samba в домене win2008

ev83gen · 15 октября 2015, 09:20:40

Всем доброго дня,
Тут сижу маленькими шагами вливаюсь в linux, в частности в debian(уж не знаю почему его выбрал, хотя в ubuntu некоторые вопросы решаются проще), и вот я захотел поднять файловый сервер на Debiane внутри домена под Win2008R2. После двух дневного рысканья по интернету я ввел машину в домен:
- по команде getent выдает и список пользователей и групп
- пинговалась по имени, а сегодня перестала, в DNS нет записи(почему пропала не знаю) теперь пинг только по ip
- на шары пускает, их и видно и зайти можно, но вот внутри ничего нельзя

Вопрос собственно вот в чем:
Как в smb.conf прописать пользователей которым можно заходить на шару, редактировать и т.д. Я имею ввиду доменных пользователей.
Хоть на олковую ссылку носом ткните, а то везде минимальная настройка Samba.

Заранее спасибо всем откликнувшимся.

endru · 15 октября 2015, 09:45:55

Цитата: ev83gen от 15 октября 2015, 09:20:40на шары пускает, их и видно и зайти можно, но вот внутри ничего нельзя

если в samba настроил правильно права доступа, то нужно еще и системные права поправить. (команды chown, chmod).
Посмотреть uid и gid конкретного пользователя можно командой:

Код Выделить

id username
также рекомендую погуглить про acl

ev83gen · 16 октября 2015, 13:55:45

А ACL разве не в настройках прокси используется, ладно спорить не буду, погуглю.
Я вообще хотел подсказки как в samba описать доменного пользователя?

endru · 16 октября 2015, 13:59:58

для шары?

Код Выделить

[sharename]
        path = /srv/samba/shared/sharename
        valid users = domain\user1 domain\user2
        write list = domain\user1

ev83gen · 16 октября 2015, 14:17:47

А если нужно группу добавить, то оставляем valid users? или valid groups? нет ссылки на хорошую документацию по smba. А то я искал, нашел книгу от издательства ПИТЕР за 2001 г. Она еще актуальна? В линуксе как концепция часто меняется?

endru · 17 октября 2015, 08:36:28

если с английским туго, есть сайт http://smb-conf.ru/
смотри нужные параметры и пробуй

ev83gen · 29 октября 2015, 07:57:58

Всем добрый день, продолжаю бороться с samba. Раз пять уже настраивал по разным статьям, мне кажется уже начинаю понимать о чем в них речь идет))). Вот нашел не плохую статью:
http://www.sysadminwiki.ru/wiki/Linux_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B5_Active_Directory

И самба работает и видит всех пользователей и группы домена, да и шара есть, но вот все равно не пускает и требует пароль.
Я конечно в самой Debian права не назначал на эту папку, но я так понимаю что они описаны в smb.conf:

Код Выделить

[distrib]
        path = /data/distrib
        valid users = @WORKGROUP\DistribGroup
        write list = @WORKGROUP\DistribGroup
        read only = No
        create mask = 0777
        directory mask = 0777

Или я не прав? Подскажите почему не хочет заводиться???

endru · 29 октября 2015, 08:26:04

Цитата: ev83gen от 29 октября 2015, 07:57:58но вот все равно не пускает и требует пароль

1) время на сервере настроено корректно?
2) workgroup - это имя домена?
3) команда wbinfo -u выдает список пользователей?
4) на сервер удается зайти по ssh под доменным пользователем и паролем?

Цитата: ev83gen от 29 октября 2015, 07:57:58Я конечно в самой Debian права не назначал на эту папку

помимо прав доступа к шарам в samba, есть еще и локальные права на чтение и запись, о чем я уже писал выше. их нужно обязательно править!

ev83gen · 29 октября 2015, 08:35:09

Цитата: endru от 29 октября 2015, 08:26:04
Цитата: ev83gen от 29 октября 2015, 07:57:58но вот все равно не пускает и требует пароль
1) время на сервере настроено корректно?
2) workgroup - это имя домена?
3) команда wbinfo -u выдает список пользователей?
4) на сервер удается зайти по ssh под доменным пользователем и паролем?

Цитата: ev83gen от 29 октября 2015, 07:57:58Я конечно в самой Debian права не назначал на эту папку
помимо прав доступа к шарам в samba, есть еще и локальные права на чтение и запись, о чем я уже писал выше. их нужно обязательно править!

1) Время верно, в домен же машину ввел, Server time offset = 0
2) нет конечно, подставлено имя моего домена
3) выдает всех без проблем
4)

Код Выделить

login as: @INTES\user
@INTES\user@192.168.0.11's password:
Access denied
@INTES\user@192.168.0.11's password:
Access denied
@INTES\user@192.168.0.11's password:

Получается не дает

Cообщение объединено 29 октября 2015, 08:38:12

Может smb.conf показать, хотя он идентичен примеру, я даже попробовал через SWAT шару настроить, но результат тот же.
Кстати если в smb.conf меняю группу просмотра, то шара вообще пропадает, когда пишу как в моем примере, то шара появляется, просто зайти в нее не могу, пароль просит.
Значит в принципе то работает, но не до конца)

Cообщение объединено 29 октября 2015, 08:46:06

Доменного Администратора по ssh тоже не пускает

endru · 29 октября 2015, 08:50:35

Цитата: ev83gen от 29 октября 2015, 08:35:09login as: @INTES\user
@INTES\user@192.168.0.11's password:
Access denied

не нужно писать имя домена, достаточно написать имя пользователя в домене, и ввести пароль.

Цитата: ev83gen от 29 октября 2015, 08:35:09если в smb.conf меняю группу просмотра, то шара вообще пропадает, когда пишу как в моем примере, то шара появляется

показывай пример. я вообще не понимаю, что ты туда пишешь.

ev83gen · 29 октября 2015, 09:08:43

smb.conf

Код Выделить

[global]
<------>workgroup = INTES
<------>realm = INTES.LC
<------>server string = %h server
<------>interfaces = eth0
<------>bind interfaces only = Yes
<------>security = ADS
<------>auth methods = ADS
<------>obey pam restrictions = Yes
<------>pam password change = Yes
<------>passwd program = /usr/bin/passwd %u
<------>passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssu
<------>log level = 3
<------>syslog = 0
<------>log file = /var/log/samba/log.%m
<------>max log size = 1000
<------>name resolve order = lmhosts host wins bcast
<------>printcap name = CUPS
<------>local master = No
<------>domain master = No
<------>dns proxy = No
<------>ldap ssl = no
<------>panic action = /usr/share/samba/panic-action %d
<------>template shell = /bin/bash
<------>idmap config * : range = 10000-20000
<------>idmap config * : backend = tdb
<------>invalid users = root

[print$]
<------>comment = Printer Drivers
<------>path = /var/lib/samba/printers

[distrib]
<------>path = /home/distrib
<------>valid users = @INTES/TestGroup
<------>admin users = @INTES/TestGroup
<------>read list = @INTES/TestGroup
<------>write list = @INTES/TestGroup
<------>read only = No
<------>create mask = 0777
<------>directory mask = 0777

krb.conf

Код Выделить

/etc/krb5.conf     [----]  0 L:[  1+49  50/ 52] *(1322/1369b) 0009 0x009
[libdefaults]
<------>default_realm = INTES.LC

# The following krb5.conf variables are only for MIT Kerberos.
<------>krb4_config = /etc/krb.conf
<------>krb4_realms = /etc/krb.realms
<------>kdc_timesync = 1
<------>ccache_type = 4
<------>forwardable = true
<------>proxiable = true


# The following libdefaults parameters are only for Heimdal Kerberos.
<------>v4_instance_resolve = false
<------>v4_name_convert = {
<------><------>host = {
<------><------><------>rcmd = host
<------><------><------>ftp = ftp
<------><------>}
<------><------>plain = {
<------><------><------>something = something-else
<------><------>}
<------>}
<------>fcc-mit-ticketflags = true

[realms]
<------>INTES.LC = {
<------><------>kdc = 192.168.0.5
<------><------>admin_server = 192.168.0.5
<------><------>default_domain = INTES.LC
<------><------>}
[domain_realm]
<------>.intes.lc = INTES.LC
<------>intes.lc = INTES.LC

[login]
<------>krb4_convert = true
<------>krb4_get_tickets = false

endru · 29 октября 2015, 10:02:26

я просил не конфиг smb.conf, а пример распределения прав на шару.

да и применять такие сложные конфигурации следует, когда понимаешь что делаешь. начни с изучения по этой ссылке.

ev83gen · 29 октября 2015, 13:41:13

До того как я начал пробовать через SWAT, настройки шары выглядели так:

Код Выделить

[distrib]
        path = /data/distrib
        valid users = @INTES\TestGroup
        write list = @INTES\TestGroup
        read only = No
        create mask = 0777
        directory mask = 0777

И как я думал что этого должно хватить для того что бы пользователь user(который входит в группу test) мог зайти в папку distrib и создать в ней файл или папку.
Проверял так: Пуск->выполнить->//192.168.0.11 в проводнике открывается сервер, вижу папку distrib, пытаюсь зайти(в ПК(win7) зашел под доменным пользователем user), щелкаю на нее просит пароль.
по шаре изменил следующее, просто добавил все возможное(через SWAT):

Код Выделить

[distrib]
<------>path = /home/distrib
<------>valid users = @INTES/TestGroup
<------>admin users = @INTES/TestGroup
<------>read list = @INTES/TestGroup
<------>write list = @INTES/TestGroup
<------>read only = No
<------>create mask = 0777
<------>directory mask = 0777

Тот же результат, сделал вывод что linux не понимает что я пытаюсь войти в папку от доменного пользователя user, решил посмотреть какой будет результат если вместо реальной группы прописать несуществующую. Написал так:

Код Выделить

[distrib]
        path = /data/distrib
        valid users = @INTES\Test
        write list = @INTES\Test
        read only = No
        create mask = 0777
        directory mask = 0777

Проверял так: Пуск->выполнить->//192.168.0.11 в проводнике открывается сервер, папки distrib не вижу, вылазит сразу окно введите пароль логин.
Т.е. Linux сервер, в первом варианте настроек шары, видит что я залогинился под пользователем user, входящим в группу test. И показывает мне папку, но не пускает, а вот в вопросе почему мне и хочется получить ответ.
А за ссылку огромное спасибо, сейчас почитаю. Может до чего еще дадумаюсь))

Cообщение объединено 29 октября 2015, 13:49:39

А на счет вашей ссылки, по ней я пробовал настроить раньше, этот пост завел когда зашел в тупик, проблемы по ней были аналогичные. Их можно в начале почитать.
Поэтому я полностью переустановил систему и попробовал все сделать по другой статье.

endru · 29 октября 2015, 14:00:19

Реши сначала проблему входа доменного пользователя по ssh.

Дальше начинай с простого: даем нужному пользователю доступ к шаре:

Код Выделить

[distrib]
        path = /data/distrib
        valid users = INTES\username

или заходит, пробуй добавить группу пользователей:
valid users = @groupname
или
valid users = INTES\@groupname

ev83gen · 29 октября 2015, 14:36:59

Так в smb.conf в global добавил следующее:

Код Выделить

winbind enum groups = Yes
        winbind enum users = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes

И перегрузил машинку полностью и вуаля:

Код Выделить

login as: user
user@192.168.0.11's password:
Linux debarhiv 3.2.0-4-686-pae #1 SMP Debian 3.2.68-1+deb7u5 i686

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Could not chdir to home directory /home/INTES/user: No such file or directory
user@debarhiv:/$

В настройки шары прописал:

Код Выделить

[distrib]
        path = /data/distrib
        valid users = @INTES\user
        write list = @INTES\user

результат тот же, просит пароль логин