URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2356
[ Назад ]

Исходное сообщение
"Samba+AD Win2k3"

Отправлено nnm , 01-Сен-10 11:57 
Доброго времени суток, возник вопрос (проблемой назвать трудно).
поднял Debian, вогнал в АД, настроил самбу и керберос, вообщем пользователи логиняться в дебиане с помощью доменных учеток нормально, проблема в одном - при просмотре шар самбы, сначала появляется форма ввода логина и пароля, вводишь логин+пароль и все нормально работает, но почему не подхватывает учетные данные с помощью которых залогинен пользователь в данный момент? где хотя бы ковырять, подскажите ...

Содержание

Сообщения в этом обсуждении
"Samba+AD Win2k3"
Отправлено начинающий , 01-Сен-10 16:34 
>Доброго времени суток, возник вопрос (проблемой назвать трудно).
>поднял Debian, вогнал в АД, настроил самбу и керберос, вообщем пользователи логиняться
>в дебиане с помощью доменных учеток нормально, проблема в одном -
>при просмотре шар самбы, сначала появляется форма ввода логина и пароля,
>вводишь логин+пароль и все нормально работает, но почему не подхватывает учетные
>данные с помощью которых залогинен пользователь в данный момент? где хотя
>бы ковырять, подскажите ...

Может клиент (о нем вы не пишете) посылает самбе данные для ntlm аутентификации вместо керберос билета.
В семерке у меня подобная проблема решилась очисткой базы паролей.


"Samba+AD Win2k3"
Отправлено nnm , 02-Сен-10 13:52 
>[оверквотинг удален]
>>поднял Debian, вогнал в АД, настроил самбу и керберос, вообщем пользователи логиняться
>>в дебиане с помощью доменных учеток нормально, проблема в одном -
>>при просмотре шар самбы, сначала появляется форма ввода логина и пароля,
>>вводишь логин+пароль и все нормально работает, но почему не подхватывает учетные
>>данные с помощью которых залогинен пользователь в данный момент? где хотя
>>бы ковырять, подскажите ...
>
>Может клиент (о нем вы не пишете) посылает самбе данные для ntlm
>аутентификации вместо керберос билета.
>В семерке у меня подобная проблема решилась очисткой базы паролей.

вот smb.conf ... хотя это уже последний вариант, но с ним тоже самое, загружается клиент через ltsp, логиниться в ОС, а к шарам на виндовых тачках (они конечно в домене) при первом входе все равно надо ввести пароль, а за тем все работает нормально :(
[global]
        dos charset = cp866
        unix charset = UTF8
        display charset = UTF8
        workgroup = test
        realm = test.INFO
        server string = Storage samba server
        interfaces = eth0
        bind interfaces only = Yes
        security = ADS                     # domain тоже не работает
        auth methods = trustdomain         # пробовал разные методы
        obey pam restrictions = Yes
        password server = 192.168.204.3 192.168.204.12
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
        ntlm auth = No
        log level = 5
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 100
        name resolve order = dns host lmhosts wins bcast
        printcap name = CUPS
        local master = No
        domain master = No
        dns proxy = No
        wins server = 192.168.204.3
        ldap ssl = no
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-40000
        idmap gid = 10000-40000
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        invalid users = root


"Samba+AD Win2k3"
Отправлено начинающий , 02-Сен-10 19:34 
>
>вот smb.conf ... хотя это уже последний вариант, но с ним тоже
>самое, загружается клиент через ltsp, логиниться в ОС, а к шарам
>на виндовых тачках (они конечно в домене) при первом входе все
>равно надо ввести пароль, а за тем все работает нормально :(
>

Так вы самба сервер в АД ввели, или в клиенте логинитесь с учеткой АД и хотите видеть вендовые шары?
В последнем случае, вообще говоря, smb.conf почти что не у дел. Работает winbind (если вы pam через него настраивали). А проблема в этом случае, я думаю, только в том, что файловый менеджер не умеет (или не настроен) керберос билеты предъявлять.
Попробуйте утилиты smbclient и/или mount.cifs с ключиками, что аутентификация толжна быть через керберос.


"Samba+AD Win2k3"
Отправлено NVS , 03-Сен-10 06:04 
>>
>>вот smb.conf ... хотя это уже последний вариант, но с ним тоже
>>самое, загружается клиент через ltsp, логиниться в ОС, а к шарам
>>на виндовых тачках (они конечно в домене) при первом входе все
>>равно надо ввести пароль, а за тем все работает нормально :(
>>

Вообще если ты на WIn машине зашел в домен и заходишь на самбу не должно спрашивать пароль.
это криво настроен winbind статей много в инете.
http://blog.vodnikinet.ru/?p=144
попробуй поднять вот по этому сценарию у меня все работает.


"Samba+AD Win2k3"
Отправлено nnm , 03-Сен-10 09:48 
>[оверквотинг удален]
>>
>
>Так вы самба сервер в АД ввели, или в клиенте логинитесь с
>учеткой АД и хотите видеть вендовые шары?
>В последнем случае, вообще говоря, smb.conf почти что не у дел. Работает
>winbind (если вы pam через него настраивали). А проблема в этом
>случае, я думаю, только в том, что файловый менеджер не умеет
>(или не настроен) керберос билеты предъявлять.
>Попробуйте утилиты smbclient и/или mount.cifs с ключиками, что аутентификация толжна быть через
>керберос.

да, это я и описывал в вопросе, Дебиан, в АД, пользователи заходят через терминал, так же есть "тонкие клиенты" (ltsp), логинятся пользователи с помощью доменных учеток из АД W2K3 в Дебиан ... для просмотра виндовых шар использую конкуер (это к вопросу вопросу по клиенту) ... пример запроса: smb://server/ и вот тут то и приходиться вводить пароль, и он сохраняется в сессии до логофа ...

я конечно примонтировал нужные шары (с виндового сервака) со своими правами (пока что так) локально в дебиан, и все работает, просто вопрос - почему не подхватывает аутентифицированного пользователя в дебиане и не отдает шары винда?
по все видимости проблема в PAM ... буду ковырять,
оффтоп: на сколько я понимаю smbclient, если запускается без ключей использает smb.conf, вот потому и кинул пример конфига!



"Samba+AD Win2k3"
Отправлено начинающий , 03-Сен-10 16:19 
>я конечно примонтировал нужные шары (с виндового сервака) со своими правами (пока
>что так) локально в дебиан, и все работает,

Значит, всё норма (Кстати, монтируете с аутентификацией керберос или нтлм?)
> просто вопрос -
>почему не подхватывает аутентифицированного пользователя в дебиане и не отдает шары
>винда?

Думаю, потому что клиент (конкуер) не умеет предъявлять керберос билет. А после ввода пароля аутентификация проходит по нтлм. Чтобы не гадать, посмотрите логи на вендовом серваке, по идее и в венде они должны быть.
>по все видимости проблема в PAM ... буду ковырять,

не думаю