Samba mint PDC (2) folytatás

Debian GNU/Linux

Mivel már elég hosszú volt a másik téma indítottam egy újat, melyet már más is javasolt.

  • 3925 megtekintés

( xray | 2007. 11. 18., v – 13:19 )


Oops írta:
még újabb 5let:
hátha a csoportot HOST\Rendszergazdák formában kell megadnod (tudom, hogy akkor nem menne a script magában sem, de.. de.. akkor is kipróbálnám - kínomban)

másik 5let:
ugye most azt nem tudjuk, hogy a script nem is kapcsolódik a hosthoz, vagy kapcsolódik, de a hozzáadás nem hajtódik végre
úgyhogy próbálj csak lekérdezést végrehajtani és logolni, valami olyat, amihez nem kellenek extra jogok, pl hogy milyen share-jei vannak az xp-nek. Ha ez megy, akkor olyat csinálnék még, hogy az xp 'control userpasswords2' -jével tenném be a tartományi júzert helyi rendszergazdaként a csoportba, és utána lekérdezni a preexec scripttel, hogy ez látszik-e?

Most egy olyat csináltam, hogy smbclienttel kilistáztam a megosztásokat. DE mivel ha egy XP-t domainbe csatlakoztatsz alapbol kikapcsolja az egyszerű fájlmegosztást és user szintű lesz tehát mindenképp kér user/pass párost. Namost manuálisan szintén hiba nélkül lefut a script. A sctipt kimenetét átirányítottam egy logba és ezt kaptam sambas futas esetén: 


session setup failed: Call timed out: server did not respond after 20000 milliseconds

pontosan ilyet:) vagyis ha nem adok meg usernevet akkor 



        Sharename       Type      Comment
        ---------       ----      -------
Error returning browse list: NT_STATUS_ACCESS_DENIED

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

ha pedig megadom a user/passt akkor: 


session setup failed: Call timed out: server did not respond after 20000 milliseconds

Ettől lehet kiütést kapni.
Gondoljuk csak át:
az xp kiad egy
net use \\samba\netlogon /username=akarki jelelgű parancsot
és amíg erre nem kap igent vagy nemet, addig nem válaszol a bejövő kérésre?
Ezért van az, hogy ha parancssorba teszed a cuccot, akkoor megy: akkor épp nincs az xp-s gépnek függőben levő kérése...
Vagyis az XP "én kérdeztem először"-t játszik?
Akkor próbáld ki a scriptedet postexec-ben, elvileg ott sem lehet nagy baj, kivéve, ha a logon scriptnek már rendszergazdai joggal kell futni....

Várj csak, hülyeség az egész.
Ha X user bejelentkezés _után_ kerül a Rendszergazdák csoportba, akkor az nem érvényesül amúgy sem, amíg újra be nem logol.

Ennél az ok sztrm egyszerűbb. szerintem mindez a IPC$ megosztással jáccódik le, éspedig azért, mert az IPC$ megosztáson keresztül authentikál be a domain-be. Mivel az XP megosztásai domain-be léptetés után domain user authentikációval mennek, így amíg a domain nem authentikálja őt vissza, addig ő sem tudja a domain userjeit authentikálni. Ez inkább a tyúk kontra tojás perre hajaz véleményem szerint.

De ez csak vad elmélkedés, ezt ki kellene mérni.

( xray | 2007. 11. 18., v – 20:58 )

Én a hivatalos howto (manual) alapján próbálom feltételezni, hogy mennie kellene illetve több másik howto-ban is láttam. Egyébként kipróbáltam mezei általam létrehozott csoporttal is azzal sem.

( _Petya_ v | 2007. 11. 25., v – 12:23 )

Hello!

logonHours-al kapcsolatban adódott problémám.

LDAP-ban vannak a felhasználóim, és mindenkinek külön van egy logonHours attribútuma. Ez két féle lehet:

0-24 (tehát mindig beléphet)
7-24-ig léphet be

A Samba leírás szerint 168 bites bitmaszk írja ezt le, minden bit a hét 1 órája. A logonHours-ban mindezt hexában kell szerepeltetni

Tehát:

A 0-24-het értelemszerűen FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

A 7-24 óráig tartó bejelentkezés pedig 01FFFF01FFFF01FFFF01FFFF01FFFF01FFFF01FFFF

Leglábbis az én számolásom szerint. Viszton, azok a felhasználók, akiknek 7-24-et állítottam be, nem tudnak 10 előtt belépni.

Tegnap reggel 7-8 között kipróbáltam a saját azonosítómon, hogy a 168 bitből melyiket kell 1-esre állítani, hogy szombat 7-8-ig beengedjen beengedjen. Nagyon meglepődtem, mikor ez: 000000000000000000000000000000000000400000 lett az eredmény.

No mindegy, ha el van csúszva, hát el van, kiszámoltam ezt a maszkot: 7FFFC07FFFC07FFFC07FFFC07FFFC07FFFC07FFFC0

Reggel ment is, de pl. délután már nem tudtam belépni.

Én számolok rosszul, vagy idózóna eltérés, vagy mi lehet ennek az oka? (A logban, amikor elutasítja a belépést, helyes az időpont)

szerk: addig amíg nem oldódik meg a probléma, tudok olyat, hogy smb.conf-ból felülbírálom az LDAP-ban található éréket? Tehát hogy mindenki be tudjon mindig lépni?

Petya

( ScOut3R | 2008. 01. 11., p – 20:54 )

Sewastok!

Samba PDC-vel kísérletezem pusztán tanulás céljából és a net groupmap paranccsal nem tudok megbékélni. A net group list üres listát dob vissza, ennél fogva a net groupmap sem működik, vagyis nem tudok domain adminisztrátort, stb. létrehozni. Két napja google-zom, de semmi használhatót nem találok. Az összes howto csak annyit ír, hogy rendeljem hozzá a windows csoportot egy unix csoporthoz, de sajnos nincs elérhető windowsos csoport.
A tesztkörnyezet vmware-server alatt egy CentOS PDC és két XP kliens, semmi cifrázás. Minden segítséget előre köszönök!

amíg nem volt groupmap nem lehet group list

1) létrehozol egy unix csoportot
2) net groupmappal osszekotod a unixosat a windowsossal
3) a domain administrator a sambaban ket dolgot jelent: a) berakod az urget egy csoportba, b) a csoport net rpc rights add paranccsal megkapja a szukseges jogokat. ha csak kimappolot a 'Domain Admins' NT csoportot 'akarmi' unix csoportba, attol még a 'Domain Admins' tagjai nem leszenk Domain Adminok, más szóval a 'beépített' NT4 csoportok csak nevükben léteznek egy friss szamba installáció után

Bocsánat, azt kifelejtettem, hogy a net groupmap azt mondja, hogy nincs Domain Admins csoport, vagyis a windowsos és unixos csoportok összekötése sem megy.

Lehet, hogy a net groupmap modify paranccsal próbálkoztam és ezért nem ment. Később megpróbálom a net groupmap add parancsot is.

Szerk.: probléma megoldva! Köszönöm!
De itt a következő kérdés! :) Domain Admint szeretnék csinálni egy felhasználóból. A Domain Admins csoporthoz hozzárendeltem a SID-et -512-es véggel, de így sem megy. A Domain Admins egy ntadmin unix csoporthoz van kötve, az ntadmin-nak pedig tagja az a felhasználó, akiből domain adminisztrátort szeretnék.

"b) a csoport net rpc rights add paranccsal megkapja a szukseges jogokat. ha csak kimappolot a 'Domain Admins' NT csoportot 'akarmi' unix csoportba, attol még a 'Domain Admins' tagjai nem leszenk Domain Adminok, más szóval a 'beépített' NT4 csoportok csak nevükben léteznek egy friss szamba installáció után"

Megkapta a szükséges jogokat, közvetlenül a hozzárendelés után.

Valamilyen oknál fogva a felhasználók felvétele működik, illetve gépeket is ki tudok venni a domainból, felhasználókat be tudok tenni csoportokba, de a felhasználók kivétele egy csoportból, illetve gépek felvétele, más gépeken a megosztások kezelése már nem működik.

( Oops | 2008. 02. 28., cs – 11:22 )

Pdbedit -tel beállítottam egy jó ideje, hogy az előző 5 jelszó nem elfogadott jelszóválltáskor.
Működik is, de be-ki logoláskor teli van a syslog
"Failed to get password history for user juzer"
üzenetekkel.

pdbedit -L -v juzer esetén:

INFO: Current debug levels:
all: True/9
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
......
smbldap_search_ext: base => [dc=ceg,dc=domain,dc=hu], filter => [(&(uid=deline)(objectclass=sambaSamAccount))], scope => [2]
init_sam_from_ldap: Entry found for user: juzer
smbldap_search_ext: base => [sambaDomainName=TARTOMANY,dc=ceg,dc=domain,dc=hu], filter => [(objectclass=*)], scope => [0]
init_sam_from_ldap: Failed to get password history for user juzer
......

fogalam sincs hogy megy ez... mit tegyek?
ha kevés infót adtam, kérdezzetek...
rendszer: ubuntu 6.06

( _Petya_ v | 2008. 09. 22., h – 19:39 )

Sziasztok!

Van egy Samba PDC-m, a userek home-jára van kvóta a szerveren, ezzel nincs is baj, a Dokumentumok is oda van irányítva. Viszont a userek leleményesek, és rájöttek, hogy az asztalra le tudnak menteni bármekkora cuccokat. Persze a szerverre nem megy fel a kvóta miatt, de ott marad az adott kliensgépen a C:\Docs&Settings-ben. Ha páran ezt megcsinálják, akkor elfogy a hely a C:-n, és onnantól kezdve nem lehet oda bejelentkezni, mert nincs hova lehúzni a profilt.

Tudtok erre valami megoldást?

Petya

Miért több óra, egy "del /s" több gigabyte és több ezer fájl esetén is csak pár perc szokott lenni helyi HDD-n.
Ha meg a startup script az autoxec.nt-ből fut akkor, már azelőtt elindul/lefut, hogy a felhasználó bejelentkezett volna a gépre.
--
Most élsz! Most figyelj, hogy jól csináld!

Köszönöm, ha más nem megy, akkor ez lesz.

Egyébként a usereim továbbra is leleményesek lesznek, vagyis ha nem tudnak kijelentkezni, akkor otthagyják a gépet, vagy egyszerűen reset gomb :) Vagy pedig megvárják az automatikus shutdown-t záráskor.

Tényleg, mi történik akkor, ha az illető user túllépte a profilját, és kap a gép egy "net rpc shutdown"-t a szerverről? Leáll (és ekkor fent marad a sok asztalra leszedett cucc), vagy pedig nem áll le, amíg nem törli le a cuccokat az asztalról (ezesetben pedig a userek biztos megtaláljákezt a módszert, a leállítás elkerülésére :) )

Nem lehet valahogyan azt beállítani, hogy le se tudjanak szedni az Asztalra nagy file-okat?

(Amúgy minden gépen van nagy file-ok ideiglenes tárolására külön partíció, de persze r=1 usereknek magyarázhatom...)

Petya

( Roky | 2008. 11. 07., p – 13:09 )

Automatic printer driver download

sziasztok,

szeretném megoldani PDC samba 3.0.26a-1ubuntu2.5 és cupsys 1.3.2-1ubuntu7.6 alatt azt, hogy amikor Windows XP kliensre DOMAIN\administrator-ral bejelentkezek, akkor a \\PDCSERVER\ "Nyomtatók és faxok" mappa alatt feltudjam tölteni a windowsos drivereket, hogy usernek csak nyomtató tallóznia kelljen és Csatlakoznia,
ezzel kapcsolatban ezt a thread-et olvastam, leesett, megcsináltam, de a Drivers Fül alatt az Add opció nem választható, és ismét ha új nyomtatót szeretnék hozzáadni, akkor is operation not permitted: permission denied az üzenet.
Az smb.conf OK, net rpc jogok OK, cupsd.conf konfig OK. Az viszont nyilvánvaló, hogy egyszer már működött, hisz töltöttem már fel így drivereket, amit használnak tartományi user-ek jelenleg is.

Tudom, hogy több alternatíva van WinXP kliensek felé a Samba nyomtató szolgáltatásra, mégis ennél maradnék, mert ez tűnik egy felhasználóbarátabb megoldásnak.

Előre is köszönöm a segítséget.