доступ к шаре из другого домена

Одному пользователю, или всем? Если всем, то организовать доверительные отношения между доменами и прописать в smb.conf

allow trusted domains yes

Если только одному, то проще ввести его в домен d1.

Всем. если я добавлю эту строку в конфиг домена d1 то в домене d2 тоже нужно что-то настроить?

Контроллерами домена samba служит, или виндовые серверы? Сама строка просто открывает доступ к samba пользователям доверенных доменов. Соответственно, на контроллере домена d1 надо организовать доверительные отношения с доменом d2.

Если в качестве контроллеров доменов выступают серверы с samba, то процедура организации доверительных отношений описана здесь:

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html#id...

домен есть только со стороны d2, там win2003, с моей стороны пока только рабочая группа в самбе, но со временем будет домен в виртуальной машине

домен есть только со стороны d2, там win2003, с моей стороны пока только рабочая группа в самбе

В такой ситуации самое простое - ввести сервер с samba в домен d2, создать там пользователей из рабочей группы d1, и они будут ходить на сервер под своими учетными данными из домена d2.

но со временем будет домен в виртуальной машине

Вот когда будет, организуете доверительные отношения между доменами и сделаете все по-человечески ;). Помимо контроллера домена в виртуалке есть, кстати, еще вариант поднять его на samba. Текущая версия позволяет это делать только на уровне архаичных доменов Windows NT4, но для Ваших целей этого хватит. Ну или играться с samba 4 - по отзывам (сам не пробовал), несмотря на статус beta-версии, она довольно стабильна и там есть полноценная поддержка AD...

Ну и есть еще куча более сложных, на мой взгляд, вариантов, основанных на разворачивании на машине с samba каких-либо серверов каталогов и их интеграцией с доменом d2. Один из таких серверов, в частности, no-dashi разрабатывает...

хотелось бы именно win2008 под домен, так как и в дальнейшем знание как на нем рулить доменом мне больше пригодится. Т.е. Не существует иного способа сделать всеобщую шару для всех доменов\рабочих групп помимо доверительных отношений?

Есть шара на самбе с полным доступом

guest ok = yes не вариант?

честно признаюсь: впервые поднимаю самбу в сети, где несколько рабочих групп. Просто в global есть строка workgroup, я ее устанавливаю в соответствии с моим доменом, guest ok вроде все равно не позволит пользователям из других доменов открыть ресурс, не? Хотя линуксовые машины открывают эту шару без проблем, хотя я их ни в какой домен не приписывал

линуксовые машины открывают эту шару без проблем

А win-машины что говорят? И что при этом в логах samba? Кстати, покажи вывод testparm -s

к сожалению, сейчас доступа к машине нет. Проверил на виртуалке и хр открывает, несмотря на то что находится в другой рабочей группе. А самба работает со всеми подсетями, к которым есть доступ у хоста? Т.е. если у меня на машине 2 сетевых интерфейса то не нужно ничего дополнительного писать, чтобы люди со всех сетей без проблем заходили? Извиняюсь за нубство. Правила iptables прописал

А самба работает со всеми подсетями, к которым есть доступ у хоста?

Из man smb.conf: By default Samba enables all active interfaces that are broadcast capable except the loopback adaptor (IP address 127.0.0.1). То есть, если в smb.conf не прописаны interfaces, то со всеми

Извиняюсь за нубство

Все мы в чем-то нубы :) man smb.conf и http://www.smb-conf.ru в помощь

хотелось бы именно win2008 под домен, так как и в дальнейшем знание как на нем рулить доменом мне больше пригодится.

Так что мешает сразу же развернуть его в виртуалке?

Не существует иного способа сделать всеобщую шару для всех доменов\рабочих групп помимо доверительных отношений?

Способов существует много ;). Но тут Вам нужно определиться, что Вы хотите. Если нужно, чтобы пользователи входили без запроса паролей на ресурсы samba, используя свои учетные записи в AD, то без доверительных отношений не обойтись. Если же устроит отдельный список учеток пользователей на сервере samba, то тогда, конечно, никаких доменов не нужно. Какой тип доступа Вы в данный момент используете (параметр security в smb.conf)?

security=share, Я разверну домен в виртуалке, но чуть позже. (Кстати, у вас нет опыта в этом? какие подводные камне при развертывании AD в виртуальном окружении?). Мне нужно, чтобы пользователи входили на шары без пароля, будет один каталог с rw доступом и несколько с ro

security=share

Для игр с доменами сервер с samba необходимо ввести в домен (подробности по ссылке, которую я приводил выше) и выставить параметр security:

security = ADS password server = *

С Вашим вариантом доступа придется заводить пользователей непосредственно на сервере samba.

какие подводные камне при развертывании AD в виртуальном окружении?

Никаких отличий от физической машины. У меня много контроллеров доменов в виртуалках работают...

Я разверну домен в виртуалке, но чуть позже.

Честно говоря, не вижу смысла тратить время на настройку samba в текущей конфигурации, если все равно все придется переделывать после развертывания домена. Домен поднимается минут за 30-40 - имеет смысл начать именно с него.

Мне нужно, чтобы пользователи входили на шары без пароля, будет один каталог с rw доступом и несколько с ro

Уточните, совсем без пароля, или, все-таки, используя учетные данные для входа на рабочие станции?

Если полностью открытые каталоги, то достаточно прописать параметр public =yes в описаниях общего ресурса. Ну а про использование учетных данных AD см. выше.

хотелось бы вообще без пароля, просто домен мне нужен только для политик, поднимать на win2008 еще что-то я не хочу

вот public=yes попробую

не путайте воркгруппу и домен.

В чем будет разница, если от самбы я беру только шару(никаких плюшек вроде хилой поддержки AD)?

а с сетью вы как поступили?Я думаю оставить nat в virtualbox и посмотреть что как будет, если не взлетит то заведу отдельный ip из внутренней подсети. public=yes это, вроде как, аналог guest ok = yes . Я его установил, но по прежнему при входе с хр спрашивается пароль и без вариантов предлагается учетка гостя, не ввожу пароль - входит. К сожалению сегодня не взял конфиг но там примерно так

[global]

workgroup=d1

[share]

path=somepath
writable=yes
browseable=yes
guest ok = yes

еще было 
force user = guest
но роли не играло.
Пока читаю smb-conf.ru . Буду рад любым предложениям 

Я думаю оставить nat в virtualbox и посмотреть что как будет

Зачем?

заведу отдельный ip из внутренней подсети.

По-моему, самый безгеморройный вариант.

virtualbox

Никогда с этой системой виртуализации не работал. Раньше (лет 5-7 назад) использовал vmware, последние годы - kvm.

Я его установил, но по прежнему при входе с хр спрашивается пароль и без вариантов предлагается учетка гостя, не ввожу пароль - входит.

Я всегда вводил Samba в домен. Еще со времен NT4. Так что с security = share опыта у меня нет :(.

думал про qemu+kvm, спрашивал на форуме, пришел к выводу что быстрее получится освоить именно vb. Т.е. вы вводите самбу в домен, поднятый в виртуальном win2008. После чего secure=share и со всех остальных доменов к вам нормально заходят?

пришел к выводу что быстрее получится освоить именно vb

Возможно, просто не в курсе.

Т.е. вы вводите самбу в домен, поднятый в виртуальном win2008.

Да.

После чего secure=share и со всех остальных доменов к вам нормально заходят?

Нет, после ввода в домен параметр security нужно изменить на security = ADS. И добавить password server = * (вместо звездочки можно указать контроллер домена).

А так, да, пользователи Windows-машин заходят прозрачно, пароли у них не запрашиваются, используются параметры входа на рабочие станции. Единственный момент, нужно озаботиться синхронизацией времени - расхождение более, чем на 5 минут приведет к блокированию доступа (особенности работы AD).

еще один вопрос: как с dns поступили? Я устновил его на win2008 т.к. это требуется для домена, но тоже время dns нужен и на хосте, да и резолвить как раз он будет.

еще один вопрос: как с dns поступили?

Лично у меня поднят bind и обслуживает контроллеры домена (w2k3). Но в принципе никто не мешает использовать и dns-сервер w2k8. Я просто стараюсь везде, где это возможно, отказываться от решений Microsoft, но это скорее эмоциональное, чем технически обоснованное решение. Тем не менее, bind вполне в состоянии полноценно обслуживать AD.

но тоже время dns нужен и на хосте, да и резолвить как раз он будет.

Не очень понял, в чем проблема. Пропишите в /etc/resolv.conf виндовый dns-сервер, если с конфигурацией bind не хотите связываться, и все...

Я как раз хотел бы использовать bind, просто нельзя установить AD без dns, поэтому я поставил в винде dns. Они друг другу не помешают? Я так понимаю, что винде нужно будет в качестве головного dns указать bind

просто нельзя установить AD без dns, поэтому я поставил в винде dns.

Действительно, без dns AD работать не будет. Но вот настроить его на работу с внешним dns (bind) впролне реально ;).

Они друг другу не помешают?

Зависит от настроек. Я пока не очень понимаю Вашу конфигурацию. Что Вы в итоге хотите получить? Единый домен (в терминах dns), где у сервера с samba будет просто имя (например, домен company.ru, имя машины c samba samba.company.ru), или более сложную структуру с вложенными доменами? И это только внутренний домен, или часть серверов планируется выставить наружу?

хотелось бы чтобы на domain1.ru откликалась ВМ с win2008, весь dns хочу иметь в linux машине, никаких вложенных доменов. Рядом есть несколько доменов, нужно им дать доступ к ресурсам samba

хотелось бы чтобы на domain1.ru откликалась ВМ с win2008, весь dns хочу иметь в linux машине, никаких вложенных доменов.

dns обслуживает только локальную сеть, или часть машин должны быть доступны из Internet?

Рядом есть несколько доменов, нужно им дать доступ к ресурсам samba

Что значит рядом? В той же локальной сети, или связаны по VPN?

1. Только локальную сеть 2. Тоже только локалка, только из другой подсети

Тогда, честно говоря, я не вижу никакой необходимости в дублировании DNS. Вам нужно определиться - пойти более легким путем и развернуть DNS в полуавтоматическом режиме на контроллере домена одновременно с установкой AD. Либо поднять отдельно bind и использовать его при установке AD (там есть возможность указать внешний dns-сервер). Второй вариант более геморроен, но зато и более гибок. Впрочем, в Вашей ситуации, насколько я понял, он просто не нужен.

И так, резюмируя, просто поднимаете dns вместе с AD, а на сервере самба прописываете в /etc/resolv.conf адрес Вашего контроллера домена. Этого должно быть достаточно.

извиняюсь, что-то тупанул: у меня проблема в том, что клиенты не могли зайти в домен, потому что domain1.ru не находили, я собрался уж было ставить bind а ведь проще, действительно в resolv.conf добавить ВМ. Спасибо