Пытаюсь запустить Samba  в качестве PDC + winbind  - ошибки

Есть FreeBSD 6.2 и Samba 3.0.23c_2,1. из пакета (samba-3.0.23c_2,1.tbz)

Дальше все что делал по порядку

smb.conf  
[global]

workgroup = sambadomain
server string = Samba PDC
netbios name = samba
security = user
encrypt passwords = Yes    
preferred master = yes
domain master = yes
domain logons = yes
os level = 255
idmap uid = 10000-20000
idmap gid = 10000-20000
admin users = root @ntadmins
logon script = startup.bat
logon drive = Z:
logon path =
log file = /var/log/samba/samba.%m
log level = 4
dos charset = CP866
unix charset = KOI8-R

add machine script = /usr/local/etc/samba/scripts/add_machine.sh "%u"
add user script = /usr/local/etc/samba/scripts/add_user.sh "%u"
delete user script = /usr/local/etc/samba/scripts/del_user.sh "%u"
add group script = /usr/local/etc/samba/scripts/add_group.sh "%g"
delete group script = /usr/local/etc/samba/scripts/del_group.sh "%g"
set primary group script = /usr/local/etc/samba/scripts/set_primgroup.sh "%u" "%g"
add user to group script = /usr/local/etc/samba/scripts/add_usertogroup.sh "%u" "%g"
delete user from group script = /usr/local/etc/samba/scripts/del_userfromgroup.sh "%u" "%g"
message command = mail -s 'SAMBA message from %f on %m' root < %s; rm %s

[netlogon]
comment = Network Logon Service
path = /usr/local/etc/samba/netlogon/%a
writable = yes
browsable = no

[public]
comment = Public folder
path = /home/samba/public
public = yes
writable = yes

[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0644
--

pw groupadd ntadmins
pw groupadd ntusers
pw groupadd ntcomputers

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins rid=512 type=d
net groupmap add ntgroup="Domain Users" unixgroup=ntusers rid=513 type=d
net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d
net groupmap add ntgroup="Domain Computers" unixgroup=ntcomputers type=d

net groupmap list

>Domain Users (S-1-5-21-3341541703-2401096919-2723899071-513) -> ntusers
>Domain Computers (S-1-5-21-3341541703-2401096919-2723899071-3009) -> >ntcomputers
>Administrators (S-1-5-32-544) -> 10000
>Domain Admins (S-1-5-21-3341541703-2401096919-2723899071-512) -> ntadmins
>Domain Guests (S-1-5-21-3341541703-2401096919-2723899071-514) -> nobody
>Users (S-1-5-32-545) -> 10001

pw useradd samba$
smbpasswd -a –m samba$

pw useradd ntadmin -g ntadmins -d /dev/null -s /sbin/nologin -c 'NT admin'
smbpasswd -a ntadmin

После этого PDC запускается, машины и юзера добавляются из USRMGR, групповые политики запускаются и как бы все OK

-------------------

Дальше хочется привинтить winbind и начинаются непонятности.

В samba.conf добавляю
[global]
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = +
winbind cache time = 10
winbind enum users = yes
winbind enum groups = yes

samba restart

wbinfo –p OK
wbinfo –t OK
wbinfo –g
>BUILTIN+administrator
>BUILTIN+users

ДОМЕННЫХ ГРУПП НЕТУ :(

\var\log\samba\samba.winbindd
[2007/03/09 18:05:40, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(474)
  [    0]: request interface version
[2007/03/09 18:05:40, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(507)
  [    0]: request location of privileged pipe
[2007/03/09 18:05:40, 3] nsswitch/winbindd_group.c:winbindd_list_groups(881)
  [    0]: list groups
[2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(579)
  get_sam_group_entries: BUILTIN or local domain; enumerating local groups as well
[2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(588)
  get_sam_group_entries: Returned 2 local groups
[2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(579)
  get_sam_group_entries: BUILTIN or local domain; enumerating local groups as well
[2007/03/09 18:05:40, 3] nsswitch/winbindd_group.c:get_sam_group_entries(584)
  get_sam_group_entries: Failed to enumerate domain local groups!

wbinfo –u
>Error looking up domain users – подозреваю, что по той же причине что и с доменными группами

При добавлении в nsswitch
passwd:     files winbind
group:      files winbind
разницы особой нет кроме большой паузы.
---------------------

О такой проблеме народ в сети пишет, но какого-то четкого решения я не увидел.
Вроде ничего особого не делаю, все по докам...
Если кто поможет или ткнет носом – буду очень признателен :\

• Samba как PDC + winbind = ошибки ,Xela, 18:37 , 15-Мрт-07
• Samba как PDC + winbind = ошибки ,Xela, 18:45 , 15-Мрт-07
  • Samba как PDC + winbind = ошибки ,lta, 11:26 , 16-Мрт-07
    • Samba как PDC + winbind = ошибки ,Xela, 12:01 , 16-Мрт-07
    • Samba как PDC + winbind = ошибки ,Xela, 12:11 , 16-Мрт-07
      • Samba как PDC + winbind = ошибки ,lta, 12:48 , 16-Мрт-07
        • Samba как PDC + winbind = ошибки ,Дмитрий, 09:38 , 12-Окт-07
          • Samba как PDC + winbind = ошибки ,Дмитрий, 09:45 , 12-Окт-07
            • Samba как PDC + winbind = ошибки ,Дмитрий, 09:46 , 12-Окт-07
          • Samba как PDC + winbind = ошибки ,Sha2, 10:08 , 12-Окт-07
            • Samba как PDC + winbind = ошибки ,Дмитрий, 11:16 , 12-Окт-07
              • Samba как PDC + winbind = ошибки ,lta, 12:01 , 12-Окт-07
                • Samba как PDC + winbind = ошибки ,Дмитрий, 07:59 , 15-Окт-07
                  • Samba как PDC + winbind = ошибки ,Yam, 11:51 , 25-Окт-07
                    • Samba как PDC + winbind = ошибки ,Антон, 11:04 , 13-Ноя-07
                      • Samba как PDC + winbind = ошибки ,Аноним, 20:50 , 21-Ноя-07

Я может быть глупость скажу, но у вас PDC -- это самба, стало быть и юзера у вас самбовские, а winbindd необходим для получения юзеров и груп с уже существующего PDC.

winbindd - Name Service Switch daemon for resolving names from NT servers

Так что, имхо, в вашем случае необходимости в winbindd нет. Разве не так?

В любом случае, для того что бы работа winbindd надо что бы samba была членом домена:

[global]
workgroup = DOMAIN
security = domain
password server = *

и была к этому домену подключена используя net join

PDC какраз и реализует домен NT с соответствующими юзерами. Запускается он раньше чем winbindd - 'winbindd - Name Service Switch daemon for resolving names from NT servers'
обязан вязаться с ним. Собственно net join отрабатываефт и wbinfo -t проблем не испытывает.

>workgroup = DOMAIN
>security = domain
Да, я поднимал Самбу на другой машине и она замечательно вязалась с этим PDC.
wbinfo -g -u отписывают группы и пользователей без вопросов.

По уму оно вроде и здесь должно отрабатывать без проблем тем более что security=domain
имеет отношение к демону самбы, а не винбинд.

Про ошибки wbinfo -u  -g мне высказали мнение что это известный баг (при запуске на одной машине) и собственно винбинд якобы без этого работает - у меня это вызывает непонимание, ну должны ведь где-то про это писать.

Тем не менее на одной машине PDC и winbindd работать не хотят.

Вообще мне казалось вопрос должен быть известным и полезным - сделать контроллер домена и все службы с паролями unix едиными на одной машине через winbind+pam.
Это проще чем поднимать LDAP - хотя дело идет к этому :(

Я не понимаю, зачем нужен winbindd функционирующий на одной машине с самбой если юзеры в вашем случае являются системными? winbindd вам нужен на другой машине, для того что бы получить этих юзеров с данного сервера, но не на ней самой. Так как на ней самой они и так есть и их прекрасно видно по getent и id.

В попытках разобраться в этом вопросе пришел к выводу, что для нормального функционирования winbindd на одной машине самбой необходимо сделать:

wbinfo --set-auth-user=Administrator%'YourPassword'

после чего wbinfo -g и wbinfo -u должны отрабатывать корректно.

>они и так есть и их прекрасно видно по getent
Да, по getent прекрасно видно, только локальных а не доменных.
>Я не понимаю, зачем нужен winbindd функционирующий на одной машине с самбой
Хочется иметь единые пароли для всего: домен, почта, фтп ...
Когда создается пользователь в самбе пароль ложится в файл smbpasswords и не является системным. По идее winbindd должен брать эти пароли и через pam модуль подсовывать всем страждущим. Что замечательно отрабатывается на доменной машине.

>wbinfo --set-auth-user=Administrator%'YourPassword'
Без разницы.

У меня тоже встала такая проблема. По getent passwd пользователей домена я вижу но через ldap, через winbind не вижу так как не работает wbinfo -u.

У многих тут возникал вопрос для чего winbind на машине с PDC?
Отвечаю: мне нужно на одной машине контроллер домена и squid. winbind умеет выдавать информацию о пользователях которые в данный момент подключены к домену. И Squid будет довать доступ только тем кто подключен без дополнительных запросов имен пользователей и паролей.

net status session вроде тоже умеет вовращать имена пользователей, но Squid использует именно winbind.

Я конечно могу на одной физической машине запустить 2 самбы, одну как PDC, а другую как клиент, путём использования OpenVZ, но это несколько неудобно.

Появились ли у кого-нибудь мысли по этому поводу?

>[оверквотинг удален]
>запросов имен пользователей и паролей.
>
>net status session вроде тоже умеет вовращать имена пользователей, но Squid использует
>именно winbind.
>
>Я конечно могу на одной физической машине запустить 2 самбы, одну как
>PDC, а другую как клиент, путём использования OpenVZ, но это несколько
>неудобно.
>
>Появились ли у кого-нибудь мысли по этому поводу?

Ах да забыл, в догонку.
# wbinfo --get-auth-user
ничего не возвращает, хотя юзвери подключены. В случае winbind на security = DOMAIN, присоединенного к моему контроллеру, всё работает корректно.

Ой ище забыл ! перед мылом поставить.

>[оверквотинг удален]
>запросов имен пользователей и паролей.
>
>net status session вроде тоже умеет вовращать имена пользователей, но Squid использует
>именно winbind.
>
>Я конечно могу на одной физической машине запустить 2 самбы, одну как
>PDC, а другую как клиент, путём использования OpenVZ, но это несколько
>неудобно.
>
>Появились ли у кого-нибудь мысли по этому поводу?

я не понял вопроса. Тебе нужно чтобы squid брал пользователей из PDC

>я не понял вопроса. Тебе нужно чтобы squid брал пользователей из PDC

да именно так. для этого нужен работающий winbind

пока я понимаю что это не возможно, т.к. winbind должен получать инфу от самбы, которая в свою очередь цепляется к контроллеру домена.

у меня же посути, самба должна делать запросы сама себе

Вот что говорит winbindd -i -d3
got OID=1 3 6 1 4 1 311 2 2 10
got principal=NONE
Got challenge flags:
Got NTLMSSP neg_flags=0x60898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x60088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x60088215
Doing spnego session setup (blob length=58)
got OID=1 3 6 1 4 1 311 2 2 10
got principal=NONE
Got challenge flags:
Got NTLMSSP neg_flags=0x60898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x60088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x60088215
Receiving SMB: Server stopped responding
SPNEGO login failed: NT_STATUS_IO_TIMEOUT
get_dc_list: preferred server list: ", *"
fcntl_lock: lock failed at offset 0 count 1 op 13 type 0 (Ресурс временно недоступен)
cm_get_ipc_userpass: Retrieved auth-user from secrets.tdb [ORPI\root]
Doing spnego session setup (blob length=58)
got OID=1 3 6 1 4 1 311 2 2 10
got principal=NONE
Got challenge flags:
Got NTLMSSP neg_flags=0x60898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x60088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x60088215
Doing spnego session setup (blob length=58)
got OID=1 3 6 1 4 1 311 2 2 10
got principal=NONE
Got challenge flags:
Got NTLMSSP neg_flags=0x60898215
NTLMSSP: Set final flags:
Got NTLMSSP neg_flags=0x60088215
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x60088215
Receiving SMB: Server stopped responding

Поднимай LDAP и счастья тебе будет немеряно :)

>Поднимай LDAP и счастья тебе будет немеряно :)

Я же написал, что pam пользователей и пароли из LDAP получает, а с помощью winbind нет(но мне этого и не надо). нужно чтобы squid их получал от winbind. У меня собран PDC на AltLinuxServer4.0 + samba-3.0.26a + OpenLDAP. Всё это велликолепно работает. Нужен ещё Squid  на этой же машине, чтобы пускал только авторизованных в домене.

>У меня собран PDC на AltLinuxServer4.0
>+ samba-3.0.26a + OpenLDAP. Всё это велликолепно работает. Нужен ещё Squid
> на этой же машине, чтобы пускал только авторизованных в домене.
>

Увы, но заставить работать Samba PDC и Squid+ntlm_auth на одной машине неполучится, то, что у вас не отрабатывает wbinfo -u .. -g  это нормальное поведение wbinfo на Samba PDС, заявленное разрботчиками.

>>У меня собран PDC на AltLinuxServer4.0
>>+ samba-3.0.26a + OpenLDAP. Всё это велликолепно работает. Нужен ещё Squid
>> на этой же машине, чтобы пускал только авторизованных в домене.
>>
>
>Увы, но заставить работать Samba PDC и Squid+ntlm_auth на одной машине неполучится,
>то, что у вас не отрабатывает wbinfo -u .. -g  
>это нормальное поведение wbinfo на Samba PDС, заявленное разрботчиками.

Samba PDC и Squid+ntlm_auth Замечательно работает при неработающих wbinfo -u .. -g
P.S. Узай LDAP а squid прикрути через ntlm_auth

> samba-3.0.26a + OpenLDAP.
>>Увы, но заставить работать Samba PDC и Squid+ntlm_auth на одной машине неполучится,
>>то, что у вас не отрабатывает wbinfo -u .. -g  
>>это нормальное поведение wbinfo на Samba PDС, заявленное разрботчиками.
>
>Samba PDC и Squid+ntlm_auth Замечательно работает при неработающих wbinfo -u .. -g

Т.е. https://bugzilla.samba.org/show_bug.cgi?id=4973 мы никогда и не увидим в состоянии RESOLVED ?