21 октября, воскресенье 02:27
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Проблемы с добавлением Samba в домен Win 2003

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Проблемы с добавлением Samba в домен Win 2003

    Задача: Необходимо включить сервер под управлением UnixWare в домен Windows 2003
    Домен: MYDOMAIN.MYFIRM.RU
    Контроллер домена:alfasm.mydomain.myfirm.ru
    Подключаемый сервер: reserv

    Выполненные действия:
    1. Установлен Maintance Pack 3
    2. Установлен Samba Supplement for UnixWare 7.1.4
    3. Сконфигурирован файл настройки Kerberos.
    Он имеет вид:
    ****************
    [libdefaults]
    default_realm = MYDOMAIN.MYFIRM.RU
    clockskew = 300
    v4_instance_resolve = false
    v4_name_convert = {
    host = {
    rcmd = host
    ftp = ftp
    }
    plain = {
    something = something-else
    }
    }

    [realms]
    MYDOMAIN.MYFIRM.RU = {
    kdc = alfasm.mydomain.myfirm.ru
    }
    OTHER.REALM = {
    v4_instance_convert = {
    kerberos = kerberos
    computer = computer.some.other.domain
    }
    }
    [domain_realm]
    .my.domain = MY.REALM
    *******************
    4. Выполнена команда kinit имя_пользователя_ad> .
    Введен пароль.
    В результате получен билет.
    5. Настроен файл /etc/samba/smb.conf
    Он имеет следующий вид.

    *************
    # Samba config file created using SWAT
    # from
    # Date: 2007/12/25 15:49:27

    [global]
    workgroup = MYDOMAIN
    netbios name = reserv
    realm = MYDOMAIN.MYFIRM.RU
    password server = alfasm.mydomain.myfirm.ru
    server string = Reserv Server
    passdb backend = tdbsam
    security = ADS
    auth methods = winbind
    encrypt passwords = Yes
    template homedir = /home2/%U
    paranoid server security = No
    load printers = No
    show add printer wizard = No
    template shell = /bin/bash
    idmap uid = 15000-20000
    idmap gid = 15000-20000
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain =Yes
    winbind nested groups = No
    winbind refresh tickets = Yes
    case sensitive = No
    log file = /var/log/samba/log.smbd-%m
    smb passwd file = /etc/samba/private/smbpasswd
    log level = 4
    ldap ssl = no
    hide unreadbable = Yes
    [homes]
    comment = Home Directories for %u
    read only = No
    browseable = Yes

    [Public]
    comment = Public Direcroty
    path = /home2
    valid users = MYDOMAIN\user
    [Proba]
    comment = Test Directory
    guest ok = Yes
    path = /home2/proba
    ************************************
    6. Выполнена команда
    net ads join -U администратор_домена>
    В машина вошла в домен. Появилась в оснастке Пользователи и компьютеры AD и в сетевом окружении.
    (Так же пробовалась команад net rpc join -S alfasm.mydomain.myfirm.ru -U администратор_домена> выполнена
    была так же успешно.
    7. Запущен winbind. Для этого выполнена команда winbindd.
    8. Проведена проверка пользователей домена wbinfo -u, wbinfo -g. Получены списки пользователей и групп домена.
    9. Изменен файл nsswitch.conf.
    Он имеет вид:
    *******************
    passwd: winbind files
    group: winbind files
    shadow: winbind files
    iaf: winbind files
    *********************
    10. Для пробы выполнена команда chown MYDOMAIN\\user /home2/proba. Команда выполняется успешно. Владелец директории успешно изменяется на MYDOMAIN\\user. Если указывать пользователя которого нет в домене, то выдается ошибка, что такого
    пользователя не существует.
    10. Запущен smbd и nmbd.
    11. При попытке зайти через сетевое окружение на компьютер под UnixWare как правило выдает сообщение об ошибке, пришет, что данная учетная запись не имеет права доступа к компьютеру. Если обращаться к компьютеру через ip адресс, то есть в проводнике windows набрать в строке адресса \\192.xxx.xxx.xxx, происходит
    вход на компьютер с самбой. При попытке обращения к ресурсам выдает запрос на ввод пароля учетной записи гость. Если для ресурса указана опция guest ok = yes, то доступ к ресурсу осуществляется. Так же интересно, что в ресурсах отображается папка с именем доменного пользователя от имени, которого осуществлен вход. То есть если пользователь MYDOMAIN\user, то в результате получаем следующие ресурсы public, proba, user.
    12. Введено изменение в PAM модуль Samba теперь имеет следующий вид:
    #ident "@(#)opensrc:src/samba/SCO/samba.pam /main/uw714mp/2"
    auth sufficient /usr/lib/security/pam_winbind.so
    auth requisite /usr/lib/security/pam_unix.so nullok
    account sufficient /usr/lib/security/pam_winbind.so
    account requisite /usr/lib/security/pam_unix.so nullok
    password requisite /usr/lib/security/pam_unix.so
    session requisite /usr/lib/security/pam_unix.so
    13. Получить доступ к ресурсам всеравно не удается.

    Вопрос: Из - за чего может быть такое глючное поведение самбы? Где допущена ошибка? И по возможности правильное решение входа samba в домен Win 2003?

  • #2
    А что в логах сервера и клиента появляется тот момент, когда клиент получает сообщение "данная учетная запись не имеет права доступа к компьютеру"?
    Ну и по-хорошему уровень отладки у самбы увеличивать надо, чтобы что-то понять.

    Комментарий


    • #3
      Логи самбы с уровнем отладки 5.
      Выложил в архиве, так как они достаточно большие и буду засорять тему.

      Комментарий


      • #4
        Попробуйте Самбу от SCO с ней проблем не должно возникнуть.

        Комментарий


        • #5
          [Public]
          comment = Public Direcroty
          path = /home2
          valid users = MYDOMAIN\user

          Пробовали valid users = MYDOMAIN\\user ? (слеш двойной)
          Сам MYDOMAIN\User имеет права доступа на папку /home2 (file mode позволяет хотя бы читать)?

          Имена пользователей могут быть чувствительны к регистру в некоторых случаях (MYDOMAIN\User != MYDOMAIN\user)

          В конце krb5.conf (или как там его) желательно добавить
          .mydomain.myfirm.ru = MYDOMAIN.MYFIRM.RU

          И самое главное !!!
          На рабочих станциях-клиентах в политиках безопасности необходимо указать параметры, приведенные в HOWTO по поводу Win+Samba
          Параметр "Разрешить отправку незашифрованного пароля сторонним SMB-серверам" в режиме ADS можно не менять, так как клиент работает с тикетом, а вот требования подписывания "Клиент сети Microsoft: использовать цифровую подпись (всегда)" надо отключить, так как Samba не поддерживает (насколько мне извесно) SMB Signing.
          Также "Член домена: всегда требуется цифровая подпись или шифрование данных безопасного канала" - этот параметр может мешать (в зависимости от версии самбы)

          Комментарий


          • #6
            balamutik
            Самба используется с диска Samba Supplement for UnixWare 7.1.4
            соответсвенно как раз с ней проблемы и возникают.

            Полковник
            В krb5.conf исправления внес.
            В групповоую политику контроллера домена внес следующие изменения:
            Microsoft network client: Digitally sign communications (always) = Disable
            Microsoft network client: Send unencrypted password to connect to third-party SMB servers = Enable

            Microsoft network server: Digitally sign communications (always) = Disable
            Microsoft network server: Digitally sign communications (if client agrees) = Enable

            Для следующих политик установлены следующие значения:
            Domain member: Digitally encrypt or sign secure channel data (always) = Enable

            До авторизации пользователя при доступе к директории как я понимаю дело не доходит вообще. Так как при попытке доступа к UnixWare с Samba из сетевого окружения получаю ошибку (картинка с ошибкой прилагается).
            Интересно, что с самого сервера UnixWare доступ к другим компьютерам домена благополучно проходит по smbclient -L имя комп> -U user>.
            Так же по wbinfo -a MYDOMAIN\\user%Пароль выводится, что пароль действующий и нормальный.

            Комментарий


            • #7
              Самба используется с диска Samba Supplement for UnixWare 7.1.4
              соответсвенно как раз с ней проблемы и возникают.

              Скачайте с фтп SCO нормальную самбу. У меня стоит версия 3.0.23с и все нормально работает.
              А по скриншоту видно, что дело в самбе, а не в настройках ДК

              Комментарий


              • #8
                Зачем в политику контроллера домена? В что, с контроллера домена на самбу лезете? Вносить изменения надо в объект политики, который действует на клиентскую машину, так как эта настройка действует на "Клиент сети Microsoft".
                Если не знаете как найти этот объект, либо правьте Default Domain Policy - если никто новых объектов не создавал, на раб. станции действует именно она. Или в "Локальной политике безопасности" на клиентах...
                Кстати, "Domain member: Digitally encrypt or sign secure channel data (always)" можно по идее оставить в Enabled, а вот "Domain member: require strong session key (Windows 2000 or later)" надо попробовать поставить Disabled

                И по скриншоту, кстати, ничего не видно. Хотя б записи из журнала System привели....

                Комментарий


                • #9
                  Простите за неточность не групповую политику контроллера домена, а групповую политику применяемую ко всему домену. Групповая политика средства для централизованного управления объектами в сетях Windows, соответственно все изменения приведенные в групповой политики будут применены для всех рабочих станций входящих в домен. Поэтому мне не понятно зачем необходимо править
                  именно локальные политики рабочих станций. Тем более, что применяться будет групповая политика домена.
                  Пожалуйста, объективно поясните, даже если попытка доступа осуществляется с контроллера домен, что в этом страшного и чем такой способ доступа отличается от входа на сервер под управлением Самбы при доступе к нему же, с какой-либо рабочей станции домена?
                  Согласен с balamutik, судя по сообщению об ошибке(картинка), при попытке соединения проблема возникает именно в Самбе и не совсем ясно, что покажут записи журнала System. Хотя если поможет разобраться в проблеме завтра выложу.

                  Так же интересен момент, что если обращаться к серверу не через сетевое окружение, а напрямую по его IP адрессу, то доступ к серверу существляется, то есть отображаются все ресурсы сервера под самбой, но при попытке доступа к ресурсам выдается сообщение на запрос пароля (имя пользователя имеет следующий вид xxx.xxx.xxx.xxx\Guest и запрещено к редактированию). Но при указании любого пароля даже реальной учетной записи UnixWare доступ не разрешается.

                  balamutik
                  Samba Supplement for UnixWare 7.1.4 содержит Samba 3.0.24, располагается ftp://ftp.sco.com/pub/unixware7/714/other/uw714samba
                  Вы считает, что все таки стоит установить предыдущую версию самбы? Вам удалось подключить ее к домену?

                  Комментарий


                  • #10
                    В общем ставьте самбу как у меня, с конфигами помогу, настроим вместе. В пм свой icq скиньте. Там и пообщаемся. Была примерно такая же проблема, все решилось именно установкой самбы версии 3.0.23с

                    Комментарий


                    • #11
                      Проблема решена! Огромное спасибо balamutik и Полковник за участие в теме. Отдельная благодарность balamutik!
                      Проблема действительно заключалась в неправильной версии самбы. При установке Maintance Suppliment For Samba по какой-то причине из всех пакетов не установилась именно самба и соответсвенно UnixWare работал со старой версией Самбы. Проблема решена отдельной установкой самбы из пакета.

                      Комментарий

                      Пользователи, просматривающие эту тему

                      Свернуть

                      Присутствует 1. Участников: 0, гостей: 1.

                      Обработка...
                      X