LINUX.ORG.RU
решено ФорумAdmin

samba в домене AD - нужен бубен

 2008r2, ,


0

2

Традиционная ситуация - samba сервер в домене ActiveDirectory.

И естественно проблемы:

- самбу не видно в «сетевом окружении» (по имени видно, по IP видно). По идее и фиг бы с этим, но:

- в самих шарах samba не видно файлов. То есть каталоги видно, а файлы в них нет. И получается исключительно readonly :(

samba в домен включилась без видимых проблем - ключик кербероса получен, net ads join сработал, wbinfo -t, -u -g, getent passwd, getent group выдают всё как вроде-бы и должны,

testparm: 

# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (4096) to minimum Windows limit (16384)
Processing section "[homes]"
Processing section "[printers]"
Processing section "[mypublic]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
	workgroup = HQ
	realm = HQ.COMPANY.RU
	server string = Samba Server Version %v
	interfaces = lo, eth1
	security = ADS
	map to guest = Bad User
	password server = dc.hq.company.ru
	log file = /var/log/samba/log.%m
	max log size = 50
	os level = 3
	local master = No
	domain master = No
	wins support = Yes
	idmap uid = 600-20000
	idmap gid = 600-20000
	winbind enum users = Yes
	winbind enum groups = Yes
	winbind use default domain = Yes
	hosts allow = 127., 192.168.10.
	cups options = raw
	case sensitive = Yes

[homes]
	comment = Home Directories
	valid users = HQ\%S
	read only = No
	browseable = No

[printers]
	comment = All Printers
	path = /var/spool/samba
	printable = Yes
	browseable = No

[mypublic]
	comment = Public Stuff
	path = /home/samba/public
	valid users = «@domain users»
	admin users = «@domain admins»
	write list = «@domain users»
	read only = No
	create mask = 0666
	directory mask = 0777
	inherit permissions = Yes
	inherit acls = Yes
	inherit owner = Yes
предваряя предложения с winbind separator и указания домена в valid/admin users/write list - пробовал, безполезно.

права в каталоге /home/samba/public : 

# ls -al /home/samba/public
итого 12
drwxrwxr-x. 3 administrator domain users 4096 Сен 10 01:03 .
drwxrwxrwx. 3 administrator domain users 4096 Сен 10 01:03 ..
-rwxrwxrwx. 1 administrator domain users    0 Сен 10 01:03 test.txt
drwxr-xr-x. 2 administrator domain users 4096 Сен  9 23:45 ttt
#

сутки убиты :(

p.s. что-за хрень, раз в год бывает нужно ввести samb`у в домен и каждый раз какие-то грабли и фактически метод научного тыка..

★★★★★

Последнее исправление: MKuznetsov (всего исправлений: 1)
Как заставить работать cgi-сценарии на локальном apache?
Где vgate compliance checker сохранил пароль?

чуть не забыл : 

# cat /etc/centos-release 
CentOS release 6.3 (Final)
# smbd -V
Version 3.5.10-125.el6
#

MKuznetsov ★★★★★
() автор топика
Ответ на: комментарий от Atlant

server2008 английский с накатанным mui

$ getfacl /home/samba/public/
getfacl: Removing leading '/' from absolute path names
# file: home/samba/public/
# owner: administrator
# group: domain\040users
user::rwx
group::rwx
other::r-x

$ sudo mount
/dev/mapper/vg_topaz-lv_root on / type ext4 (rw,acl)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
tmpfs on /dev/shm type tmpfs (rw,rootcontext=«system_u:object_r:tmpfs_t:s0»)
/dev/sda1 on /boot type ext4 (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
/etc/named on /var/named/chroot/etc/named type none (rw,bind)
/var/named on /var/named/chroot/var/named type none (rw,bind)
/etc/named.rfc1912.zones on /var/named/chroot/etc/named.rfc1912.zones type none (rw,bind)
/usr/lib64/bind on /var/named/chroot/usr/lib64/bind type none (rw,bind)
/etc/named.iscdlv.key on /var/named/chroot/etc/named.iscdlv.key type none (rw,bind)
/etc/named.root.key on /var/named/chroot/etc/named.root.key type none (rw,bind)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)

при всём этом аутенфикация работает - я могу залогиниться на Centos под доменным юзером (через pam_winbind).

MKuznetsov ★★★★★
() автор топика
Ответ на: комментарий от MKuznetsov

ping samba-host.HQ.COMPANY.RU с сервера домена, с самой самбы, с клиента с которого подключаешься.
на всякий случай в секцию [globals] поставь
[code]
dos charset = UTF-8
unix charset = UTF-8
client NTLMv2 auth = Yes
client signing = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = No
# не скрывать недоступные файлы
hide unreadable = no
# Обрабатывать наследования прав с помощью расширенных атрибутов ФС
map acl inherit = yes
# Использовать расширенные атрибуты ФС для хранения атрибутов DOS
store dos attributes = yes
nt acl support = yes
acl check permissions = true
use spnego = yes
client use spnego = yes
kerberos method = system keytab
[/code]
В секции расшареного каталога убери(закоментируй) write users
P.S. что за глюк, где LORCODE??

Atlant ★★★★★
()
Ответ на: комментарий от Atlant

да, ещё вставь в fstab для корня параметр user_xattr

Atlant ★★★★★
()

в самих шарах samba не видно файлов. То есть каталоги видно, а файлы в них нет

Какой-нибудь из RedHat'ов? Тогда тебе в сторону SELinux смотреть

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Какой-нибудь из RedHat'ов? Тогда тебе в сторону SELinux смотреть

О да, это CentOS !!

отключил SELinux и все заработало. Всегда его отключаю, но вот что-то запамятовал :)

MKuznetsov ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Как заставить работать cgi-сценарии на локальном apache?
Admin
Где vgate compliance checker сохранил пароль?