Samba в Windows домене

0

2

Доброго времени суток!

Помогите пожалуйста.

Схема Samba+Winbind+Kerberos все это в домене Windows Server 2012

Проблема переодически невозможно зайти по ip адресу на сетевые папки ошибка доступа. По netbios имени все отлично работает.

При проблема в терминале

[root@fileserver ~]# wbinfo -t                                                                                                                                                                                                               checking the trust secret for domain AGRO via RPC calls failed                                                                                                                                                                               wbcCheckTrustCredentials(AGRO): error code was NT_STATUS_ACCESS_DENIED (0xc0000022)                                                                                                                                                          failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR                                                                                                                                                                                  Could not check secret

Стоит переподключить файлсервер в домен все корректно опять работает

[root@fileserver ~]# net ads join -U администратор                                                                                                                                                                                           Enter администратор's password:                                                                                                                                                                                                              Using short domain name -- AGRO                                                                                                                                                                                                              Joined 'FILESERVER' to dns domain 'agro.ru'                                                                                                                                                                                                  [root@fileserver ~]# wbinfo -t                                                                                                                                                                                                               checking the trust secret for domain AGRO via RPC calls succeeded                                                                                                                                                                            [root@fileserver ~]# wbinfo -t                                                                                                                                                                                                               checking the trust secret for domain AGRO via RPC calls succeeded

←	Установка wireguard на openvz сервере

Cloud print

→

Reverse DNS правильно прописан? Нужен ещё лог Kerberos.

Aceler ★★★★★
(02.09.24 09:16:19 MSK)

Ответ на: комментарий от Aceler 02.09.24 09:16:19 MSK

К моему великому стыду , reverse DNS не настраивал.

Лог Kerberos так и не нашел в системе искал в /var/log

Подскажите пожалуйста как правильно настроить реверсивный DNS файл сервере и как включить логи Kerberos.

parel77
(02.09.24 09:22:12 MSK) автор топика

Ответ на: комментарий от parel77 02.09.24 09:22:12 MSK

Лог Kerberos не ведётся, потому что это вопросы безопасности. Его надо включать специально через переменную окружения. Почитай документацию на твой дистрибутив, как это делается.

Kerberos не может выдать разрешение на ресурс по IP адресу, ему надо использовать длинные имена.

У тебя при работающей конфигурации короткий домен agro преобразуется в agro.ru, а при неработающий - нет. Соответственно, Kerberos не пускает.

Давай начнём со сравнения /etc/resolv.conf на работающей и не работающей машине, вдруг всё проще. Но если нет, придётся искать, где и по какой причине IP адрес ресурса не преобразуется в имя.

P.S. В качестве костыля, наверное, можно вписать правильное имя в /etc/hosts, но я не пробовал, используется ли он вообще здесь.

Aceler ★★★★★
(02.09.24 09:30:09 MSK)

Ответ на: комментарий от Aceler 02.09.24 09:30:09 MSK

Лог где находится поищу.

Давай начнём со сравнения /etc/resolv.conf на работающей и не работающей машине, вдруг всё проще. Но если нет, придётся искать, где и по какой причине IP адрес ресурса не преобразуется в имя.

Здесь не совсем понял.

У меня виндовые машины которые находтся в домене не могут получить доступ по ip адресу на сетевые папки файлового сервера Centos.

На виндавых машинах нет resolv conf вроде нет))

parel77
(02.09.24 09:58:13 MSK) автор топика

Ответ на: комментарий от Aceler 02.09.24 09:30:09 MSK

в resolv.conf на файловом сервере указан контроллер домена

[root@fileserver etc]# tail /etc/resolv.conf                                                                                                                                                                                                 # Generated by NetworkManager                                                                                                                                                                                                                search dc01.agro.ru                                                                                                                                                                                                                          nameserver 192.168.0.5                                                                                                                                                                                                                       ```

parel77
(02.09.24 10:03:10 MSK) автор топика

Ответ на: комментарий от parel77 02.09.24 09:58:13 MSK

Отваливается-то у тебя файловый сервер. Команды с него линуксовые. Вот его resolv.conf нас и интересует.

Aceler ★★★★★
(02.09.24 10:03:48 MSK)

Ответ на: комментарий от parel77 02.09.24 10:03:10 MSK

Это в рабочем состоянии?

Aceler ★★★★★
(02.09.24 10:04:35 MSK)

Ответ на: комментарий от Aceler 02.09.24 10:04:35 MSK

После воззникновения проблемы

[root@fileserver ~]# wbinfo -t                                                                                                                                                                                                               checking the trust secret for domain AGRO via RPC calls failed                                                                                                                                                                               wbcCheckTrustCredentials(AGRO): error code was NT_STATUS_ACCESS_DENIED (0xc0000022)                                                                                                                                                          failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR

Стоит мне заново ввести в домен файловый сервер командой

[root@fileserver ~]# net ads join -U администратор                                                                                                                                                                                           Enter администратор's password:                                                                                                                                                                                                              Using short domain name -- AGRO                                                                                                                                                                                                              Joined 'FILESERVER' to dns domain 'agro.ru'                                                                                                                                                                                                  [root@fileserver ~]# wbinfo -t                                                                                                                                                                                                               checking the trust secret for domain AGRO via RPC calls succeeded

Все корректно работает до какого то времени.

Resolv и hosts с работающей машины в данный момент все работает

[root@fileserver etc]# tail /etc/resolv.conf                                                                                                                                                                                                 # Generated by NetworkManager                                                                                                                                                                                                                search dc01.agro.ru                                                                                                                                                                                                                          nameserver 192.168.0.5                                                                                                                                                                                                                       [root@fileserver etc]# tail /etc/hosts                                                                                                                                                                                                       #127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4                                                                                                                                                              #::1         localhost localhost.localdomain localhost6 localhost6.localdomain6                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        127.0.0.1   localhost                                                                                                                                                                                                                        192.168.0.58   fileserver.agro.ru   fileserver[root@fileserver etc]

parel77
(02.09.24 10:09:25 MSK) автор топика

Ответ на: комментарий от parel77 02.09.24 10:09:25 MSK

Вот после возникновения проблемы проверь эти оба файла, их же переписывают все кому не лень.

Aceler ★★★★★
(02.09.24 10:11:37 MSK)

Ответ на: комментарий от Aceler 02.09.24 10:11:37 MSK

Принято. Понаблюдаю .

Мне почему то казалось что проблема с Керберосом.

parel77
(02.09.24 10:29:49 MSK) автор топика

Ответ на: комментарий от parel77 02.09.24 10:29:49 MSK

Ну если по netbios все работает, значит Kerberos работает, и вопрос только в преобразовании имён.

Aceler ★★★★★
(02.09.24 11:11:43 MSK)

Ответ на: комментарий от Aceler 02.09.24 10:11:37 MSK

Проблема опять возникла спустя три четыре дня.

Оба файла проверил hosts и resolv.conf ничего не было измнено.

Что еще может быть? после повторного присоединения все заработало.

Куда еще можно копать?

parel77
(08.09.24 15:41:06 MSK) автор топика

Ответ на: комментарий от parel77 08.09.24 15:41:06 MSK

Тогда ещё кеш sssd, и дальше я не знаю )

Aceler ★★★★★
(08.09.24 15:53:14 MSK)

Ответ на: комментарий от parel77 08.09.24 15:41:06 MSK

проверь что время на клиентах и серверах идет одинаковое, точнее клиенты должны синхронизироваться по времени с контролером домена, расхождение по времени может быть причиной отказа доступа

Silerus ★★★★
(08.09.24 16:02:15 MSK)

Ответ на: комментарий от Aceler 08.09.24 15:53:14 MSK

sssd вообще не настраивал

parel77
(09.09.24 08:38:43 MSK) автор топика

Ответ на: комментарий от Silerus 08.09.24 16:02:15 MSK

Время тоже смотрел.

Правда ntp синхронизовал со временем ntp сервера а не КД

parel77
(09.09.24 08:52:12 MSK) автор топика

Ответ на: комментарий от parel77 09.09.24 08:52:12 MSK

На всякий случай отключил ipv6 на файловом сервере.

parel77
(09.09.24 08:54:33 MSK) автор топика

Ответ на: комментарий от parel77 09.09.24 08:54:33 MSK

Для полноты картины привожу smb.conf

# Global parameters
[global]
        dedicated keytab file = /etc/krb5.keytab
        disable spoolss = Yes
        domain master = No
        interfaces = eno1 192.168.58/24
        kerberos method = secrets and keytab
        load printers = No
        local master = No
        log file = /var/log/samba/log.new
        preferred master = No
        realm = AGRO.RU
        security = ADS
        show add printer wizard = No
        winbind enum groups = Yes
        winbind enum users = Yes
        winbind offline logon = Yes
        winbind separator = ^
        winbind use default domain = Yes
        workgroup = AGRO
        idmap config * : range = 10000-20000
        idmap config * : backend = tdb
        cups options = raw
        hosts allow = 192.168.0.0/255.255.255.0


[public]
        comment = Общий ресурс на сервере Samba
        create mask = 0666
        directory mask = 0777
        guest ok = Yes
        path = /home/obmen
        read only = No
        vfs objects = smb_spider

parel77
(09.09.24 08:57:18 MSK) автор топика

Ответ на: комментарий от parel77 09.09.24 08:38:43 MSK

А что говорит host ip.ip.ip.ip на сервере, когда все отвалилось? Ip.ip.ip.ip - ip адрес файлового сервера. Должен возвращать правильное доменное имя.

Aceler ★★★★★
(09.09.24 09:15:56 MSK)

Ответ на: комментарий от Aceler 09.09.24 09:15:56 MSK

При следующем отвале сообщу.

parel77
(09.09.24 10:03:53 MSK) автор топика

Ответ на: комментарий от parel77 09.09.24 10:03:53 MSK

Может это не существенно почему при nslookup с сервера зону обратного просмотра вроде настраивал

192.168.0.5 КД 192.168.0.58 файл сервер на Centos

[root@fileserver ~]#  nslookup 192.168.0.58 192.168.0.5                                                                 ** server can't find 58.0.168.192.in-addr.arpa.: NXDOMAIN

parel77
(09.09.24 10:33:47 MSK) автор топика

Ответ на: комментарий от parel77 09.09.24 10:33:47 MSK

У вас хоть зона 0.168.192.in-addr.arpa существует?

anc ★★★★★
(09.09.24 12:04:28 MSK)

Ответ на: комментарий от anc 09.09.24 12:04:28 MSK

Вчера сделал обратную зону после того как отвалилось. Теперь все корректно отображается.

[root@fileserver ~]#  nslookup 192.168.0.58                                                                             58.0.168.192.in-addr.arpa       name = fileserver.agro.ru.

Понаблюдаю теперь не отвалится ли теперь.

parel77
(09.09.24 13:05:17 MSK) автор топика

Ответ на: комментарий от parel77 09.09.24 10:33:47 MSK

Я ж тебя первым комментарием спросил, настроена ли обратная зона )

Aceler ★★★★★
(11.09.24 02:00:33 MSK)
Последнее исправление: Aceler 11.09.24 02:00:38 MSK (всего исправлений: 1)

Ответ на: комментарий от Aceler 11.09.24 02:00:33 MSK

Да ТС какой-то клоун
1. Может это не существенно почему при nslookup с сервера зону обратного просмотра вроде настраивал 09.09.24 10:33:47
2. Вчера сделал обратную зону после того как отвалилось. Теперь все корректно отображается. 09.09.24 13:05:17
Между постами разница три с половиной часа.

anc ★★★★★
(11.09.24 03:49:36 MSK)

Ответ на: комментарий от anc 11.09.24 03:49:36 MSK

Зачем оскорблять?

Просто я не сразу понял что обратная зона на моем домене не настроена. Просто проблемы такой никогда не возникало , а три часа потому что потом уже подумал ввести команду настроена ли обратная зона.

parel77
(11.09.24 10:05:05 MSK) автор топика

Ответ на: комментарий от Aceler 11.09.24 02:00:33 MSK

Не доглядел , моя ошибка.

В любом случае спасибо за помощь!

На форумах особенно it сразу любят оскорблять. Как буд то все все знали и родились на этом свете.

parel77
(11.09.24 10:06:48 MSK) автор топика

Ответ на: комментарий от parel77 11.09.24 10:06:48 MSK

Выяснилось вот что

Когда я в smb conf меняю

строку netbios name = fileserver.agro.ru перезапускаю winbind не работает стоит обратно вернуть netbios name = fileserver и перезапустить winbind по ip пдресу заходит

parel77
(19.09.24 21:30:57 MSK) автор топика

←	Установка wireguard на openvz сервере

Admin

Cloud print

→

Похожие темы