Debian Wheezy Samba и AD Win server 2008 R2 (файлопомойник)

Автор Alex-West, 03 апреля 2014, 09:06:42

« назад - далее »

0 Пользователи и 3 гостей просматривают эту тему.

Alex-West

 :) Добрый день/ночь/утро, уважаемые спецы и новички сего форума! Обращаюсь к вам всем с помощью.
Есть Domain Controller и Active Directory на Windows Server 2008 R2. Допустим, имеет данные: NetBios Name - winserver, IP - 10.10.0.1, имя домена DOMAIN.COM
Есть Linux Debian Wheezy netinstall, абсолютно голая. Допустим, имеет данные: NetBios Name - nixserver, IP - 10.10.0.2
Установил openssh-server, mc, samba, krb5, winbind.
Сделал настройки из мануала, который нарыл в интернетах и, вуаля, все заработало.
Работало это все на протяжении недель 2х. Вчера, на своем компе под управлением Windows 7, я пытаюсь через "Выполнить" (WIN+R) набрать "\\nixserver\" и в ответ получаю "Введите имя пользователя и пароль"  :o
При вводе своих админских данных табличка просто обновляется и опять требует ввод пароля.
Но проверив ввод в "Выполнить" через IP, т.е. "\\10.10.0.2\", как, на тебе!, я захожу на компьютер и вижу там имеющуюся папку, на которую как и раньше могу зайти и делать все, что моей душе угодно.
Уважаемые знатоки, внимание вопрос: почему nixserver не впускает меня в себя  ::) по NetBios имени, а по IP впускает?

/etc/samba/smb.conf

# Samba config file created using SWAT

# from UNKNOWN (10.10.0.33)

# Date: 2014/03/26 13:14:34


[global]
   
dos charset = cp866
   
display charset = UTF-8
   
workgroup = DOMAIN
   
realm = DOMAIN.COM
   
netbios name = nixserver
   
server string = SAMBA file server
   
security = ADS
   
password server = WINSERVER.DOMAIN.COM
   
log file = /var/log/samba/log.%m
   
max log size = 50
   
os level = 0
   
template homedir = /home/mail/%U
   
encrypt passwords = yes
   
auth methods = winbind
   
winbind separator = \   
   
winbind uid = 10000-20000
   
winbind enum users = Yes
   
winbind enum groups = Yes
   
winbind use default domain = Yes
   
idmap config * : range = 10000-20000
   
idmap config * : backend = tdb



[printers]
   
comment = All Printers
   
path = /var/spool/samba
   
guest ok = Yes
   
printable = Yes
   
print ok = Yes
   
use client driver = Yes
   
browseable = No



[Backups]
   
comment = Shares for Documents
   
path = /shares/backups/
   
valid users = "@Domain Admins"
   
write list = "@Domain Admins"
   
read only = No
   
create mask = 0660
   
directory mask = 0770
   
inherit permissions = Yes
   
inherit acls = Yes
   
inherit owner = Yes
   
map acl inherit = Yes
   
locking = No
[свернуть]

Сообщение при запросе testparm

Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[Backups]"
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
ERROR: the 'winbind separator' parameter must be a single character.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[свернуть]

Ну, а по нажатию Enter - выдает записи в smb.conf.

krb5.conf

[logging]
        defaults = FILE:/var/log/krb5.log
        kdc = FILE:/var/log/krb5kdc.log

[realms]
        DOMAIN.COM = {
                kdc = DOMAIN.COM
                admin_server = DOMAIN.COM
                default_domain = DOMAIN.COM
        }

[domain_realm]
        .domain.com = DOMAIN.COM

[login]
        krb4_convert = true
        krb4_get_tickets = false

[свернуть]

Если еще какую-то информацию нужно будет предоставить - я открыт для следствия.  :-[

endru

Alex-West, Советую сделать нормальную настройку по ссылке.

Ошибки легко гуглятся...

Alex-West

Цитата: endru от 03 апреля 2014, 10:48:58
Alex-West, Советую сделать нормальную настройку по ссылке.

Ошибки легко гуглятся...

Я Вам крайне благодарен за ссылку, переделал все по ней, но проблема осталась(((

Новые настройки /etc/samba/smb.conf

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена
   workgroup = DOMAIN
   realm = DOMAIN.COM
   NetBIOS name = nixserver

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные
   dns proxy = no
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

   # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   idmap config *: uid = 10000 - 40000
   idmap config *: gid = 10000 - 40000

   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes

   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
   # будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
   winbind use default domain = yes

   # Если вы хотите разрешить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash

   # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
   winbind refresh tickets = yes

   [Backups]
   ....
[свернуть]

testparm

Load smb config files from /etc/samba/smb.conf
Processing section "[Backups]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[свернуть]


Alex-West

#4
Цитата: endru от 03 апреля 2014, 12:48:53
cat /etc/hostname
cat /etc/hosts


# cat /etc/hosname


# cat /etc/hostname
nixserver

[свернуть]

# cat /tc/hosts


# cat /etc/hosts
127.0.0.1       localhost
10.10.0.2    nixserver.domain.com       nixserver

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

[свернуть]

endru

Цитата: Alex-West от 03 апреля 2014, 14:27:35
10.10.0.2    nixserver.domain.com       nixserver
10.10.0.2  меняй на 127.0.1.1

после этого рестарт системы.

Alex-West

Цитата: endru от 03 апреля 2014, 14:36:31
Цитата: Alex-West от 03 апреля 2014, 14:27:35
10.10.0.2    nixserver.domain.com       nixserver
10.10.0.2  меняй на 127.0.1.1

после этого рестарт системы.

Преждем чем я это сделаю, я хочу уточнить: как это изменит ситуацию? Ведь поменяется подсетка в hosts и потом, мне точно нужно знать это, т.к. в данный момент туда происходит резервное копирование и не хотелось бы прерывать сие действие до окончания. Посему есть время, что бы узнать, как изменение айпи изменит ситуацию?  :)

endru

в таком случаю рекомендую самостоятельно изучить про файл hosts, про петлевые сетевые интерфейсы.

Alex-West

#8
Цитата: endru от 03 апреля 2014, 19:10:46
в таком случаю рекомендую самостоятельно изучить про файл hosts, про петлевые сетевые интерфейсы.

Ок, спасибо!

Сообщение объединено: 04 Апрель 2014, 09:26:24

Цитата: endru от 03 апреля 2014, 14:36:31
Цитата: Alex-West от 03 апреля 2014, 14:27:35
10.10.0.2    nixserver.domain.com       nixserver
10.10.0.2  меняй на 127.0.1.1

после этого рестарт системы.

Поменял, так как Вы сказали, теперь и по ip не заходит(((
Вернул ip адрес в hosts назад, но все равно не заходит(((
Теперь-то как исправлять?

Сообщение объединено: 04 Апрель 2014, 10:09:42

Еще раз перелопатил все настройки под те, что были предоставленные по ссылке и все заработало. Всем спасибо.

Единственный вопрос, билет, который дает kerberos через kinit user@DOMAIN.COM - его действие заканчивается через какое-то время, потом опять нужно запрашивать билет или kerberos все равно будет пускать в себя?