LINUX.ORG.RU
ФорумAdmin

CentOS5.2 + Windows 2003 server


0

0

Доброго времени суток. У нас сеть на 30 машин под управлением WindowsXP pro SP2, также есть сервер под управлением Windows 2003 server SP2 на котором подняты DC, DNS, DHCP, NTP, к тому же есть файл-сервер под управлением CentOS5.2 на котором поднят сервер Samba.
Имя домена: mydomain.local
имя контроллера домена: ad
имя файл-сервера: fs

Файл-сервер ввожу в домен след. образом:
команда kinit admin
запрос admin@MYDOMAIN.LOCAL:(здесь ввожу пароль)

команда net ADS join -U admin%password
Using short domain name -- MYDOMAIN
Joined 'FS' to realm 'MYDOMAIN.LOCAL'

команда wbinfo -p
Ping to winbindd succeeded on fd 4

команда wbinfo -t
checking the trust secret via RPC calls succeeded

команда wbinfo -u
MYDOMAIN\MYDOMAIN\krbtgt
MYDOMAIN\admin
MYDOMAIN\user01
MYDOMAIN\user02
MYDOMAIN\user03
MYDOMAIN\user04
MYDOMAIN\user05
MYDOMAIN\user06
MYDOMAIN\user07
MYDOMAIN\user08
MYDOMAIN\user09
MYDOMAIN\user10
MYDOMAIN\user11
MYDOMAIN\user12
MYDOMAIN\user13
MYDOMAIN\user14
MYDOMAIN\user15
MYDOMAIN\root
MYDOMAIN\user19

команда wbinfo -g
BUILTIN\administrators
BUILTIN\users
MYDOMAIN\MYDOMAIN\MYDOMAIN\MYDOMAIN\MYDOMAIN\MYDOMAIN\MYDOMAIN\MYDOMAIN\MYDOMAI N\dnsupdateproxy
MYDOMAIN\nicik
MYDOMAIN\nicck
MYDOMAIN\teh_otdel

Открываю контроллер домена, там появл ПК Fs, то есть файл-сервер в домен вошёл.
Если я пытаюсь открыть файл-сервер с любой клиентской машины, то выпадает окно авторизации, и я ввожу имя пользователя и пароль, после чего получаю доступ к ресурсам файл-сервера, а если я пытаюсь открыть файл-сервер с контроллера домена, то также выпадает окно авторизации, но при вводе имени пользователя и пароля(тех же самых), получаю ответ, что имя пользователя и пароль не действительны. Вопрос очевиден: в чём дело?

Файл krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMAIN.LOCAL
dns_lookup_kdc = false

[realms]
MYDOMAIN.LOCAL = {
default_domain = MYDOMAIN.LOCAL
kdc = ad.mydomain.local
admin_server = ad.mydomain.local
}

[domain_realm]
.mydomain.local = MYDOMAIN.LOCAL
MYDOMAIN.LOCAL = MYDOMAIN.LOCAL

Файл smb.conf

[global]
workgroup = MYDOMAIN
realm = MYDOMAIN.LOCAL
server string = FS
security = ADS
auth methods = winbind
password server = 192.168.0.2
log file = /var/log/samba/log.%m
max log size = 50
preferred master = No
local master = No
domain master = No
wins server = 192.168.0.2
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind enum users = Yes
winbind enum groups = Yes

[vol1]
comment = vol1
path = /vol1
admin users = admin
read only = No
guest ok = Yes
browseable = No

[vol2]
comment = vol2
path = /vol2
admin users = admin
read only = No
guest ok = Yes
browseable = No

Насколько я помню, в винде есть такой косяк - независимо от введенного при авторизации на шаре логина она отправляет серверу текущий логин юзера в системе.
Т.е. если вы работаете из-под аккаунта Administrator, а при авторизации на шаре вводите логин admin и пароль password, то винда отправит на сервер в качестве авторизационных данных логин Administrator и пароль password.

nnz ★★★★
()
Ответ на: комментарий от nnz

Зашёл в Windows 2003 server под учетной записью admin под ней же пытаюсь выйти на файл-сервер, результат тот же.

sasha198407
() автор топика
Ответ на: комментарий от sasha198407

короче, вот рабочие конфиги:

[global]
workgroup = DOMAIN
netbios name = TMP
server string = WWW
bind interfaces only = yes
interfaces = eth1
hosts allow = 192.168.0. 10.10.10. 127.
log level = 0
pid directory = /var/run/samba
log file = /var/log/samba/log.%m
max log size = 500
security = ADS
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
idmap uid = 10000-20000
winbind enum users = yes
winbind gid = 10000-20000
winbind enum groups = yes
os level = 0
password server = *
preferred master = no
winbind separator = +
encrypt passwords = true
dns proxy = no
realm = DOMAIN.RU
wins proxy = no
auth methods = trustdomain
winbind use default domain = yes
unix charset = UTF-8
dos charset = cp866

[Users]
comment = Users share
path = /home/share
writable = yes
public = yes
printable = no
directory mask = 755
create mask = 0666
valid users = @"DOMAIN+администраторы домена"


[libdefaults]
default_realm = DOMAIN.RU
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
DOMAIN.RU = {
kdc = AD.DOMAIN.RU
admin_server = AD.DOMAIN.RU
}

[domain_realm]
.domain.ru = AD.DOMAIN.ru
domain.ru = AD.DOMAIN.RU

[login]
krb4_convert = true
krb4_get_tickets = false



Morphine
()
Ответ на: комментарий от Morphine

Извеняюсь. Небольшой вопрос описанные ниже строки- это описание пользователя или расшаренной папки

[Users] comment = Users share path = /home/share writable = yes public = yes printable = no directory mask = 755 create mask = 0666 valid users = @"DOMAIN+администраторы домена"

sasha198407
() автор топика
Ответ на: комментарий от sasha198407

Ну а ты сравни что у тебя в конфиге:
>[vol1]

>comment = vol1

>path = /vol1

>admin users = admin

>read only = No

>guest ok = Yes

>browseable = No


и у меня:
[Users]
comment = Users share
path = /home/share
writable = yes
public = yes printable = no
directory mask = 755
create
mask = 0666
valid users = @"DOMAIN+администраторы домена"

Morphine
()
Ответ на: комментарий от Morphine

Да, действительно глупый вопрос, ладно разобрался. Только всё равно не помогло. Вообще, я склонен считать, что проблема не в CentOS, а в Windows 2003 server, т.к. с WindowsXP на файл-сервер под пользователем admin выходят нормально. Попробовал в настройках [global] прописать admin users = admin valid users = @"MYDOMAIN+администраторы домена" так стал писать, что мол ограничение доступа, обратитесь к сис. админу. Может на Windows 2003 server проблема с кодировкой?

sasha198407
() автор топика
Ответ на: комментарий от Morphine

# Samba config file created using SWAT # from 0.0.0.0 (0.0.0.0) # Date: 2009/08/04 16:21:43

[global] log file = /var/log/samba/log.%m idmap gid = 10000-20000 admin users = admin socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384 auth methods = trustdomain winbind use default domain = Yes realm = MYDOMAIN.LOCAL dns proxy = No netbios name = FS server string = FS winbind enum users = Yes idmap uid = 10000-20000 dos charset = cp866 workgroup = MYDOMAIN winbind enum groups = Yes # valid users = @"MYDOMAIN+администраторы домена" security = ads preferred master = no winbind separator = + bind interfaces only = Yes max log size = 500

[Users] comment = Users share path = /home/share valid users = @"MYDOMAIN+администраторы домена" read only = No create mask = 0666 guest ok = Yes

[vol1] comment = vol1 path = /vol1 read only = No guest ok = Yes browseable = No

[vol2] comment = vol2 path = /vol2 read only = No guest ok = Yes browseable = No

Файл krb5.conf

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log

[libdefaults] default_realm = MYDOMAIN.LOCAL dns_lookup_kdc = false

[realms] MYDOMAIN.LOCAL = { default_domain = MYDOMAIN.LOCAL kdc = ad.mydomain.local admin_server = ad.mydomain.local }

[domain_realm] .mydomain.local = MYDOMAIN.LOCAL MYDOMAIN.LOCAL = MYDOMAIN.LOCAL

sasha198407
() автор топика
Ответ на: комментарий от sasha198407

Файл krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMAIN.LOCAL
dns_lookup_kdc = false

[realms]
MYDOMAIN.LOCAL = {
default_domain = MYDOMAIN.LOCAL
kdc = ad.mydomain.local
admin_server = ad.mydomain.local
}

[domain_realm]
.mydomain.local = MYDOMAIN.LOCAL
MYDOMAIN.LOCAL = MYDOMAIN.LOCAL

Файл smb.conf

# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2009/08/04 16:21:43

[global]
log file = /var/log/samba/log.%m
idmap gid = 10000-20000
admin users = admin
socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
auth methods = trustdomain
winbind use default domain = Yes
realm = MYDOMAIN.LOCAL
dns proxy = No
netbios name = FS
server string = FS
winbind enum users = Yes
idmap uid = 10000-20000
dos charset = cp866
workgroup = MYDOMAIN
winbind enum groups = Yes
# valid users = @"MYDOMAIN+администраторы домена"
security = ads
preferred master = no
winbind separator = +
bind interfaces only = Yes
max log size = 500

[Users]
comment = Users share
path = /home/share
valid users = @"MYDOMAIN+администраторы домена"
read only = No
create mask = 0666
guest ok = Yes

[vol1]
comment = vol1
path = /vol1
read only = No
guest ok = Yes
browseable = No

[vol2]
comment = vol2
path = /vol2
read only = No
guest ok = Yes
browseable = No

sasha198407
() автор топика
Ответ на: комментарий от sasha198407

Вот те еще раз конфиг кербероса, сравни со своим:

[libdefaults]
default_realm = DOMAIN.RU
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
DOMAIN.RU = {
kdc = AD.DOMAIN.RU
admin_server = AD.DOMAIN.RU
}
[domain_realm]
.domain.ru = AD.DOMAIN.RU
domain.ru = AD.DOMAIN.RU
[login]
krb4_convert = true
krb4_get_tickets = false

Morphine
()
Ответ на: комментарий от Morphine

Вот каким стал мой файл krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMAIN.LOCAL
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
MYDOMAIN.LOCAL = {
kdc = AD.MYDOMAIN.LOCAL
admin_server = AD.MYDOMAIN.LOCAL
}

[domain_realm]
.mydomain.local = AD.MYDOMAIN.LOCAL
mydomain.local = AD.MYDOMAIN.LOCAL

[login]
krb4_convert = true
krb4_get_tickets = false

только результат остался тот же

Да и ещё, может это важно. После того как я ввожу логин и пароль в первый раз, выпадает повторно окно авторизации в котором написано:
логин FS\admin
пароль ********
и сообщение, что логин или пароль введены не правильно.

sasha198407
() автор топика
Ответ на: комментарий от sasha198407

Спасибо за участие. Проблема была в домене. Тему считаю закрытой.

sasha198407
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.