URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2586
[ Назад ]
Исходное сообщение
"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено immortald , 08-Апр-13 05:03 
Здрасте всем!! Помогите плиз кто знает или сталкивался уже!!!
Настраиваю файлопомойку на FreeBSD 9.0
Все встало на УРА... Все работает, машина в домене, шары сделаны + прикручена корзина и аудит.. НО! Пользователи с учетками на латинице заходят на шару без проблем (хоть адмниы, хоть обычные), а вот юзеры с русскими учетками не могут, запрашивается логин и пароль и все... Есть мысли какие-нидь по решению, гуру иксов??
Вот конфиг самбы...
#======================= Global Settings =====================================
[global]
        workgroup = DOMAIN
        server string = File Server
        security = ADS
        hosts allow = 192.168.10. 192.168.20. 127.
        load printers = no
        log file = /var/log/samba/log.%m
        max log size = 50
        password server = 192.168.10.1
        realm = DOMAIN.RU
        netbios name = file
        dns proxy = no

        display charset = koi8-r
        unix charset = koi8-r
        dos charset = cp866
        client codepage = 1251

        nt acl support = yes
        inherit acls = yes
        map acl inherit = yes
        winbind use default domain = yes
        admin users = "@DOMAIN\Администраторы домена", SERVIKO\admin
        defer sharing violations = false
        winbind enum users = yes
        winbind enum groups = yes
        winbind uid = 10000-20000
        winbind gid = 10000-20000

#============================ Share Definitions ==============================
[personal]
        comment                 = Сетевая папка обмена
        path                    = /files/personal
        veto files              = /*.scr/*.mp3/
        read list               = "@DOMAIN\пользователи домена"
        write list              = "@DOMAIN\пользователи домена"
        admin users             = "@DOMAIN\администраторы домена"
        read only               = No
        create mask             = 0660
        directory mask          = 0770
        locking                 = no
        force unknown acl user  = yes
        vfs object              = recycle full_audit
        recycle:repository      = /files/trash/%S
        recycle:keeptree        = Yes
        recycle:touch           = Yes
        recycle:touch_mtime     = Yes
        recycle:version         = Yes
        recycle:maxsize         = 0
        recycle:exclude         = *.TMP *.tmp
        recycle:directory_mode  = 0770
        recycle:versions        = Yes
        recycle:minsize         = 0
        full_audit:prefix       = share=%S; id=%U; ip=%I -->
        full_audit:failure      = none
        full_audit:success      = mkdir rmdir write pwrite sendfile rename
        full_audit:facility     = local5
        full_audit:priority     = notice

[trash]
        comment                 =
        path                    = /files/trash
        veto files              = /*.scr/*.mp3/
        read list               = "@DOMAIN\пользователи домена"
        write list              = "@DOMAIN\пользователи домена"
        admin users             = "@DOMAIN\администраторы домена"
        browseable              = no

krb5.conf:
[libdefaults]
        default_realm = DOMAIN.RU
        clockskew = 300
        ticket_lifetime = 24000
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
        DOMAIN.RU = {
                kdc = dcad1.domain.ru
                admin_server = dcad1.domain.ru
                kpasswd_server = dcad1.domain.ru
                default_domain = domain.ru
        }
        OTHER.REALM = {

                v4_instance_convert = {

                        kerberos = kerberos

                        computer = dcad1.domain.ru

                }

        }
[domain_realm]
        .domain.ru = DOMAIN.RU

В логах 0!! Полнейший)) Очистил логи, пытаюсь зайти, открываю логи - ни одной строки, 0...
Команда wbinfo -u и -g видит по русски и пользователей и группы...

Содержание
Сообщения в этом обсуждении
"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено sasku , 08-Апр-13 09:06 
>         display charset = koi8-r
>         unix charset = koi8-r
>         dos charset = cp866
>         client codepage = 1251

может на utf8 попытаться перейти ?

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено immortald , 08-Апр-13 09:20 
>>         display charset = koi8-r
>>         unix charset = koi8-r
>>         dos charset = cp866
>>         client codepage = 1251
> может на utf8 попытаться перейти ?

Переключаю в самбе utf8 зайти вообще не могу, не доступа пишет.. Может имеете ввиду и локаль перевести на utf8??

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено immortald , 08-Апр-13 09:29 
Поменял, ситуация не изменилась, русских не пусчает... Просит логин и пароль.
Странно хотя wbinfo все видит, id тоже:
[15:26] file >id Васильев_Василий
uid=10013(vasya) gid=10009(пользователи домена) groups=10009(пользователи домена)
"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено name , 09-Апр-13 12:34 

> В логах 0!! Полнейший)) Очистил логи, пытаюсь зайти, открываю логи - ни
> одной строки, 0...
> Команда wbinfo -u и -g видит по русски и пользователей и группы...

# Cap the size of the individual log files (in KiB).
   max log size = 50000

# We want Samba to log a minimum amount of information to syslog. Everything
# should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
# through syslog you should set the following parameter to something higher.
    syslog = 0
    log level = 3

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено immortald , 10-Апр-13 04:18 
>[оверквотинг удален]
>> одной строки, 0...
>> Команда wbinfo -u и -g видит по русски и пользователей и группы...
> # Cap the size of the individual log files (in KiB).
>    max log size = 50000
> # We want Samba to log a minimum amount of information to
> syslog. Everything
> # should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
> # through syslog you should set the following parameter to something higher.
>     syslog = 0
>     log level = 3

Увеличил лог...
[2013/04/10 10:02:48.497310,  3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [23] failed to decrypt with error Invalid argument
[2013/04/10 10:02:48.497341,  3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [1] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497365,  3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [3] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497400,  3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [23] failed to decrypt with error Decrypt integrity check failed
[2013/04/10 10:02:48.497424,  3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [1] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497447,  3] libads/kerberos_verify.c:429(ads_secrets_verify_ticket)
  libads/kerberos_verify.c:429: enc type [3] failed to decrypt with error Program lacks support for encryption type
[2013/04/10 10:02:48.497464,  3] libads/kerberos_verify.c:632(ads_verify_ticket)
  libads/kerberos_verify.c:632: krb5_rd_req with auth failed (Program lacks support for encryption type)
[2013/04/10 10:02:48.497477,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2013/04/10 10:02:48.497485,  3] smbd/error.c:81(error_packet_set)
  error packet at smbd/sesssetup.c(344) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2013/04/10 10:02:48.497495,  5] lib/util.c:332(show_msg)
[2013/04/10 10:02:48.497499,  5] lib/util.c:342(show_msg)
Чем то шифрование кербероса не устраивает... Стучу в бубен дальше))
Хотя саму аутентификацию winbind отстреливает на ура...
[10:14] file /var/log/samba >wbinfo -a "Васильев_Василий"
Enter Васильев_Василий's password:
plaintext password authentication succeeded
Enter Васильев_Василий's password:
challenge/response password authentication succeeded

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено luckyy , 09-Окт-13 03:58 
>[оверквотинг удален]
>   error packet at smbd/sesssetup.c(344) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
> [2013/04/10 10:02:48.497495,  5] lib/util.c:332(show_msg)
> [2013/04/10 10:02:48.497499,  5] lib/util.c:342(show_msg)
> Чем то шифрование кербероса не устраивает... Стучу в бубен дальше))
> Хотя саму аутентификацию winbind отстреливает на ура...
> [10:14] file /var/log/samba >wbinfo -a "Васильев_Василий"
> Enter Васильев_Василий's password:
> plaintext password authentication succeeded
> Enter Васильев_Василий's password:
> challenge/response password authentication succeeded

небольшой оффтоп:
работает ли разграничение прав доступа, через доменные группы при таком конфиге?

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено immortald , 09-Окт-13 04:37 
> небольшой оффтоп:
> работает ли разграничение прав доступа, через доменные группы при таком конфиге?

Работает, но корявенько, не так как хотелось бы, во-первых железно работает разграничение трех типов: "Разрешить все", "Только чтение", "Запретить все" (может конечно еще с самбой не до конца разобрался). И во-вторых с наследованием прав трабла, на папки вроде проходит, а на сами файлы внутри ни как... Кажется что перебивают разрешения в конфиге, пока с разрешениями в конфиге не играл...

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено luckyy , 09-Окт-13 09:03 
>> небольшой оффтоп:
>> работает ли разграничение прав доступа, через доменные группы при таком конфиге?
> Работает, но корявенько, не так как хотелось бы, во-первых железно работает разграничение
> трех типов: "Разрешить все", "Только чтение", "Запретить все" (может конечно еще
> с самбой не до конца разобрался). И во-вторых с наследованием прав
> трабла, на папки вроде проходит, а на сами файлы внутри ни
> как... Кажется что перебивают разрешения в конфиге, пока с разрешениями в
> конфиге не играл...

понтятно! Удачно настроить вам фалопомойку :-)
в сторону готовых дистрибутивов не смотрели, например FreNAS ?
http://macrodmin.blogspot.ru/2011/03/freenas.html

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено immortald , 09-Окт-13 09:41 
> понтятно! Удачно настроить вам фалопомойку :-)
> в сторону готовых дистрибутивов не смотрели, например FreNAS ?
> http://macrodmin.blogspot.ru/2011/03/freenas.html

Да я это вроде хранилище настроил, пока устраивает:) Благо при переноси с винды тоталом, все права остались не изменными, вот и работает пока...
Здесь прикрутил логи и корзину сетевую, нравится))
А по поводу готовых, не... Люблю я почему то FreeBSD... может легкие пути не устраивают:)

"Samba + AD и русские имена юзеров NEED HELP!!"
Отправлено luckyy , 09-Окт-13 11:20 
>> понтятно! Удачно настроить вам фалопомойку :-)
>> в сторону готовых дистрибутивов не смотрели, например FreNAS ?
>> http://macrodmin.blogspot.ru/2011/03/freenas.html
> Да я это вроде хранилище настроил, пока устраивает:) Благо при переноси с
> винды тоталом, все права остались не изменными, вот и работает пока...
> Здесь прикрутил логи и корзину сетевую, нравится))
> А по поводу готовых, не... Люблю я почему то FreeBSD... может легкие
> пути не устраивают:)

FreeNAS ^-^