько MAIN Contolleroв но они все на этом сервере

у кого есть какие либо идеи ?

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено Сергей , 22-Мрт-11 16:49 
> Делаем Вывод, что что-то не то в с виндой.. основные настройки одинаковые..
> и еще на втором сервере, откуда нет доступа есть несколько MAIN
> Contolleroв но они все на этом сервере
> у кого есть какие либо идеи ?

Какие тут могут быть идеи, сравнивайте политики, которые наложены на контроллеры домена, наверняка стоит авторизовать только NTLMv2, либо что-нибудь в этом роде...

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 23-Мрт-11 05:44 
>> Делаем Вывод, что что-то не то в с виндой.. основные настройки одинаковые..
>> и еще на втором сервере, откуда нет доступа есть несколько MAIN
>> Contolleroв но они все на этом сервере
>> у кого есть какие либо идеи ?
>  Какие тут могут быть идеи, сравнивайте политики, которые наложены на контроллеры
> домена, наверняка стоит авторизовать только NTLMv2, либо что-нибудь в этом роде...

Уже вроде все сравнил.. все везде одинаковое .. буду еще раз внимательно смотреть

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено Аноним , 23-Мрт-11 06:00 
Хочешь быть IT-шником - учи eglish!

> при попытке с виндоуз с AD сделать коннект к самбе
> C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
> System error 1240 has occurred.
> The account is not authorized to log in from this station.

Ответ тут :) Бери словарь и рой.

"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 23-Мрт-11 07:00 
> Хочешь быть IT-шником - учи eglish!
>> при попытке с виндоуз с AD сделать коннект к самбе
>> C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
>> System error 1240 has occurred.
>> The account is not authorized to log in from this station.
> Ответ тут :) Бери словарь и рой.

Хосподи.. ёпта

а почитать не судьба, что Выше описано ?!

Выше уже описано было, что параметры ветке lanserver, lanworkstation и включение и выключение запросов сертификатов уже отключалось и подключалось .. это не помогает и это не решение ..


"Samba 3.4 + Windows 2003 (ServicePack 1) + AD"
Отправлено HappyAlex , 29-Мрт-11 12:03 
>[оверквотинг удален]
>>> при попытке с виндоуз с AD сделать коннект к самбе
>>> C:\Documents and Settings\Administrator.DCMAIN>net use \\172.26.10.140\data z:\
>>> System error 1240 has occurred.
>>> The account is not authorized to log in from this station.
>> Ответ тут :) Бери словарь и рой.
> Хосподи.. ёпта
> а почитать не судьба, что Выше описано ?!
> Выше уже описано было, что параметры ветке lanserver, lanworkstation и включение и
> выключение запросов сертификатов уже отключалось и подключалось .. это не помогает
> и это не решение ..

Сбросил все политики в дефаул + поставил Service Pack 2 и все работает, как надо