Samba PDC + Win bejelentkezés

Linux-kezdő

Samba PDC + Win bejelentkezés

  • 3261 megtekintés

( x-daemon | 2004. 10. 29., p – 13:22 )

szóval a csatlakozás. létre van hozva a gépnév$ nevű felhasználó? vagy "kézzel" vagy add user script -el?

( butcher | 2004. 10. 29., p – 13:27 )

Igen, sambához sikerült (kézzel) hozzáadni gepnev$ -t meg linux oldalon is bár oda nem tudom kell e, de ott nincs $ a gepnev utan.

( x-daemon | 2004. 10. 29., p – 13:31 )

ha jól tudom linux alatt is kell, mert a smbpasswd csak akkor veszi fel ha létezik ott is. másrészt kell a végére a $ jel is, ezt az adduser --force-badname -el tudod elérni. ezért jobb az ldap, nem fogja a passwd filédet teleszemetelni a samba ilyen $-os nevekkel :)

a "Komplett címtáralapú megoldás Linuxszal" fórumban leírtam a lényeget

( tef | 2004. 11. 07., v – 13:36 )

viszont ha a policyvel eléggé le vannak korlátozva az userek akkor csak lehet gátat szabni ennek a nagy profile növekedésnek?

és ok hogy van egy alap profile, de az se ártana hogy pl a dokumentumokat a szerverre mentse

neked van ötleted a %u-s problémámra?

ajanlom figyelmedbe az smb.conf(5) `logon drive', `logon home' es `logon path' kulcsszavait;

ezenkivul en anno hasznaltam egy NTConnect.exe nevu alkalmazast, mely kepes volt mapelni grouptagsag alapjan, nyomtatot a gephez kapcsolni, logon-idoben registry hacket alkalmazni a kliensgepen.

a nevelesrol annyit, hogy annyit lehet tenni (persze kornyezetfuggo), hogy mindenkinek van egy sajat konyvtara, ahova a sajat dolgait teszi (ez alapertelmezesben letre is jon, a user nevevel megegyezo nem browse-olhato share), ez alapban z:, egy csoportszintu konyvtar, peldaul g:, es lehet egy par readonly kozos (pl. sablonok), valamint mindenkinek mindent (readwrite). a felhasznalo pedig azt tudja, hogy mentes kizarolag a kozponti gepen tarolt dolgokrol keszul.

ezenkivul hasznalhato a microsoft-fele srvtools.exe (ez a poledit, a usermgr es a srvmgr alkalmazasokat tartalmazza), abban is lehet allitgatni, hogy x user profile-ja pl z:.

megegy: a NETLOGON nevu share kell, hogy letezzen.

megmasodik: nekem csont nelkul megy (igaz, roaming profile nincs) ldap-alapu DC-kent a samba-tng, egy probat meger.

( butcher | 2004. 11. 07., v – 14:23 )

[quote:b31a8606c4="tef"]
ajanlom figyelmedbe az smb.conf(5) `logon drive', `logon home' es `logon path' kulcsszavait;

igen ezek vannak

[quote:b31a8606c4="tef"]
ezenkivul en anno hasznaltam egy NTConnect.exe nevu alkalmazast, mely kepes volt mapelni grouptagsag alapjan, nyomtatot a gephez kapcsolni, logon-idoben registry hacket alkalmazni a kliensgepen.

köszi

[quote:b31a8606c4="tef"]
a nevelesrol annyit, hogy annyit lehet tenni (persze kornyezetfuggo), hogy mindenkinek van egy sajat konyvtara, ahova a sajat dolgait teszi (ez alapertelmezesben letre is jon, a user nevevel megegyezo nem browse-olhato share), ez alapban z:, egy csoportszintu konyvtar, peldaul g:, es lehet egy par readonly kozos (pl. sablonok), valamint mindenkinek mindent (readwrite). a felhasznalo pedig azt tudja, hogy mentes kizarolag a kozponti gepen tarolt dolgokrol keszul.

szoval épp itt van a problémám, hogy nálam alapértelmezésben nem jön létre

( butcher | 2004. 11. 11., cs – 15:33 )

Ki tudná megmondani, hogy Win XP esetében ha elinditom a "gpedit.msc"-t és megcsinálom a kivánt változtatásokat és azt minden domainba lévő gépre rá akarom huzni akkor azt, hogy tudoim megcsinálni?

( butcher | 2004. 11. 03., sze – 10:37 )

ha security = user akkor nem is tudok ugy megosztani hogy ne kelljen azonositani az usert? hanem mint eddig publikus megosztás és kész.
az a gond hogy 1 szerverem van viszont 300 gép
és jo lenne a mig csinálgatom a pdc-t addig is meglegyenek a publikus megosztások

( butcher | 2004. 10. 29., p – 18:22 )

igen az ldap lenne a következő lépés de gondoltam amig igy magába nem megy addig nemerölködöm :twisted:
de pl.: adduser --force-badname na erről még nem hallottam
és mondjuk hogy ne kelljen ilyeneket használni ahoz kellenek az előre megirt scriptek? és ha igen azokat hol és hogy használom? mondjuk a script neve addsambauser, akkor csak simán a konzolba addsambauser usernev stb.?

( butcher | 2004. 11. 03., sze – 12:03 )

[global]
security = user
guest account = nobody

[megosztas]
??

( butcher | 2004. 11. 05., p – 08:20 )

Mitől lehet hogy a samba %u -val nem tud mit kezden?
jelenlegi bejegyzés \\szerver\profiles\%u
és erre létrehoz egy %u könyvtárat

jelenleg ldap a backend

( x-daemon | 2004. 11. 03., sze – 12:35 )

map to guest paramétert is nézd meg!

( x-daemon | 2004. 10. 29., p – 18:56 )

man adduser-ben van
bele lehet rakni az smb.conf-ba, ott megkapja a megfelelő paramétereket stb. samba-doc csomagban vannak nagyon jó scriptek

( butcher | 2004. 10. 29., p – 19:39 )

jah, logikus :D
akkor csak a biztosnság kedvéért :?: samához smbpasswd -a user
linuxhoz adduser...
és a gépet meg $-al szintén sambához és linuxhoz is
+ sambához egy root felhasználo amivel elösször kell csatlakozni a domainhez

sajna csak kedden tudom kipróbálni

thx

( x-daemon | 2004. 11. 08., h – 16:22 )

na itt a profiles megosztás, nem kell bele változó!!! :)
automatikusan létrehozta a könyvtárakat!
viszont ennek a könyvtárnak a hozzáférési jogosultsága 1777-es!

[profiles]
path = /útvonal/profiles
read only = no
create mask = 0600
directory mask = 0700
guest ok = yes
browseable = no

( butcher | 2004. 11. 08., h – 16:53 )

[quote:aa4b561068="x-daemon"]na itt a profiles megosztás, nem kell bele változó!!! :)
automatikusan létrehozta a könyvtárakat!
viszont ennek a könyvtárnak a hozzáférési jogosultsága 1777-es!

[profiles]
path = /útvonal/profiles
read only = no
create mask = 0600
directory mask = 0700
guest ok = yes
browseable = no

Okay működik, éljen :)
létrehoza magátol aki bejelentkezett stb, szoval mostmár kezd alakulni.

Poicyval kapcsolatban van valakinek tapsztalata?
Azt is ka központi profilba találom? Erről nincs sok elképzelésem.

( butcher | 2004. 11. 10., sze – 22:02 )

[quote:7a596abc8a="tef"]

ezenkivul en anno hasznaltam egy NTConnect.exe nevu alkalmazast, mely kepes volt mapelni grouptagsag alapjan, nyomtatot a gephez kapcsolni, logon-idoben registry hacket alkalmazni a kliensgepen.

Erről az NTConnect.exe -ről irhatnál mert a google elég mérsékelt találati eredményt mutatott :)

( butcher | 2004. 11. 06., szo – 09:59 )

a kérdés még mindig aktuális :roll:

( tolmi | 2004. 11. 06., szo – 14:05 )

[quote:e60fe8fc62="butcher"]Mitől lehet hogy a samba %u -val nem tud mit kezden?
jelenlegi bejegyzés \\szerver\profiles\%u
és erre létrehoz egy %u könyvtárat

jelenleg ldap a backend

Ennek mi értelme? Már bocs. De rávilágítanál, hogy mit szeretél csinálni? A Samba egy összetett lélek...

Ui.: Maskor legyszi tedd fel a config-fileodat a webre (összetömöritve) és utalj rá. Továbbá írd le pontosan mit szerettél volna és pontosan mi történt. Pontosan.
Ui2.:Szerinted ki fog így segíteni?! Legalabb add meg a lehetőséget....
Ui3.: Jahh.. ICQ-n elérhető vagyok, ha gondolod...

( butcher | 2004. 11. 06., szo – 15:03 )

A célom az lenne ha user1 bejelentkezik a tartományba akkor létrejön neki a \\szerver\profiles\%u bejegyzésből adódóan a \\szerver\profiles\user1 könyvtár ahova a személyes windowsos profilja elmentődik.

Ennek az az értelme hogy akármelyik munkaállomshoz ül user1 és bejelentkezik ugynazt az asztalt kapja vissza ami nagyban növeli user1 önbizalmát.

Ui.: a config fileomat felrakhatom de semmi extra nincs benne, de itt egy ugyanolyan: http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/FastStart.html#fast
amiben benne van a %u bejegyzés ami nálam nem működik
pontosabban: %u nem vesz fel értéket hanem csak a samba létrehoz egy %u könyvtárat user1 könyvtár helyett
Ui2.: remélem most megadtam :)
Ui3.:oké

( butcher | 2004. 11. 02., k – 13:08 )

adduser --force-badname -el felvettema gépnevet is
benne is van a passwd-be meg az smbpasswd-be
és hiáb akarok root-al belépni csak nem megy
még mindig enm megfelelő paraméterre hivatkkozik

( x-daemon | 2004. 11. 06., szo – 19:46 )

nem mindegy hogy %u v. %U :)
most nem emléxem de hétfőn megnézem neked az egész profiles megosztást.
ja, asszem ez csak akkor m1 ha authentikálta a juzert, anonként nem., de ez nem biztos!
man smb.conf-ban tudod megnézni a különbséget közöttük!

( tef | 2004. 11. 06., szo – 20:18 )

[quote:556df93fc8="butcher"]A célom az lenne ha user1 bejelentkezik a tartományba akkor létrejön neki a \\szerver\profiles\%u bejegyzésből adódóan a \\szerver\profiles\user1 könyvtár ahova a személyes windowsos profilja elmentődik.

Ennek az az értelme hogy akármelyik munkaállomshoz ül user1 és bejelentkezik ugynazt az asztalt kapja vissza ami nagyban növeli user1 önbizalmát.

igen, de a halozat terheleset is. a windowsos profile-ok borzalmasan nagyra kepesek hizni, nekem csak problemat okozott a `roaming profile'.

esetleg lehet egy alap-profillal es group policyvel onbizalmat es munkara figyelest novelni :)

( x-daemon | 2004. 11. 02., k – 13:43 )

egy log level = 2 -vel nézd meg, hátha kiírja a logjába a hibát.
ilyen hogy [netlogon] és [profiles] megosztások?
nézd már meg, hogy a wins szerint ki a tartományvezérlő!
nmblookup -T -R -U winsszerverneve.domain.hu tartomány#1c
a gépet smbpasswd -m paraméterrel vetted fel?
(machine trust account)

( butcher | 2004. 11. 02., k – 13:50 )

utolso bejegyzés a logban:
[2004/11/02 14:56:56, 2] smbd/sesssetup.c:setup_new_vc_session(608)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2004/11/02 14:56:56, 2] lib/access.c:check_access(324)
Allowed connection from (192.168.1.204)
[2004/11/02 14:56:56, 2] auth/auth.c:check_ntlm_password(305)
check_ntlm_password: authentication for user [root] -> [root] -> [root] succeeded
[2004/11/02 14:56:56, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2477)
Returning domain sid for domain BAHAMUT -> S-1-5-21-1626657968-2163813423-272452289

( butcher | 2004. 11. 06., szo – 21:33 )

[quote:bf0870a158="x-daemon"]nem mindegy hogy %u v. %U :)
most nem emléxem de hétfőn megnézem neked az egész profiles megosztást.
ja, asszem ez csak akkor m1 ha authentikálta a juzert, anonként nem., de ez nem biztos!
man smb.conf-ban tudod megnézni a különbséget közöttük!

nem találtam az az igazság
de azt sem hogy a %u-t miből veszi
az viszont már kezdett nekem is feltünni hogy nem mindegy, hogy U vagy u
ha megnéznéd az jo lenne

( x-daemon | 2004. 11. 02., k – 13:57 )

ez a log.smbd? nézd meg a log.ahonnancsatlakoztal -t is
testparm ugye nem ír ki hibát? :)

( butcher | 2004. 11. 06., szo – 21:45 )

[quote:e84342de49="tef"]
igen, de a halozat terheleset is. a windowsos profile-ok borzalmasan nagyra kepesek hizni, nekem csak problemat okozott a `roaming profile'.

esetleg lehet egy alap-profillal es group policyvel onbizalmat es munkara
figyelest novelni :)

hm, hát ha ezt mondja a tapasztalat :)
viszont ha a policyvel eléggé le vannak korlátozva az userek akkor csak lehet gátat szabni ennek a nagy profile növekedésnek?

és ok hogy van egy alap profile, de az se ártana hogy pl a dokumentumokat a szerverre mentse

neked van ötleted a %u-s problémámra?

előre os köszi :wink:

( tolmi | 2004. 11. 06., szo – 22:41 )

[quote:11888344ed="butcher"]A célom az lenne ha user1 bejelentkezik a tartományba akkor létrejön neki a \\szerver\profiles\%u bejegyzésből adódóan a \\szerver\profiles\user1 könyvtár ahova a személyes windowsos profilja elmentődik.

Ennek az az értelme hogy akármelyik munkaállomshoz ül user1 és bejelentkezik ugynazt az asztalt kapja vissza ami nagyban növeli user1 önbizalmát.

Ui3.:oké

OOops... az ICQ-ról elfeledkeztem :D Bocsi...
Lenyeg:
http://freebooks.by.ru/view/SambaIn24h/ch05-01.htm
Továbbá próbáld meg behelyettesíteni mondjuk egy %v-t. Ez mindnesetre jó kezdet, kiderül, hogy megy-e a változóbehelyettesítés. Egyebkent neked tovabbra is %U (uppercase) kell, hisz ez a variable a session-t inditó juzer nevét jelenti. Masreszt nem volt jó az a config fájl amit multkor kértél tőlem?

Ui.: Tök jó hogy ilyen kitartó vagy! Csak így tovább! Nekem 2 hónapomba került a cégnél ezt összehakkolni :D

( butcher | 2004. 11. 02., k – 14:34 )

log.ahonnan:
netbios connect: name1=blabla name2=blabla
szoval minden jonak tünik

testparm, itt már nem olyan jo a helyzet:
Server's role (logon seerver) conflictd with share-level security
valamint ugyanitt:
server role: ROLE_STANDALONE

( tolmi | 2004. 11. 06., szo – 22:47 )

[quote:9144af9ed7="butcher"]
hm, hát ha ezt mondja a tapasztalat :)
viszont ha a policyvel eléggé le vannak korlátozva az userek akkor csak lehet gátat szabni ennek a nagy profile növekedésnek?

előre os köszi :wink:

Nagy badarság, hogy a profil nagy meg szívás van vele! Nekem 22 juzerem van roaming profillal és most csak a profiljuk 12 GB :lol: Oh..It's OK 8)

Na jó. Őszintén: Azért ilyen nagy, mert a drága, aranyos-kedves juzereim MINDIG a nyavajás My Documents-eikbe mentik minden sz*rukat -> ergo jól meg kell nevelni őket, mielőtt bevezeted! (Kb 5 hónap alatt hajlamosak kb. megtanulni :wink: ) Másrészt a roaming profile-nál néha tiltakozik a Windows, de ezt eddig nem sikerült felderítenem. (Samba listán válaszra sem méltatták...)

( butcher | 2004. 11. 02., k – 14:43 )

viszont akkor meg nem érem el a megosztásokat
vagy akkor ez így működik?
mindenesetre most igy odáig jutottam hogy kiirta hogy nem tudok 1 nél többször bejelentkezni

( x-daemon | 2004. 11. 02., k – 14:54 )

hát majd domain logon után! :)
vagy be kell írnod a megfelelő user/pass párost pl. felcsatoláskor.

sztem kezdd el előlről kb. innen: http://samba.idealx.org/

( butcher | 2004. 11. 02., k – 15:13 )

mostmár csak nem kezdeném "előről"
szerintem mr menne a dolog csak azt nem értem hogy root ként miért irja ki hogy szer már csatlakozva vagyok

( butcher | 2004. 11. 02., k – 15:26 )

windows :twisted:
ujrainditottam és be tudtam jeletkezni :D

( butcher | 2004. 11. 07., v – 00:56 )

[quote:0dd434e86c="tolmi"]
OOops... az ICQ-ról elfeledkeztem :D Bocsi...
Lenyeg:
http://freebooks.by.ru/view/SambaIn24h/ch05-01.htm
Továbbá próbáld meg behelyettesíteni mondjuk egy %v-t. Ez mindnesetre jó kezdet, kiderül, hogy megy-e a változóbehelyettesítés. Egyebkent neked tovabbra is %U (uppercase) kell, hisz ez a variable a session-t inditó juzer nevét jelenti. Masreszt nem volt jó az a config fájl amit multkor kértél tőlem?

kösz az infót hétfőn az lesz az első hogy megnézzem élesbe

[quote:0dd434e86c="tolmi"]
Ui.: Tök jó hogy ilyen kitartó vagy! Csak így tovább! Nekem 2 hónapomba került a cégnél ezt összehakkolni :D

kösz, szerintem jol haladok
de ha nem kérdezek senki se válaszol
és még előttem van a migráció :)
bár már egy haveromnak köszönhetően ebben is nagy előrelépések vannak

ui: novellből próbált már valaki migrálni ldap-ba :?:

( butcher | 2004. 11. 07., v – 01:02 )

[quote:b9924cdfe1="tolmi"]
Nagy badarság, hogy a profil nagy meg szívás van vele! Nekem 22 juzerem van roaming profillal és most csak a profiljuk 12 GB :lol: Oh..It's OK 8)

én is végeztem egy kis számolás
mondjuk lehet rakni 120gb-os vinyót 300 userre
elgondolkodtató :oops:
quotázás nem lehet célravzető?

[quote:b9924cdfe1="tolmi"]
Na jó. Őszintén: Azért ilyen nagy, mert a drága, aranyos-kedves juzereim MINDIG a nyavajás My Documents-eikbe mentik minden sz*rukat -> ergo jól meg kell nevelni őket, mielőtt bevezeted! (Kb 5 hónap alatt hajlamosak kb. megtanulni :wink: ) Másrészt a roaming profile-nál néha tiltakozik a Windows, de ezt eddig nem sikerült felderítenem. (Samba listán válaszra sem méltatták...)

persze az userek... :)
dehát nélkülük olyan unalmas lenne

mit értesz az alatt, hogy tiltakozik? nem jol kezeli vagy egyáltalán nem kezeli?

( butcher | 2004. 10. 29., p – 13:01 )

Hi!

Tudommár lerágott csont a samba PDC-ként való üzemeltetése, de a forumok alapján csak nem jutok 5-től 6-ra vagyis inkább workgroupból domainbe :)
Nos van egy Samba (3.0.7) domainként müködik. Egyenlőre ldap nélkül. A kliens gépet felvettem a sambához valamint az usert is és a root-t is, XP registry modosítva.
Amikor megpróbálok rootként bejelenkezni elösször a tartományba azt irja ki, hogy a tartományhoz való csatlakozás közben a követlező hiba lépett fel:
A paraméter nem megfelelő.
Ha userként akarok belépni vagy megváltoztatom a root jelszavát (smbpasswd -a root) azaz ekkor már nem egyezik meg a root/linux oldali jelszavbal akkor azt irja ki, hogy hozzáférés megtagadva.

( x-daemon | 2004. 10. 29., p – 13:17 )

remélem egy invalid users = root a azért ott figyel :)

( tolmi | 2004. 11. 07., v – 11:04 )

[quote:abe70969c4="butcher"]

mit értesz az alatt, hogy tiltakozik? nem jol kezeli vagy egyáltalán nem kezeli?

Nyugi! Menni fog :) Csak nekem volt olyan hibám, hogy minden f*szan működött, csak néha kiirta a loginnél, hogy Ő akkor most a helyileg tárolt Roaming Profile-t fogja használni, mert az a fránya DC sajnos nem tudja feloldani a NETBIOS nevet :) :arrow: ergo nem menti vissza a DC-re a profile-t, ha ez a hiba előjön.
Nos az elsö problémám az volt, hogy MILYEN netbios nevet nem talál az ördöfattya. Gép, juzer, megosztás?! - Ez soha nem derült ki. Lényegében egy fél hónap alatt találtam egy levelet - az egyik volt Samba fejlesztő írta - amiben leírta, hogy neki néha vagy előjön ez a hiba és akkor az a rendszer átkozott lesz, mert ki tudja mikor jön/nemjön ott elő, vagy seamless, minden hiba nélkül megy. Kétségbeejtő...
Lényegében én arrta gyanakodtam, hogy a lökött WinXP-k kiirtak master browser választást, X hogy miért, és persze egy kis időre két master browser volt a hálón. És aki kicsit is ismeri a NetBIOS-t az tudja, hogy ez egy p2p alapú szolgáltatás... azt választja mbrowsernek az épp bejelent kező gép, aki előbb válaszol a kérésére. Mindenesetre számottevő javulás mutatkozott a hibák számában, miután minden kliensen lelőttem a Browser service-t :) Samba listan kaptam LOL-t az issue-mra. Szuper.

Lehet hogy a kvóta megolást jelent, de csak csínján. Ne felejts el, hogy itt nincs soft és hard quota... (ha jol emlékszem)
Ha mégis, :arrow: Samba quota question

( sj | 2006. 09. 11., h – 13:59 )

Egy samba PDC-t akarnek osszedobni ldap nelkul. Tudna valaki mutatni egy komplett konfigot, ill. annak a menetet, hogy tudok felvenni egy domain user-t. Mert nem akar osszejonni....

ASK Me No Questions, I'll Tell You No Lies