LINUX.ORG.RU
ФорумAdmin

Настройка samba [грабли][кривизна][ненависть]


0

1

Требуется: файловый сервер (CentOS 5.5, samba 3.0.33), доступ к списку общих ресурсов сервера для всех, доступ в отдельные ресурсы по логину/паролю.

# cat /etc/samba/smb.conf | egrep -v '(^#|^;)'
[global]             
        workgroup = WG
        server string = gwx.domain.ru
        netbios name = gwx
        interfaces = lo 192.168.1.1 192.168.122.1
        hosts allow = 127. 192.168.1. 192.168.122.

        security = user
        username map = /etc/samba/smbusers
        passdb backend = tdbsam
                     
        guest account = nobody
        map to guest = Bad User
        guest ok = yes
        browseable = yes
                     
        unix charset = utf8
        dos charset = cp866

        local master = yes
        os level = 255
        preferred master = yes
             
        wins support = no
        wins proxy = no
        dns proxy = no
        load printers = no

        create mask = 0664   
        directory mask = 0775

[public]             
        comment = Общее папко
        path = /var/exports/smb/public
        browseable = yes
        guest only = yes 
        writable = yes   

[HR]                 
        comment = Отдел кадров
        path = /var/exports/smb/hr
        browseable = yes
        writable = yes
        guest ok = no
        guest only = no
        valid users = hr
        write list = hr

Оно таки работало, и довольно долго. Но однажды обнаружилось, что с машины под управлением Виндоус 7 невозможно зайти на запароленный ресурс (не принимается пароль). Дальше - больше: сначала виндовс-7 машины не смогли получить доступ с списку ресурсов (окошко с запросом логина/пароля стало вылазить сразу при щелчке по значку сервера в «сетевом окружении», причём никакой логин/пароль не принимался), потом то же произошло с WinSrv 2k3 и XP. И - внимание! - с линукс-машин (fedora 13/14) всё работает отлично, как и раньше. И ещё всё работает при заходе с WinSrv 2k3 английского (нелокализованного).

3-х дневные гугления, чтения манов и эксперименты с параметрами конфигурации samb'ы результата не принесли ровным счётом никакого.

То есть, каким-то образом перестал работать параметр

map to guest = Bad User
. Не подскажут ли уважаемые лоровцы как с этим явлением бороться и где я накосячил в конфиге?)

★★★

Серийные номера «виндовс-7 машин» - «белые»? Обновления и сервис-паки установлены?

Led ★★★☆☆ ()
Ответ на: комментарий от nbw

А «WinSrv 2k3 и XP»? Тоже «OEM на ноутах»?

И, судя по «с линукс-машин (fedora 13/14) всё работает отлично, как и раньше. И ещё всё работает при заходе с WinSrv 2k3 английского (нелокализованного)», ты уверен, что обратился по адресу? Вроде бы говорили, что у майкрософт отличная поддержка.

Led ★★★☆☆ ()
Ответ на: комментарий от Led

> А «WinSrv 2k3 и XP»? Тоже «OEM на ноутах»?

Сеть гетерогенная, в ней работают люди с различными, так скаать, потребностями. И на различном софте. Да, исключительно купленном (в случае необходимости). Так что свои подколки по поводу «серийных номеров», будь так любезен, оставь в данном случае при себе).

ты уверен, что обратился по адресу?

Абсолютно. Тут, как мне кажется, могут помочь с непонятными моментами в реализации протокола SMB на Линукс (и возможными конфликтами с б-гомерзкими виндусами).

говорили, что у майкрософт отличная поддержка.

Вас обманули.

nbw ★★★ ()

самба у тебя старенькая, а в вин-7 переделали протокол. Помню, что мне для того, чтобы с вин7 зайти на самбу, в самбе пришлось явно прописать шару [IPC$] и на вин7 тип аутентификации указать «LM и NTLM, при согласовании NTLM2». Да, возможно это решение и не совсем верное, но это мне было сделать проще, чем продолжать гуглить.

belka ()

на винфак :)

Control Panel - Administrative Tools - Local Security Policy

Local Policies - Security Options



Network security: LAN Manager authentication level
Send LM & NTLM responses

Minimum session security for NTLM SSP
Disable Require 128-bit encryption

fbiagent ★★★ ()
Ответ на: комментарий от belka

> тип аутентификации указать «LM и NTLM, при согласовании NTLM2»

Не поверите, нагугливал и пробовал неоднократно. Не помогло.

явно прописать шару [IPC$]

А вот это интересно, спасибо за совет. Сейчас проверю.

nbw ★★★ ()
Ответ на: на винфак :) от fbiagent

> на винфак :)

Спасибо, добрый человек. И тебе того же.

Send LM & NTLM responses

Делал, не возымело эффекта.

nbw ★★★ ()

сделал тестовый стенд.

centos 5.5 изкаробочная самба 3.0.33

ос спермерка хоуппремиум с дефолтными настроками нетбиоса (к шаре на винХП цепляется успешно)

делаю настройки опа если узер не существует в самбе - то не конектицо даже к IPC , список ресурсов не выдается.

если юзер существует то в лог сыпятся ошибки насчет пермишен денайд.

guyvernk ()
Ответ на: комментарий от guyvernk

отключил selinux

1. несуществующий юзер. а. список русурсов выдается. б. при конекте к public в логе строка о ремапе smbd/service.c:make_connection_snum(1077) win7host (192.168.100.75) connect to service public initially as user nobody (uid=99, gid=99) (pid 3739)

2. при конекте существующего юзера

а. списко ресусов выдается.

б. при конекте к конкретной папке с правами - болт, к паблику успешно.

буду обнвлять версию смотреть дальше

guyvernk ()
Ответ на: комментарий от guyvernk

> значит будем править клиента.

Тоже склоняюсь к этой мысли. Но неясно что и где править. Всё, кажется, уже испробовано.

nbw ★★★ ()
Ответ на: комментарий от guyvernk

> NT_STATUS_ACCESS_DENIED

Ага, видел такое в логах. Неясно, отчего оно получается.

nbw ★★★ ()
Ответ на: комментарий от nbw

На всякий случай, для информации - у меня машины в домене, и сама самба контроллер домена (но другого).

belka ()

Ну не знаю прям...

Дома сетка из 6 компов с файловым серваком на бубунте 10.04.2 (на работе по причине дол...бства предыдущих админов пока ещё не поставил файловый сервак на линухе - разгребаю завалы). Так вот сервак у меня работает со следующим конфигом:
[global]
log file = /var/log/samba/log.%m
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = yes
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
map to guest = bad user
encrypt passwords = true
passwd program = /usr/bin/passwd %u
passdb backend = tdbsam
dns proxy = no
server string = %h server (Samba, Ubuntu)
unix password sync = yes
workgroup = HOME
os level = 20
security = user
syslog = 0
panic action = /usr/share/samba/panic-action %d
usershare allow guests = yes
max log size = 1000
pam password change = yes

(далее следуют шары - вот одна из них, к которой приконнектиться можно одному юзеру с полными правами, остальным - только чтение)

[films]
writeable = yes
read list = family
user = manowar,family
path = /films
write list = manowar

Так вот - обе семёрки живущие у моих домашних на ноутах цепляются к ним без вопросов, сетевыми дисками, причём логин-пароль я им не прописывал при подключении дисков, они берутся из системы (залогиненый юзер). Одна семёрка - проф, другая стартер, самба 3.4.7

Мне это тоже интересно в связи с моими планами ставить файловый сервак на работе

vow11 ()

Итак, обновление samba до samba3-3.5.8-43.el5, добавление в smb.conf

[IPC$]                        
        path = /tmp           
        hosts allow = 192.168.1.0/24
и приведение параметров безопасности виндов к значениям, рекомендованным гуглём и samba.org, результатов не принесли. П*здец какой-то.

Собственно, проблема свелась к тому, что при попытке просмотра списка ресурсов сервера на клиентах под управлением WinVista, Win7 и WinSrv 2k3 (всё локализованное) вылазит окно логина; ввод правильного логина и пароля, равно как и ввод неправильного, ведут к ошибке авторизации и возвращению к окну логина/пароля.

nbw ★★★ ()
7 января 2012 г.

Не знаю актуально ли, на цементоосе равно как и на дебиане были такие проблемы, также с венд не заходило под гостем, решение было найдено в виде замены>>>>

security = user на security = share

invokercd ★★★★ ()
Ответ на: комментарий от invokercd

Неактуально. Оно после очередного обновления внезапно заработало как надо, на радость любимым пользюкам.

И изначально по условиям задачи нужно было предоставить доступ в некоторые шары по паролю, так что share никак не канало.

nbw ★★★ ()
Ответ на: комментарий от nbw

После красоглазия недочитал условие. Я думал на nfs перейти вместо самбы, пока не знаю насколько проблемно будет на вендах xp автоподключение диска при старте.

invokercd ★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.