LINUX.ORG.RU
ФорумAdmin

samba member of ADS & user mapping


0

0

 Есть samba 3.0.14 (и 3.0.20), включенная мембером в ADS Windows домен DOMAIN.

На ней расшарена одна директория \\tmp. Пользователи домена, при попытке создать файлы внутри этой папки их успешно создают, но права на файлы выставляются как nobody:nobody

ls -l /tmp/samba/
total 32
drwxr-xr-x  2 nobody nobody 4096 Oct  6 10:53 test2
drwxr-xr-x  2 nobody nobody 4096 Oct  6 16:31 test3
drwxr-xr-x  2 nobody nobody 4096 Oct  6 10:50 test_new

Соответственно, не пользователи не могут получить доступ к директориям (с самбовской шары), на которые средстваими ос установлены права доступа для определенных групп:

ls -l
dr-xr-x---  2 10092       4096 Oct  4 18:57 business

Самба собрана с поддержкой керберос и winbind, net ads join в домен прошел успешно. ОС видит пользователей из вин домена:

wbinfo -u и wbinfo -g выдает пользователей и группы из вин-домена (ну и локальные)
getent passwd выдает passwd файл локальных пользователей и доменных.
id "domain\\user" выдает информацию о пользователе домена

Но тем не менее, все попытки залогинится доменным пользователем в самба-шару, оканчивается тем, что пользователю выдается гостевые права:

auth/auth_util.c:make_user_info_map(224) make_user_info_map: Mapping user [VEGA]\[user1] from workstation [CREATIVE]
<...>
check_ntlm_password:  Checking password for unmapped user [VEGA]\[user1]@[CREATIVE] with the new password interface
libsmb/trustdom_cache.c:trustdom_cache_fetch(184) no entry for trusted domain VEGA found.

auth/auth_util.c:make_user_info(132) attempting to make a user_info for user1 (user1)
auth/auth_util.c:make_user_info(142) making strings for user1's user_info struct
auth/auth_util.c:make_user_info(184) making blobs for user1's user_info struct
auth/auth.c:check_ntlm_password(219) check_ntlm_password:  Checking password for unmapped user [VEGA]\[user1]@[CREATIVE] with the new password interface
auth/auth.c:check_ntlm_password(222) check_ntlm_password:  mapped user is: [DOMAIN]\[user1]@[CREATIVE]
lib/util.c:dump_data(1995)  [000] 9C 7A 63 2B CD 42 0F 09                           .zc+.B..
auth/auth_winbind.c:check_winbind_security(80)
  check_winbind_security: Not using winbind, requested domain [DOMAIN] was for this SAM.
auth/auth.c:check_ntlm_password(312)
  check_ntlm_password:  Authentication for user [user1] -> [user1] FAILED with error NT_STATUS_NO_SUCH_USER

Т.е. такое впечатление, что самба не использует winbind для проверки существования и аутентификации пользователя :(

Конфиг самбы
===================================================================
[global]
  workgroup = DOMAIN
  realm = DOMAIN.COMPANY.RU

  auth methods = winbind
  winbind use default domain = yes

  netbios name = VEGA

  log file = /var/log/samba/log.%m
  max log size = 5000
  log level = 10

  map to guest = bad user

  security = ADS
  password server = *
  encrypt passwords = yes

  socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384

  local master = no
  os level = 20
  domain master = no
  preferred master = no

  idmap uid = 20000-30000
  idmap gid = 20000-30000
  winbind enum users = yes
  winbind enum groups = yes

  dns proxy = no

[tmp]
    comment = tmp resource
    path = /tmp/samba
    writable = yes
    browseable = yes
    public = yes
===================================================================


Конфиг mit-krb5-1.4.1
===================================================================
[libdefaults]
        ticket_lifetime = 600
        default_realm = DOMAIN.COMPANY.RU
        default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
        default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc

[realms]
        DOMAIN.COMPANY.RU = {
        kdc = dc1.domain.company.ru
        admin_server = dc1.domain.company.ru
        }

[domain_realm]
        .domain.company.ru = DOMAIN.COMPANY.RU
        domain.company.ru = DOMAIN.COMPANY.RU

[kdc]
        profile = /etc/krb5kdc/kdc.conf

[logging]
        kdc = FILE:/var/log/krb/krb5kdc.log
        admin_server = FILE:/var/log/krb/kadmin.log
        default = FILE:/var/log/krb/krb5lib.log

===================================================================


Пробовал убирать строки
  auth methods = winbind
  winbind use default domain = yes
но изменений не заметно. 

Re: samba member of ADS & user mapping

> Пользователи домена, при попытке создать файлы
> внутри этой папки их успешно создают,
> но права на файлы выставляются как nobody:nobody
у тебя сработал:
map to guest = bad user

но это не исправление твоей ситуации.
у меня на FC4 как член домена все работает, конфиг такой же.

anonymous2 ★★★★ ()
Ответ на: Re: samba member of ADS & user mapping от anonymous2

Re: samba member of ADS & user mapping

Все очень странно, но комментирование этой строчки помогло ;-0 Потом раскомментировал - и опять работает, прямо мистика какая то :)

Спасибо!

eightn ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.