LINUX.ORG.RU
ФорумAdmin

Смешанный доступ к шарам на SAMBA

 


0

2

Приветствую Вас форумчане. Прошу помощи. Есть шары на самбе. Сейчас они работают с доступом по IP клиентов. Начальство хочет AD. Сейчас развернул для тестов новый сервер самбы. Воткнул его в AD. Доступ к шарам на тестовой самбе по пользователям или группам AD работает, но перестал работать доступ по ip. При обращении к самбе по ip или имени (с ПК не в домене) сразу получаю отлуп, что нет сервера способного обработать запрос. Настраивал с опцией securyty = ADS в глобале. Но проблемма в том что есть компы на предприятии (например, ноутбуки начальства) которые никогда не будут включаться в домен, а доступ к шарам им нужен. Вопрос. Можно ли как нибудь сделать смешанный режим безопасности? Т.е. с компов в домене авторизация по пользователям AD, а с компов вне домена по ip. Пробовал тупо в секцию шары дописать и доступ по AD, и по ip. Не взлетело. Кажется мне что это решаемая задача и кто-то такое уже использует. А вот я застрял и не могу решить такую проблемму. Сильно не пинайте если что. Буду благодарен за любую помощь!

Эммм... Может я не в курсе чего, но насколько я помню, самба-сервер для машин вне домена просто спрашивал имя доменного пользователя и пароль, после чего успешно пускал на шару. В чем проблема выдать пользователям логины и пароли? Или ты хочешь без пароля вообще? Так-то в винде есть галка «запомнить пароль»

Khnazile ★★★★★ ()
Ответ на: комментарий от Khnazile

Самба не спрашивает логин/пароль. Просто сообщение «Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть» А вообще да, хотел бы без логина/пароля. Просто доступ на основании ip клиента (для не входящих в домен)

rostma ()
Последнее исправление: rostma (всего исправлений: 1)
Ответ на: комментарий от rostma

Без конфига тут не понять. У меня с готовым конфигом с самбовской вики таких ошибок не возникло.

[global]
   workgroup = TESTDIR
   security = ADS
   realm = TESTDIR.EXAMPLE.COM

   winbind refresh tickets = Yes
   vfs objects = acl_xattr
   map acl inherit = Yes
   store dos attributes = Yes

   dedicated keytab file = /etc/krb5.keytab
   kerberos method = secrets and keytab

   winbind use default domain = no

   load printers = no
   printing = bsd
   printcap name = /dev/null
   disable spoolss = yes

   log file = /var/log/samba/%m.log
   log level = 1

   idmap config * : backend = tdb
   idmap config * : range = 3000-7999
   idmap config TESTDIR:backend = rid
   idmap config TESTDIR:range = 10000-999999

;  winbind enum users = yes
;  winbind enum groups = yes

   template shell = /usr/sbin/nologin
   template homedir = /home/%U

[testshare]
   comment = Test share
   browsable = yes
   read only = no
   path = /shares/test

Khnazile ★★★★★ ()

Но проблема в том что есть компы на предприятии (например, ноутбуки начальства) которые никогда не будут включаться в домен

А почему, если не секрет? Если это вопрос безопасности, то всегда можно выделить эти машины в отдельный поддомен со своими правилами достпа. В крайнем случае, в отдельный домен и настроить односторонние доверительные отношения.

Serge10 ★★★★★ ()
Последнее исправление: Serge10 (всего исправлений: 1)
Ответ на: комментарий от Khnazile

Взял вашу конфигурацию, подправил под свой домен и результат такой же. Доменных пользователей пускает, не доменных нет. Даже логин/пароль не просит. Завтра постараюсь выложить свой конфиг. Может из него понятней будет

rostma ()
Ответ на: комментарий от rostma

Это в винде сейчас запрет на посещение недоменной самбы. Нужно отключить это дело в политиках безопасности.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.