URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2303
[ Назад ]

Исходное сообщение
"Обновление samba с 3.0.24 до 3.2.5"

Отправлено Dan Swano , 29-Мрт-10 18:52 
Здравствуйте.

Решил обновить систему на сервере с Debian Etch 4.0 x86_64 до Debian Lenny 5.0.4 x86_64. На сервере поднят контроллер домена в связке samba + openLDAP. Все работало как надо.
После обновления samba обновилась до 3.2.5 и начались проблемы: при попытке зайти с рабочей станции WinXP доменным пользователем он не получает доступ к своему домашнему каталогу, каталогу профилей и прочим каталогам, куда раньше ему можно было ходить. Гостевой доступ на публичные ресурсы работает.
Пока вынужден вернуться на прежнюю версию из Etch 3.0.24-6

Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?


Содержание

Сообщения в этом обсуждении
"Обновление samba с 3.0.24 до 3.2.5"
Отправлено Kagato , 30-Мрт-10 15:32 
>[оверквотинг удален]
>Решил обновить систему на сервере с Debian Etch 4.0 x86_64 до Debian
>Lenny 5.0.4 x86_64. На сервере поднят контроллер домена в связке samba
>+ openLDAP. Все работало как надо.
>После обновления samba обновилась до 3.2.5 и начались проблемы: при попытке зайти
>с рабочей станции WinXP доменным пользователем он не получает доступ к
>своему домашнему каталогу, каталогу профилей и прочим каталогам, куда раньше ему
>можно было ходить. Гостевой доступ на публичные ресурсы работает.
>Пока вынужден вернуться на прежнюю версию из Etch 3.0.24-6
>
>Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?

Проверь Kerberos.
Что после обновления говорят klist, wbinfo -u, wbinfo -g?


"Обновление samba с 3.0.24 до 3.2.5"
Отправлено Dan Swano , 31-Мрт-10 17:16 
>[оверквотинг удален]
>>После обновления samba обновилась до 3.2.5 и начались проблемы: при попытке зайти
>>с рабочей станции WinXP доменным пользователем он не получает доступ к
>>своему домашнему каталогу, каталогу профилей и прочим каталогам, куда раньше ему
>>можно было ходить. Гостевой доступ на публичные ресурсы работает.
>>Пока вынужден вернуться на прежнюю версию из Etch 3.0.24-6
>>
>>Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?
>
>Проверь Kerberos.
>Что после обновления говорят klist, wbinfo -u, wbinfo -g?

Kerberos нет и в помине. wbinfo -u и -g выдают верный список пользователей и групп.


"Обновление samba с 3.0.24 до 3.2.5"
Отправлено Kagato , 31-Мрт-10 17:38 
Тогда конфиг и логи в студию.

"Обновление samba с 3.0.24 до 3.2.5"
Отправлено Dan Swano , 01-Апр-10 10:20 
>Тогда конфиг и логи в студию.

Конфиг такой:

# Global parameters
[global]
    unix charset = KOI8-R
    dos charset = cp866
    display charset = koi8-r
    workgroup = TEC
    netbios name = SERVER-408
    server string = Domain controller
    interfaces = 192.168.128.51, 127.0.0.1
    bind interfaces only = Yes
    null passwords = Yes
    username map = /etc/samba/smbusers
    log file = /var/log/samba/%m.log
    message command = rm -f %s &
    max log size = 50
    deadtime = 10
    name resolve order = wins lmhosts bcast
    time server = Yes
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    load printers = No
    logon script = logon.bat %U %v %L %I %a
    logon path = \\%L\profiles\%u.pds
    logon drive = z:
    domain logons = Yes
    os level = 255
    security = user
    map to guest = Bad User
    preferred master = Yes
    domain master = Yes
    dns proxy = No
    wins support = Yes
    remote announce = 192.168.128.255
    idmap backend = ldapsam:"ldap://127.0.0.1/"
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    admin users = root, @ntadmin
    dos filetimes = Yes
    winbind cache time = 10
    template homedir = /home/%U
    template shell = /usr/sbin/nologin
    passdb backend = ldapsam:"ldap://127.0.0.1/"
    enable privileges = yes
    passwd program = /usr/sbin/smbldap-passwd "%u"
    passwd chat = *New*password* %n\n *Retype*new*password* %n\n
    unix password sync = no
    ldap passwd sync = no
    ldap admin dn = "cn=admin,dc=tec,dc=local"
    ldap suffix = dc=tec,dc=local
    ldap user suffix = ou=People
    ldap group suffix = ou=Group
    ldap machine suffix = ou=Computers
    ldap idmap suffix = ou=Idmap
    ldap delete dn = yes
    ldap ssl = no
    add user script = /usr/local/sbin/smbuseradd "%u"
    delete user script = /usr/sbin/smbldap-userdel "%u"
    add group script = /usr/sbin/smbldap-groupadd -p "%g"
    delete group script = /usr/sbin/smbldap-groupdel "%g"
    add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
    delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
    set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
    add machine script = /usr/sbin/smbldap-useradd -w -g machines -d /dev/null -s /bin/false -c "NT Workstation Account" "%u"

    client plaintext auth = yes
    client lanman auth = yes
[homes]
    comment = Домашний каталог. Доступен только зарегистрированному пользователю и больше никому.
    read only = No
    guest ok = No
    create mask = 0700
    force create mode = 0700
    directory mask = 0700
    force directory mode = 0700
    browseable = No
    invalid users = root
    valid users = @ntdomain, @ntadmin, @students, @"TTEC Accounts Dept"
    veto files = /.*/
    inherit permissions = Yes

[netlogon]
    comment = Network Logon Service
    path = /home/samba/netlogon
    browseable = No
    guest ok = Yes
    locking = No
    write list = root, @ntadmin

[profiles]
    comment = Профили пользователей Win2k/XP
    path = /home/samba/profiles
    read only = No
    guest ok = No
    create mask = 0600
    force create mode = 0600
    directory mask = 0700
    force directory mode = 0700
    valid users = @ntdomain, @ntadmin, @students, @"TTEC Accounts Dept"

[shared]
    comment = Общая папка
    path = /home/samba/shared
    read only = No
    create mask = 0660        # Игнорируется при опции inherit permissions = yes
    directory mask = 1770        # Игнорируется при опции inherit permissions = yes
    security mask = 0770
    nt acl support = Yes
    guest ok = No
    valid users = @ntdomain, @ntadmin, @"TTEC Accounts Dept"
# Включает наследование разрешений
    inherit permissions = No

[Consultant]
    comment = Справочная правовая система "КонсультантПлюс"
    path = /home/samba/guest/Consultant
    writable = Yes
    locking = Yes
    oplocks = Yes
    guest ok = Yes
    create mask = 0666

Дальше идет описание других шар.
Насчет логов, какие именно нужны? Их там много... Может быть, нужно поднять debug level?


"Обновление samba с 3.0.24 до 3.2.5"
Отправлено Kagato , 01-Апр-10 11:00 
@"TTEC Accounts Dept" попробуй поменять на  "@TTEC Accounts Dept" У меня в похожей ситуации, в связке aix samba + w2k3 ad, после замены @"domain\domain users" на  "@domain\domain users" начало пускать юзеров.
Если не поможет - подыми debug level и посмотри на что начнёт ругаться smbd при попытке зайти юзером на шару.

"Обновление samba с 3.0.24 до 3.2.5"
Отправлено Kagato , 01-Апр-10 11:01 
чёрт, дважды одно и то же запостил

"Обновление samba с 3.0.24 до 3.2.5"
Отправлено tux2002 , 19-Апр-10 15:35 
>Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?

Я подозреваю файловые разрешения не те.



"Обновление samba с 3.0.24 до 3.2.5"
Отправлено tux2002 , 19-Апр-10 15:37 
    idmap backend = ldapsam:"ldap://127.0.0.1/"
    idmap uid = 10000-20000
    idmap gid = 10000-20000

Маппинг LDAP пользователей в uid изменился?