Здравствуйте.Решил обновить систему на сервере с Debian Etch 4.0 x86_64 до Debian Lenny 5.0.4 x86_64. На сервере поднят контроллер домена в связке samba + openLDAP. Все работало как надо.
После обновления samba обновилась до 3.2.5 и начались проблемы: при попытке зайти с рабочей станции WinXP доменным пользователем он не получает доступ к своему домашнему каталогу, каталогу профилей и прочим каталогам, куда раньше ему можно было ходить. Гостевой доступ на публичные ресурсы работает.
Пока вынужден вернуться на прежнюю версию из Etch 3.0.24-6Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?
>[оверквотинг удален]
>Решил обновить систему на сервере с Debian Etch 4.0 x86_64 до Debian
>Lenny 5.0.4 x86_64. На сервере поднят контроллер домена в связке samba
>+ openLDAP. Все работало как надо.
>После обновления samba обновилась до 3.2.5 и начались проблемы: при попытке зайти
>с рабочей станции WinXP доменным пользователем он не получает доступ к
>своему домашнему каталогу, каталогу профилей и прочим каталогам, куда раньше ему
>можно было ходить. Гостевой доступ на публичные ресурсы работает.
>Пока вынужден вернуться на прежнюю версию из Etch 3.0.24-6
>
>Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?Проверь Kerberos.
Что после обновления говорят klist, wbinfo -u, wbinfo -g?
>[оверквотинг удален]
>>После обновления samba обновилась до 3.2.5 и начались проблемы: при попытке зайти
>>с рабочей станции WinXP доменным пользователем он не получает доступ к
>>своему домашнему каталогу, каталогу профилей и прочим каталогам, куда раньше ему
>>можно было ходить. Гостевой доступ на публичные ресурсы работает.
>>Пока вынужден вернуться на прежнюю версию из Etch 3.0.24-6
>>
>>Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?
>
>Проверь Kerberos.
>Что после обновления говорят klist, wbinfo -u, wbinfo -g?Kerberos нет и в помине. wbinfo -u и -g выдают верный список пользователей и групп.
Тогда конфиг и логи в студию.
>Тогда конфиг и логи в студию.Конфиг такой:
# Global parameters
[global]
unix charset = KOI8-R
dos charset = cp866
display charset = koi8-r
workgroup = TEC
netbios name = SERVER-408
server string = Domain controller
interfaces = 192.168.128.51, 127.0.0.1
bind interfaces only = Yes
null passwords = Yes
username map = /etc/samba/smbusers
log file = /var/log/samba/%m.log
message command = rm -f %s &
max log size = 50
deadtime = 10
name resolve order = wins lmhosts bcast
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
logon script = logon.bat %U %v %L %I %a
logon path = \\%L\profiles\%u.pds
logon drive = z:
domain logons = Yes
os level = 255
security = user
map to guest = Bad User
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
remote announce = 192.168.128.255
idmap backend = ldapsam:"ldap://127.0.0.1/"
idmap uid = 10000-20000
idmap gid = 10000-20000
admin users = root, @ntadmin
dos filetimes = Yes
winbind cache time = 10
template homedir = /home/%U
template shell = /usr/sbin/nologin
passdb backend = ldapsam:"ldap://127.0.0.1/"
enable privileges = yes
passwd program = /usr/sbin/smbldap-passwd "%u"
passwd chat = *New*password* %n\n *Retype*new*password* %n\n
unix password sync = no
ldap passwd sync = no
ldap admin dn = "cn=admin,dc=tec,dc=local"
ldap suffix = dc=tec,dc=local
ldap user suffix = ou=People
ldap group suffix = ou=Group
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap delete dn = yes
ldap ssl = no
add user script = /usr/local/sbin/smbuseradd "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/sbin/smbldap-useradd -w -g machines -d /dev/null -s /bin/false -c "NT Workstation Account" "%u"client plaintext auth = yes
client lanman auth = yes
[homes]
comment = Домашний каталог. Доступен только зарегистрированному пользователю и больше никому.
read only = No
guest ok = No
create mask = 0700
force create mode = 0700
directory mask = 0700
force directory mode = 0700
browseable = No
invalid users = root
valid users = @ntdomain, @ntadmin, @students, @"TTEC Accounts Dept"
veto files = /.*/
inherit permissions = Yes[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
browseable = No
guest ok = Yes
locking = No
write list = root, @ntadmin[profiles]
comment = Профили пользователей Win2k/XP
path = /home/samba/profiles
read only = No
guest ok = No
create mask = 0600
force create mode = 0600
directory mask = 0700
force directory mode = 0700
valid users = @ntdomain, @ntadmin, @students, @"TTEC Accounts Dept"[shared]
comment = Общая папка
path = /home/samba/shared
read only = No
create mask = 0660 # Игнорируется при опции inherit permissions = yes
directory mask = 1770 # Игнорируется при опции inherit permissions = yes
security mask = 0770
nt acl support = Yes
guest ok = No
valid users = @ntdomain, @ntadmin, @"TTEC Accounts Dept"
# Включает наследование разрешений
inherit permissions = No[Consultant]
comment = Справочная правовая система "КонсультантПлюс"
path = /home/samba/guest/Consultant
writable = Yes
locking = Yes
oplocks = Yes
guest ok = Yes
create mask = 0666Дальше идет описание других шар.
Насчет логов, какие именно нужны? Их там много... Может быть, нужно поднять debug level?
@"TTEC Accounts Dept" попробуй поменять на "@TTEC Accounts Dept" У меня в похожей ситуации, в связке aix samba + w2k3 ad, после замены @"domain\domain users" на "@domain\domain users" начало пускать юзеров.
Если не поможет - подыми debug level и посмотри на что начнёт ругаться smbd при попытке зайти юзером на шару.
чёрт, дважды одно и то же запостил
>Вопрос: что изменилось, почему пропал доступ, какие тут есть тонкости?Я подозреваю файловые разрешения не те.
idmap backend = ldapsam:"ldap://127.0.0.1/"
idmap uid = 10000-20000
idmap gid = 10000-20000Маппинг LDAP пользователей в uid изменился?