пользователь домена не может зайти на шару (altlinux 6 centaurus)

[abrams123]

Стоит сервер centaurus, настроенный полностью при помощи альтератора.
(openldap, dhcp, dns, шлюз, smb).

Аутентификация происходит через ldap базу. Завел клиента в домен (corp.org), но он не может получить доступ на самбовскую шару.

slapd-corp.org.conf

Код: [Выделить]

database hdb
suffix "dc=corp,dc=org"
rootdn "cn=ldaproot,dc=corp,dc=org"
rootpw eijaizee3vuogh7o
directory /var/lib/ldap/bases/corp.org

index objectClass eq
index uid eq
index cn eq
index  uidNumber          eq
index  gidNumber          eq

access to attrs=userPassword,sambaLMPassword,sambaNTPassword
        by self writeaccess to dn.subtree="ou=kdcroot,dc=corp,dc=org"
        by dn.exact="cn=kdc,ou=kdcroot,dc=corp,dc=org" read
        by dn.exact="cn=kadmin,ou=kdcroot,dc=corp,dc=org" write
        by * none

access to dn.subtree="cn=CORP.ORG,cn=kerberos,ou=kdcroot,dc=corp,dc=org"
        by dn.exact="cn=kdc,ou=kdcroot,dc=corp,dc=org" read
        by dn.exact="cn=kadmin,ou=kdcroot,dc=corp,dc=org" write
        by * none

access to *
        by * read
        by anonymous auth
        by * none
smb.conf

Код: [Выделить]

[global]
realm = CORP.ORG
server string = Samba server on %h (v. %v)
security = user
dedicated keytab file = /etc/krb5.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
dns proxy = No
use sendfile = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=corp,dc=org
ldap suffix = dc=corp,dc=org
ldap group suffix = ou=Group
ldap user suffix = ou=People

[share]
comment = Commonplace
path = /srv/share
read only = No

[homes]
comment = Home Directory for '%u'
browseable = no
writable = yes
Почему пользователь не может зайти на шару используя свой доменный пароль?

[varalt]

Где-то на форуме подобный вопрос задавали...
Ответ я уже писал там. Надо будет его поискать...

[abrams123]

Что-то я никак не могу найти подобной темы.

Прошу дать ссылку.

[varalt]

Что-то я никак не могу найти подобной темы.

Прошу дать ссылку.

Нашел ссылку: http://forum.altlinux.org/index.php/topic,13517.msg160068.html#msg160068
Я не знаю, насколько совместимы эти параметры между собой.
Для расшаренной папки нужно ещё добавить параметр valid users = %U
Но есть ещё один параметр valid users = "@Domain Users".

В Вашем примере будет так:

Код: [Выделить]

[share]
comment = Commonplace
path = /srv/share
read only = No
valid users = %U
valid users = "@Domain Users"

[abrams123]

Сделал как надо. Доступ все равно не дает.
В логах пишется:

Код: [Выделить]

[root@serv1 ~]# cat /var/log/samba/log.client2
[2012/03/05 02:20:34.813672,  0] passdb/pdb_get_set.c:212(pdb_get_group_sid)
  pdb_get_group_sid: Failed to find Unix account for user1
[2012/03/05 02:20:34.818560,  1] auth/auth_util.c:580(make_server_info_sam)
  User user1 in passdb, but getpwnam() fails!
[2012/03/05 02:20:34.818662,  0] auth/auth_sam.c:493(check_sam_security)
  check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'
Хотя в настройках smb.conf написано:

Код: [Выделить]

passdb backend = ldapsam:ldap://127.0.0.1/
user1 это лдап-пользователь.

Пробовал в секции [global] добавить unix password sync = Yes

Код: [Выделить]

[root@serv1 ~]# smbclient -L localhost - U user1
session setup failed: NT_STATUS_LOGON_FAILURE

[varalt]

Да... Что-то не то.
Но я сейчас пока не смогу поверить данную ситуацию на виртуальной машине.
Будет время - проверю.

P.S. На клиенте какой дистрибутив стоит? KDE4 или Gnome?

[abrams123]

Да... Что-то не то.
Но я сейчас пока не смогу поверить данную ситуацию на виртуальной машине.
Будет время - проверю.

P.S. На клиенте какой дистрибутив стоит? KDE4 или Gnome?

На клиенте стоит xface. это с дистрибутива altlinux 6 simply linux

[varalt]

Скинь сюда свой обновленный smb.conf.
P.S. какое у тебя полное имя LDAP-сервера?

[abrams123]

полное имя лдап сервера: corp.org

smb.conf

Код: [Выделить]

[global]
realm = CORP.ORG
workgroup = CORP.ORG
server string = Samba server on %h (v. %v)
security = user
dedicated keytab file = /etc/krb5.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
dns proxy = No
use sendfile = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=corp,dc=org
ldap suffix = dc=corp,dc=org
ldap group suffix = ou=Group
ldap user suffix = ou=People

[share]
comment = Commonplace
path = /srv/share
force group = users
read only = No
valid users = %U
valid users = "@Domain Users"
guest ok = Yes

[homes]
comment = Home Directory for '%u'
browseable = no
writable = yes

Сейчас команда "smbclient -L localhost -U user1" работает нормально. Видно структуру, но на компьютере пользователя через файловый менеджер на шару по прежнему не получается зайти.



В логах пишет

Код: [Выделить]

[2012/03/05 15:46:53.528570,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED


[varalt]

полное имя лдап сервера: corp.org

smb.conf

Код: [Выделить]

[global]
realm = CORP.ORG
workgroup = CORP.ORG
server string = Samba server on %h (v. %v)
security = user
dedicated keytab file = /etc/krb5.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
dns proxy = No
use sendfile = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=corp,dc=org
ldap suffix = dc=corp,dc=org
ldap group suffix = ou=Group
ldap user suffix = ou=People

[share]
comment = Commonplace
path = /srv/share
force group = users
read only = No
valid users = %U
valid users = "@Domain Users"
guest ok = Yes

[homes]
comment = Home Directory for '%u'
browseable = no
writable = yes


Тут
Попробуйте заменить

Код: [Выделить]

security = user на

Код: [Выделить]

security = server или на

Код: [Выделить]

security = domainА для чего тут

Код: [Выделить]

force group = users? Это LDAP группа или локальная?

Перезапуск SAMBA на сервере

Код: [Выделить]

service smb restart

[abrams123]

Это локальная группа, осталось после экспериментов с самбой. Убрал эту строчку.
Пробовал изменять security = user на server и domain, но безрезультатно.

У клиента пишет: Не удалось получить список доступных на сервере ресурсов.

[berkut_174]

Странно... тоже проверю у себя. Хотя в такой же связке проверял на ВМ - все работало "из коробки" (когда ещё Кентавр был RC).
А если вернуть все как было и на клиенте в alteratore в разделе Сетевые каталоги поставить галочку Общая папка. Она монтируется в домашний каталог ? И клиент естественно в домене и заходите под этим же пользователем, которым пытаетесь открыть шару ?

[abrams123]

Там галочка уже стоит. Вот что видно на клиенте:

Код: [Выделить]

[user1@client2 ~]$ df
Файловая система Размер Использовано  Дост Использовано% Cмонтировано в
rootfs              11G         3,4G  6,5G           34% /
udevfs             5,0M            0  5,0M            0% /dev
/dev/sda2           11G         3,4G  6,5G           34% /
runfs              5,0M         2,5M  2,6M           50% /run
shmfs              248M         160K  248M            1% /dev/shm
tmpfs              248M          32K  248M            1% /tmp
/dev/sda5          8,5G         224M  7,8G            3% /home