Доброго времени суток, возник вопрос (проблемой назвать трудно).
поднял Debian, вогнал в АД, настроил самбу и керберос, вообщем пользователи логиняться в дебиане с помощью доменных учеток нормально, проблема в одном - при просмотре шар самбы, сначала появляется форма ввода логина и пароля, вводишь логин+пароль и все нормально работает, но почему не подхватывает учетные данные с помощью которых залогинен пользователь в данный момент? где хотя бы ковырять, подскажите ...
>Доброго времени суток, возник вопрос (проблемой назвать трудно).
>поднял Debian, вогнал в АД, настроил самбу и керберос, вообщем пользователи логиняться
>в дебиане с помощью доменных учеток нормально, проблема в одном -
>при просмотре шар самбы, сначала появляется форма ввода логина и пароля,
>вводишь логин+пароль и все нормально работает, но почему не подхватывает учетные
>данные с помощью которых залогинен пользователь в данный момент? где хотя
>бы ковырять, подскажите ...Может клиент (о нем вы не пишете) посылает самбе данные для ntlm аутентификации вместо керберос билета.
В семерке у меня подобная проблема решилась очисткой базы паролей.
>[оверквотинг удален]
>>поднял Debian, вогнал в АД, настроил самбу и керберос, вообщем пользователи логиняться
>>в дебиане с помощью доменных учеток нормально, проблема в одном -
>>при просмотре шар самбы, сначала появляется форма ввода логина и пароля,
>>вводишь логин+пароль и все нормально работает, но почему не подхватывает учетные
>>данные с помощью которых залогинен пользователь в данный момент? где хотя
>>бы ковырять, подскажите ...
>
>Может клиент (о нем вы не пишете) посылает самбе данные для ntlm
>аутентификации вместо керберос билета.
>В семерке у меня подобная проблема решилась очисткой базы паролей.вот smb.conf ... хотя это уже последний вариант, но с ним тоже самое, загружается клиент через ltsp, логиниться в ОС, а к шарам на виндовых тачках (они конечно в домене) при первом входе все равно надо ввести пароль, а за тем все работает нормально :(
[global]
dos charset = cp866
unix charset = UTF8
display charset = UTF8
workgroup = test
realm = test.INFO
server string = Storage samba server
interfaces = eth0
bind interfaces only = Yes
security = ADS # domain тоже не работает
auth methods = trustdomain # пробовал разные методы
obey pam restrictions = Yes
password server = 192.168.204.3 192.168.204.12
passdb backend = tdbsam
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
ntlm auth = No
log level = 5
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100
name resolve order = dns host lmhosts wins bcast
printcap name = CUPS
local master = No
domain master = No
dns proxy = No
wins server = 192.168.204.3
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-40000
idmap gid = 10000-40000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
invalid users = root
>
>вот smb.conf ... хотя это уже последний вариант, но с ним тоже
>самое, загружается клиент через ltsp, логиниться в ОС, а к шарам
>на виндовых тачках (они конечно в домене) при первом входе все
>равно надо ввести пароль, а за тем все работает нормально :(
>Так вы самба сервер в АД ввели, или в клиенте логинитесь с учеткой АД и хотите видеть вендовые шары?
В последнем случае, вообще говоря, smb.conf почти что не у дел. Работает winbind (если вы pam через него настраивали). А проблема в этом случае, я думаю, только в том, что файловый менеджер не умеет (или не настроен) керберос билеты предъявлять.
Попробуйте утилиты smbclient и/или mount.cifs с ключиками, что аутентификация толжна быть через керберос.
>>
>>вот smb.conf ... хотя это уже последний вариант, но с ним тоже
>>самое, загружается клиент через ltsp, логиниться в ОС, а к шарам
>>на виндовых тачках (они конечно в домене) при первом входе все
>>равно надо ввести пароль, а за тем все работает нормально :(
>>Вообще если ты на WIn машине зашел в домен и заходишь на самбу не должно спрашивать пароль.
это криво настроен winbind статей много в инете.
http://blog.vodnikinet.ru/?p=144
попробуй поднять вот по этому сценарию у меня все работает.
>[оверквотинг удален]
>>
>
>Так вы самба сервер в АД ввели, или в клиенте логинитесь с
>учеткой АД и хотите видеть вендовые шары?
>В последнем случае, вообще говоря, smb.conf почти что не у дел. Работает
>winbind (если вы pam через него настраивали). А проблема в этом
>случае, я думаю, только в том, что файловый менеджер не умеет
>(или не настроен) керберос билеты предъявлять.
>Попробуйте утилиты smbclient и/или mount.cifs с ключиками, что аутентификация толжна быть через
>керберос.да, это я и описывал в вопросе, Дебиан, в АД, пользователи заходят через терминал, так же есть "тонкие клиенты" (ltsp), логинятся пользователи с помощью доменных учеток из АД W2K3 в Дебиан ... для просмотра виндовых шар использую конкуер (это к вопросу вопросу по клиенту) ... пример запроса: smb://server/ и вот тут то и приходиться вводить пароль, и он сохраняется в сессии до логофа ...
я конечно примонтировал нужные шары (с виндового сервака) со своими правами (пока что так) локально в дебиан, и все работает, просто вопрос - почему не подхватывает аутентифицированного пользователя в дебиане и не отдает шары винда?
по все видимости проблема в PAM ... буду ковырять,
оффтоп: на сколько я понимаю smbclient, если запускается без ключей использает smb.conf, вот потому и кинул пример конфига!
>я конечно примонтировал нужные шары (с виндового сервака) со своими правами (пока
>что так) локально в дебиан, и все работает,Значит, всё норма (Кстати, монтируете с аутентификацией керберос или нтлм?)
> просто вопрос -
>почему не подхватывает аутентифицированного пользователя в дебиане и не отдает шары
>винда?Думаю, потому что клиент (конкуер) не умеет предъявлять керберос билет. А после ввода пароля аутентификация проходит по нтлм. Чтобы не гадать, посмотрите логи на вендовом серваке, по идее и в венде они должны быть.
>по все видимости проблема в PAM ... буду ковырять,не думаю