Domain member Samba probléma

Linux-haladó

Sziasztok!

Telepítettem egy 'domain member' samba4 kiszolgálót, ami AD-ből authentikál. A bekonfigurálást a Setup Samba as an AD Domain Member leírás alapján végeztem, de Windows 10 kliens alól nem sikerül a megosztott könyvtárakat elérnem. A tallózáskor ugyan megjelenik a megosztás, de nem sikerül hozzáférnem, olyan mintha hibás felhasználónevet/jelszót adnék meg.

A wbinfo -u és a wbinfo -g szépen lekéri a felhasználók, illetve csoportok listáját az AD-től. A getent passwd és getent group is szépen az AD-től származó adatokkal kiegészítve mutatja az információkat. Innen nézve rendben van a dolog, csak Win10 alól nem működik.

Linux alól smbclienttel simán be tudok lépni, a felhasználót/jelszót sikeresen le tudja ellenőrizni a AD kiszolgálón.

# smbclient -U kispista //localhost/kozos
Enter kispista's password:
Domain=[DOMAIN] OS=[Windows 6.1] Server=[Samba 4.2.10-Debian]
smb: \>

Próbáltam parancssorból felmappelni, de a következő történt:

C:\Users\kispista>net use m: \\192.168.1.1\kozos
A következő jelszava érvénytelen: \\192.168.1.1\kozos.

Írja be a következő felhasználónevét: '192.168.1.1': kispista
Írja be 192.168.1.1 jelszavát:
1326. számú rendszerhiba történt.

Helytelen a felhasználónév vagy a jelszó.

A testparm kimenete:

# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[kozos]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

# Global parameters
[global]
workgroup = DOMAIN
realm = DOMAIN.LOCAL
security = ADS
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nss info = rfc2307
idmap config regiotoy:range = 500-30000000
idmap config regiotoy:schema_mode = rfc2307
idmap config regiotoy:backend = rid
idmap config *:range = 40000001-60000000
idmap config * : backend = tdb
map acl inherit = Yes
store dos attributes = Yes
vfs objects = acl_xattr

[kozos]
path = /home/samba/share/kozos/
valid users = @DOMAIN\\csoport
read only = No

Úgy érzem valami apróságon csúszi el a dolog, már majdnem kész. Minden segítséget szívesen fogadok! :)

  • 1180 megtekintés

( _ventura_ v | 2017. 05. 07., v – 21:49 )

Azóta történt valami, mert én is hasonló cipőben járok, és már nincsen ötletem.

Van egy samba 4.4.4 AD ez megy szépen. Ehhez kapcsolódik egy másik samba szerver memberként. wbinfo, net ads user stb mutatja az usereket, wbinfo -a usernev is jo. smbclient is stb.

Viszont ha egy kliens gépről a member gépen lévő megosztáshoz kapcsolódnék már nem jó. Azt kapom, hogy nincsen ilyen user, viszont ha csak a jelszót írom el akkor azt mondja a log hogy nem jó a jelszó.

Láttam másoknál is volt ilyen gond viszont megoldást nem nagyon találtam sehol. Amiket írtak nem nagyon segített.

Fedora 25, Thinkpad x220

( SzBlackY | 2017. 05. 08., h – 07:43 )

Kliensek domain tagok? Ha feltolod a log level-t mondjuk egy barátságos 10-ig, látsz valamit [valamit fogsz, hogy használhatót-e, az az igazi kérdés :)]? A kapcsolódási kísérlet után a kliensnek van Krb ticketje a szerverhez (vagy NTLM-mel próbálkozik)? Ha DNS névvel próbálsz csatlakozni, akkor sem megy (itt láttam, IP alapján)? Forward/reverse rendben van?
Hány éves a norvég király? :)

Szerk.: domain qualified user névvel (foo\kispista) sem megy?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A topicnyitóból szvsz. vedd ki a cégnevet az idmap soroknál... (ill kezdem kicsit elveszteni a fonalat, hogy mi hol van, mert összesen 3 domain (DOMAIN.LOCAL, cégnév, TESTAD.LOCAL) nevet látok a konfigokban/naplókban).
Egy olyan logot is tudsz csinálni, amikor smbclient-tel sikeresen belépsz?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ok, akkor gyakorlatilag most ott tartunk, hogy van egy Win7-ed ami domain member. Ezen a domainben lévő Administrator felhasználóval fel tudsz csatolni egy meghajtót, egy sima domain-es felhasználóval pedig nem? Vagy lokális Administrator alatt próbálod és a DOMAIN\felhasználónév-el? Bocs lehet én vagyok fáradt de ez a rész nem tiszta.

Stretch? A Jessie-ben még 4.2 van, fentebb 4.4-et írsz (és valóban elbökték cseppet a dependency-ket: az AD controllernél pl. nincs dep a dns-utils (bind-utils, akármi, amiben az nsupdate van :) ) csomagra, ami nélkül úgy nem igazán működik... azt is egy élmény volt debugolni :), ráadásul a 4.1->4.2 váltásnál [amit ugye jessie-n belül csináltak a BadLock miatt] a winbind-ot is elfelejtették függőségnek felvinni, pedig a 4.2-től a "rendes" winbind-ot integrálták vissza bele - úgyhogy kellett volna...)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)