форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Samba как PDC + winbind = ошибки "

Сообщение от lta (ok) on 09-Мрт-07, 20:21

Пытаюсь запустить Samba  в качестве PDC + winbind  - ошибки Есть FreeBSD 6.2 и Samba 3.0.23c_2,1. из пакета (samba-3.0.23c_2,1.tbz) Дальше все что делал по порядку smb.conf   [global] workgroup = sambadomain server string = Samba PDC netbios name = samba security = user encrypt passwords = Yes     preferred master = yes domain master = yes domain logons = yes os level = 255 idmap uid = 10000-20000 idmap gid = 10000-20000 admin users = root @ntadmins logon script = startup.bat logon drive = Z: logon path = log file = /var/log/samba/samba.%m log level = 4 dos charset = CP866 unix charset = KOI8-R add machine script = /usr/local/etc/samba/scripts/add_machine.sh "%u" add user script = /usr/local/etc/samba/scripts/add_user.sh "%u" delete user script = /usr/local/etc/samba/scripts/del_user.sh "%u" add group script = /usr/local/etc/samba/scripts/add_group.sh "%g" delete group script = /usr/local/etc/samba/scripts/del_group.sh "%g" set primary group script = /usr/local/etc/samba/scripts/set_primgroup.sh "%u" "%g" add user to group script = /usr/local/etc/samba/scripts/add_usertogroup.sh "%u" "%g" delete user from group script = /usr/local/etc/samba/scripts/del_userfromgroup.sh "%u" "%g" message command = mail -s 'SAMBA message from %f on %m' root < %s; rm %s [netlogon] comment = Network Logon Service path = /usr/local/etc/samba/netlogon/%a writable = yes browsable = no [public] comment = Public folder path = /home/samba/public public = yes writable = yes [homes] comment = Home Directories browseable = no writable = yes create mask = 0644 -- pw groupadd ntadmins pw groupadd ntusers pw groupadd ntcomputers net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins rid=512 type=d net groupmap add ntgroup="Domain Users" unixgroup=ntusers rid=513 type=d net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d net groupmap add ntgroup="Domain Computers" unixgroup=ntcomputers type=d net groupmap list >Domain Users (S-1-5-21-3341541703-2401096919-2723899071-513) -> ntusers >Domain Computers (S-1-5-21-3341541703-2401096919-2723899071-3009) -> >ntcomputers >Administrators (S-1-5-32-544) -> 10000 >Domain Admins (S-1-5-21-3341541703-2401096919-2723899071-512) -> ntadmins >Domain Guests (S-1-5-21-3341541703-2401096919-2723899071-514) -> nobody >Users (S-1-5-32-545) -> 10001 pw useradd samba$ smbpasswd -a –m samba$ pw useradd ntadmin -g ntadmins -d /dev/null -s /sbin/nologin -c 'NT admin' smbpasswd -a ntadmin После этого PDC запускается, машины и юзера добавляются из USRMGR, групповые политики запускаются и как бы все OK ------------------- Дальше хочется привинтить winbind и начинаются непонятности. В samba.conf добавляю [global] winbind uid = 10000-20000 winbind gid = 10000-20000 winbind separator = + winbind cache time = 10 winbind enum users = yes winbind enum groups = yes samba restart wbinfo –p OK wbinfo –t OK wbinfo –g >BUILTIN+administrator >BUILTIN+users ДОМЕННЫХ ГРУПП НЕТУ :( \var\log\samba\samba.winbindd [2007/03/09 18:05:40, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(474)   [    0]: request interface version [2007/03/09 18:05:40, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(507)   [    0]: request location of privileged pipe [2007/03/09 18:05:40, 3] nsswitch/winbindd_group.c:winbindd_list_groups(881)   [    0]: list groups [2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(579)   get_sam_group_entries: BUILTIN or local domain; enumerating local groups as well [2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(588)   get_sam_group_entries: Returned 2 local groups [2007/03/09 18:05:40, 4] nsswitch/winbindd_group.c:get_sam_group_entries(579)   get_sam_group_entries: BUILTIN or local domain; enumerating local groups as well [2007/03/09 18:05:40, 3] nsswitch/winbindd_group.c:get_sam_group_entries(584)   get_sam_group_entries: Failed to enumerate domain local groups! wbinfo –u >Error looking up domain users – подозреваю, что по той же причине что и с доменными группами При добавлении в nsswitch passwd:     files winbind group:      files winbind разницы особой нет кроме большой паузы. --------------------- О такой проблеме народ в сети пишет, но какого-то четкого решения я не увидел. Вроде ничего особого не делаю, все по докам... Если кто поможет или ткнет носом – буду очень признателен :\

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Samba как PDC + winbind = ошибки "

Сообщение от Xela (ok) on 15-Мрт-07, 18:37

Я может быть глупость скажу, но у вас PDC -- это самба, стало быть и юзера у вас самбовские, а winbindd необходим для получения юзеров и груп с уже существующего PDC. winbindd - Name Service Switch daemon for resolving names from NT servers Так что, имхо, в вашем случае необходимости в winbindd нет. Разве не так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Samba как PDC + winbind = ошибки "

Сообщение от Xela (ok) on 15-Мрт-07, 18:45

В любом случае, для того что бы работа winbindd надо что бы samba была членом домена: [global] workgroup = DOMAIN security = domain password server = * и была к этому домену подключена используя net join

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Samba как PDC + winbind = ошибки "
	Сообщение от lta (ok) on 16-Мрт-07, 11:26
	PDC какраз и реализует домен NT с соответствующими юзерами. Запускается он раньше чем winbindd - 'winbindd - Name Service Switch daemon for resolving names from NT servers' обязан вязаться с ним. Собственно net join отрабатываефт и wbinfo -t проблем не испытывает. >workgroup = DOMAIN >security = domain Да, я поднимал Самбу на другой машине и она замечательно вязалась с этим PDC. wbinfo -g -u отписывают группы и пользователей без вопросов. По уму оно вроде и здесь должно отрабатывать без проблем тем более что security=domain имеет отношение к демону самбы, а не винбинд. Про ошибки wbinfo -u  -g мне высказали мнение что это известный баг (при запуске на одной машине) и собственно винбинд якобы без этого работает - у меня это вызывает непонимание, ну должны ведь где-то про это писать. Тем не менее на одной машине PDC и winbindd работать не хотят. Вообще мне казалось вопрос должен быть известным и полезным - сделать контроллер домена и все службы с паролями unix едиными на одной машине через winbind+pam. Это проще чем поднимать LDAP - хотя дело идет к этому :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Samba как PDC + winbind = ошибки "
	Сообщение от Xela (ok) on 16-Мрт-07, 12:01
	Я не понимаю, зачем нужен winbindd функционирующий на одной машине с самбой если юзеры в вашем случае являются системными? winbindd вам нужен на другой машине, для того что бы получить этих юзеров с данного сервера, но не на ней самой. Так как на ней самой они и так есть и их прекрасно видно по getent и id.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Samba как PDC + winbind = ошибки "
	Сообщение от Xela (ok) on 16-Мрт-07, 12:11
	В попытках разобраться в этом вопросе пришел к выводу, что для нормального функционирования winbindd на одной машине самбой необходимо сделать: wbinfo --set-auth-user=Administrator%'YourPassword' после чего wbinfo -g и wbinfo -u должны отрабатывать корректно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Samba как PDC + winbind = ошибки "
	Сообщение от lta (ok) on 16-Мрт-07, 12:48
	>они и так есть и их прекрасно видно по getent Да, по getent прекрасно видно, только локальных а не доменных. >Я не понимаю, зачем нужен winbindd функционирующий на одной машине с самбой Хочется иметь единые пароли для всего: домен, почта, фтп ... Когда создается пользователь в самбе пароль ложится в файл smbpasswords и не является системным. По идее winbindd должен брать эти пароли и через pam модуль подсовывать всем страждущим. Что замечательно отрабатывается на доменной машине. >wbinfo --set-auth-user=Administrator%'YourPassword' Без разницы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Samba как PDC + winbind = ошибки "
	Сообщение от Дмитрий (??) on 12-Окт-07, 09:38
	У меня тоже встала такая проблема. По getent passwd пользователей домена я вижу но через ldap, через winbind не вижу так как не работает wbinfo -u. У многих тут возникал вопрос для чего winbind на машине с PDC? Отвечаю: мне нужно на одной машине контроллер домена и squid. winbind умеет выдавать информацию о пользователях которые в данный момент подключены к домену. И Squid будет довать доступ только тем кто подключен без дополнительных запросов имен пользователей и паролей. net status session вроде тоже умеет вовращать имена пользователей, но Squid использует именно winbind. Я конечно могу на одной физической машине запустить 2 самбы, одну как PDC, а другую как клиент, путём использования OpenVZ, но это несколько неудобно. Появились ли у кого-нибудь мысли по этому поводу?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Samba как PDC + winbind = ошибки "
	Сообщение от Дмитрий (??) on 12-Окт-07, 09:45
	>[оверквотинг удален] >запросов имен пользователей и паролей. > >net status session вроде тоже умеет вовращать имена пользователей, но Squid использует >именно winbind. > >Я конечно могу на одной физической машине запустить 2 самбы, одну как >PDC, а другую как клиент, путём использования OpenVZ, но это несколько >неудобно. > >Появились ли у кого-нибудь мысли по этому поводу? Ах да забыл, в догонку. # wbinfo --get-auth-user ничего не возвращает, хотя юзвери подключены. В случае winbind на security = DOMAIN, присоединенного к моему контроллеру, всё работает корректно.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Samba как PDC + winbind = ошибки "
	Сообщение от Дмитрий (??) on 12-Окт-07, 09:46
	Ой ище забыл ! перед мылом поставить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Samba как PDC + winbind = ошибки "
	Сообщение от Sha2 on 12-Окт-07, 10:08
	>[оверквотинг удален] >запросов имен пользователей и паролей. > >net status session вроде тоже умеет вовращать имена пользователей, но Squid использует >именно winbind. > >Я конечно могу на одной физической машине запустить 2 самбы, одну как >PDC, а другую как клиент, путём использования OpenVZ, но это несколько >неудобно. > >Появились ли у кого-нибудь мысли по этому поводу? я не понял вопроса. Тебе нужно чтобы squid брал пользователей из PDC
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Samba как PDC + winbind = ошибки "
	Сообщение от Дмитрий (??) on 12-Окт-07, 11:16
	>я не понял вопроса. Тебе нужно чтобы squid брал пользователей из PDC да именно так. для этого нужен работающий winbind пока я понимаю что это не возможно, т.к. winbind должен получать инфу от самбы, которая в свою очередь цепляется к контроллеру домена. у меня же посути, самба должна делать запросы сама себе Вот что говорит winbindd -i -d3 got OID=1 3 6 1 4 1 311 2 2 10 got principal=NONE Got challenge flags: Got NTLMSSP neg_flags=0x60898215 NTLMSSP: Set final flags: Got NTLMSSP neg_flags=0x60088215 NTLMSSP Sign/Seal - Initialising with flags: Got NTLMSSP neg_flags=0x60088215 Doing spnego session setup (blob length=58) got OID=1 3 6 1 4 1 311 2 2 10 got principal=NONE Got challenge flags: Got NTLMSSP neg_flags=0x60898215 NTLMSSP: Set final flags: Got NTLMSSP neg_flags=0x60088215 NTLMSSP Sign/Seal - Initialising with flags: Got NTLMSSP neg_flags=0x60088215 Receiving SMB: Server stopped responding SPNEGO login failed: NT_STATUS_IO_TIMEOUT get_dc_list: preferred server list: ", *" fcntl_lock: lock failed at offset 0 count 1 op 13 type 0 (Ресурс временно недоступен) cm_get_ipc_userpass: Retrieved auth-user from secrets.tdb [ORPI\root] Doing spnego session setup (blob length=58) got OID=1 3 6 1 4 1 311 2 2 10 got principal=NONE Got challenge flags: Got NTLMSSP neg_flags=0x60898215 NTLMSSP: Set final flags: Got NTLMSSP neg_flags=0x60088215 NTLMSSP Sign/Seal - Initialising with flags: Got NTLMSSP neg_flags=0x60088215 Doing spnego session setup (blob length=58) got OID=1 3 6 1 4 1 311 2 2 10 got principal=NONE Got challenge flags: Got NTLMSSP neg_flags=0x60898215 NTLMSSP: Set final flags: Got NTLMSSP neg_flags=0x60088215 NTLMSSP Sign/Seal - Initialising with flags: Got NTLMSSP neg_flags=0x60088215 Receiving SMB: Server stopped responding
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Samba как PDC + winbind = ошибки "
	Сообщение от lta (ok) on 12-Окт-07, 12:01
	Поднимай LDAP и счастья тебе будет немеряно :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Samba как PDC + winbind = ошибки "
	Сообщение от Дмитрий (??) on 15-Окт-07, 07:59
	>Поднимай LDAP и счастья тебе будет немеряно :) Я же написал, что pam пользователей и пароли из LDAP получает, а с помощью winbind нет(но мне этого и не надо). нужно чтобы squid их получал от winbind. У меня собран PDC на AltLinuxServer4.0 + samba-3.0.26a + OpenLDAP. Всё это велликолепно работает. Нужен ещё Squid  на этой же машине, чтобы пускал только авторизованных в домене.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Samba как PDC + winbind = ошибки "
	Сообщение от Yam on 25-Окт-07, 11:51
	>У меня собран PDC на AltLinuxServer4.0 >+ samba-3.0.26a + OpenLDAP. Всё это велликолепно работает. Нужен ещё Squid > на этой же машине, чтобы пускал только авторизованных в домене. > Увы, но заставить работать Samba PDC и Squid+ntlm_auth на одной машине неполучится, то, что у вас не отрабатывает wbinfo -u .. -g  это нормальное поведение wbinfo на Samba PDС, заявленное разрботчиками.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Samba как PDC + winbind = ошибки "
	Сообщение от Антон (??) on 13-Ноя-07, 11:04
	>>У меня собран PDC на AltLinuxServer4.0 >>+ samba-3.0.26a + OpenLDAP. Всё это велликолепно работает. Нужен ещё Squid >> на этой же машине, чтобы пускал только авторизованных в домене. >> > >Увы, но заставить работать Samba PDC и Squid+ntlm_auth на одной машине неполучится, >то, что у вас не отрабатывает wbinfo -u .. -g   >это нормальное поведение wbinfo на Samba PDС, заявленное разрботчиками. Samba PDC и Squid+ntlm_auth Замечательно работает при неработающих wbinfo -u .. -g P.S. Узай LDAP а squid прикрути через ntlm_auth
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Samba как PDC + winbind = ошибки "
	Сообщение от Аноним on 21-Ноя-07, 20:50
	> samba-3.0.26a + OpenLDAP. >>Увы, но заставить работать Samba PDC и Squid+ntlm_auth на одной машине неполучится, >>то, что у вас не отрабатывает wbinfo -u .. -g   >>это нормальное поведение wbinfo на Samba PDС, заявленное разрботчиками. > >Samba PDC и Squid+ntlm_auth Замечательно работает при неработающих wbinfo -u .. -g Т.е. https://bugzilla.samba.org/show_bug.cgi?id=4973 мы никогда и не увидим в состоянии RESOLVED ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]