LINUX.ORG.RU
ФорумAdmin

samba kerberos win2003


0

0

На linux машине поставил samba3. Надо расшарить папки, но пользователей проверять на контроллере домена.
Все настроил как написано в статьях.
в домен машинка добавилась без проблем
wbinfo -u удачно показывает список пользователей
wbinfo -g удачно показывает группы
wbinfo -a username%password пишет что все саксесс
а при попытке зайти по сети на машину с самбой - не принимает пароль.
в логах самбы вот что и ничего больше
check_ntlm_password: Authentication for user [pupkin] -> [pupkin] FAILED with error NT_STATUS_NO_SUCH_USE

Что не так ?

anonymous

>>а при попытке зайти по сети на машину с самбой - не принимает пароль.

Из общих соображений - расшаренный ресурс должен также иметь свой ключ (пароль) в Kerberos и этот ключ должен быть перенесен в локальный (для расшаренного ресурса) файл /etc/keytab с помощью ktutil или kadmin.

geekkoo
()

>Надо расшарить папки, но пользователей проверять на контроллере домена. 

Всегда использовал security = server

Что интересного в security = Domain | ADS  ?

sdio ★★★★★
()
Ответ на: комментарий от sdio

Что интересного в security = Domain | ADS ?

В ADS интересно то, что в kerberos (необязательно AD, cifs работает с любым kerberos) можно иметь single sign-on. Пользователь вводит пароль при входе на рабочую станцию, а после этого имеет прозрачный доступ ко всем сетевымм ресурсам (сетевая файловая система, почта, ssh, telnet, ftp, прокси). +Единая база пользовательских паролей для всех этих сервисов, которую можно дополнить единой базой авторизационной информации с помощью, например, LDAP.

geekkoo
()
Ответ на: комментарий от sdio

>>При условии что "сетевые ресурсы" умеют работать с керберос или РАМ (pam_krb5), так?
Все вышеперечисленные - умеют работать с Kerberos напрямую или через SASL.

geekkoo
()
Ответ на: комментарий от sdio

Что значит излишество? Если AD есть и работает, то почему бы не добавить туда cifs.

geekkoo
()

У меня security = ads password server = мой.домен_контроллер И все прекрасно работает

pylon
()
Ответ на: комментарий от geekkoo

>Все вышеперечисленные - умеют работать с Kerberos напрямую или через SASL.

Это замечательно!

>Если AD есть и работает, то почему бы не добавить туда cifs.

Не понял связи, отстал я от виндовых прибамбасов. 
cifs без AD не работает? Просветите, если не лень.

sdio ★★★★★
()
Ответ на: комментарий от sdio

Есть пароли пользователей в AD, пользователи обучены эти пароли менять самостоятельно. Почему бы не научить cifs использовать эти же пароли, вместо того чтобы городить отдельную базу.

>>отстал я от виндовых прибамбасов.

Это не виндовые прибамбасы. Kerberos старая и почтенная технология разработанная в MIT. M$ со своим AD просто сделала её мэйнстримом. Вполне себе существуют и неплохо себя чувствуют POSIX-ные сервера и библиотеки Kerberos от MIT и Heimdal.

geekkoo
()
Ответ на: комментарий от geekkoo

>>отстал я от виндовых прибамбасов.
Это я о cifs+AD

Я так и не понял, откуда отдельная база паролей при security = server?

sdio ★★★★★
()
Ответ на: комментарий от sdio

>>отдельная база паролей

Подразумевалось - отдельная от других сетевых служб и системного логина.

geekkoo
()
Ответ на: комментарий от Rain

А какие права на каталоги должны быть ?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.