Добрый день уважаемые коллеги пршу помощи в настройке samb'ы дял гостевого подключения.
megastar:/usr/local/etc > cat smb4.conf
[global]
        netbios name = SHARA
        workgroup = VMS
        security = user
        load printers = no
        printcap name = /dev/null
        disable spoolss = yes
        guest account = nobody
        log file = /var/log/samba4/log.%m
        max log size = 50
        socket options = IPTOS_LOWDELAY TCP_NODELAY
        interfaces = bridge0 127.0.0.1
        bind interfaces only = yes
        wins support = yes
        os level = 64
        unix charset = utf-8
        dos charset = cp866
        #map to guest = Bad User
        map to guest = Bad Password
        use sendfile = yes
        domain master = no
        local master = no
        dns proxy = no
[tmp]
        comment = Public
        path = /tmp
        writable = Yes
        browseable = Yes
        public = yes
        guest ok = Yes
        guest only = Yes

при попытке подключиться получаем следующую ошибку
megastar:/usr/local/etc > smbclient -L shara
Enter VMS\mirror's password:
OS=[Windows 6.1] Server=[Samba 4.6.12]

        Sharename       Type      Comment
        ---------       ----      -------
Error returning browse list: NT_STATUS_ACCESS_DENIED
OS=[Windows 6.1] Server=[Samba 4.6.12]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------

megastar:/usr/local/etc > nslookup shara
Server:         213.133.99.99
Address:        213.133.99.99#53

Non-authoritative answer:
Name:   shara.vms.com.ua
Address: 10.0.2.1

подскажите куда копать?
пробовал smbpasswd -an nobody - результата не дает.
если завести реального пользователя и пройти авторизацию, то шара открывается.

заранее благодарен за ответ.

Коллеги, приветствую. Задачу которую поставил перед собой, решить удалось лишь частично, потому нуждаюсь в ваших комментариях и помощи.

Что планировалось:

В качестве экономии ресурсов, как железа (память и ssd), так и финансов (лицензии MS) и особенно учитывая то, что клиентские машины используются лишь как терминалки, и на их стороне максимум IRC-клиент стоит, и сетевая шара, показалось  не плохим вариантом вместо платной операционной системы, выбрать бесплатную.

Что получилось:

В качестве клиентских систем тестировались Mint, Lubuntu, Debian
По итогу тестирования, самым стабильным дистрибутивом показался Debian, а самым привычным конечному пользователю интерфейсом KDE.
В домен ввел 4 строчками и незначительными правками krb5.conf

sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli
sudo realm discover dc.com
sudo realm --verbose join dc.com -U YourDomainAdmin
sudo pam-auth-update (тут выбрал создание папки пользователя при логине)

kinit, klist продемонстрировали, что все успешно. Так как основной целью использования AD была именно авторизация, я посчитал, что задача выполнена.

При тестировании возникло форменное безобразие. При логине от своего имени, создалась папка формата admin1@dc.com я закинул ее в sudoers.conf и уже из под нее установил irc
Затем, в качестве тестирования я зашел под второй учетной записью, создалась вторая папка пользователя, и мой irc успешно "автозапустился" уже под другим пользователем, используя учетные данные первого. Я только начал настраивать безопасность. Понимаю, что профили пользователей, аналогичные Виндовым, вряд ли создадутся. Даже особенно не удивлен тем, что в "пользователях и группах" доменных пользователей не вижу. Но все же, как можно было бы избежать подобной некрасивости? Я разберусь с  настройкой сетевых шар, что-нибудь придумаю с паролем на Grub, и возможно, с параметрами монтирования ОС (чтобы с внешних дисков никак не делали безобразий), разберусь с udev и всеми типа монтирования юсб и прочих устройств, но вот эта ситуация с "профилями" просто выбила из коллеи.
Если можно, подскажите, как подобного избежать.
Всем добра. Не судите строго, я только перехожу на сторону добра и света.

Спасибо!

Здравствуйте.
Настраиваю сейчас samba на debian 9. Версия самбы 4.5.12
Конфиг:
<code>
# Global parameters
[global]
        netbios name = TST
        realm = TST.IVK
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        workgroup = TSTIVK
        server role = active directory domain controller
#       idmap_ldb:use rfc2307 = yes
#       winbind separator = +
        winbind cache time = 10
        winbind enum users = true
        winbind enum groups = true
        winbind use default domain = Yes
#       idmap uid = 20000-20999
#       idmap gid = 20000-20999
#       idmap config * :base_rid =20000
        idmap config * : range = 20000-20999
        idmap config * : backend = rid
        idmap config * : default = yes
        log level = 3 winbind:10
        logon script = netlogon.bat
        winbind refresh tickets = yes
#       wins support = Yes

</code>
Почему то не срабатывает опция - winbind use default domain = Yes. Имена пользователей отображаются с доменом:
<code>
getent passwd

TSTIVK\administrator:*:0:100::/home/TSTIVK/administrator:/bin/false
TSTIVK\dns-tst:*:3000018:100::/home/TSTIVK/dns-tst:/bin/false
TSTIVK\krbtgt:*:3000019:100::/home/TSTIVK/krbtgt:/bin/false
TSTIVK\guest:*:3000011:100::/home/TSTIVK/guest:/bin/false
TSTIVK\admin:*:3000014:100::/home/TSTIVK/admin:/bin/false
</code>
Так же как видно игнорируется idmap config * : range = 20000-20999. UID пользователей 3000000 и т.д.
В чем может быть причина?

Пытаюсь
samba-tool user create test --given-name=Тест --mail-addres=test@example.local
Ругается на кириллицу.
Можно это как то победить?

Добрый день!

Как настроить зашаренную ufs файловую систему так, чтобы можно было по smb протоколу windows-клиентам получить доступ к ней?
И можно ли так сделать?

Файловая система настроена на Oracle Solaris 11.3 и SMB Server настроен в Workgroup Mode.

Заранее благодарен.

С уважением, Борис.

Пытаюсь запустить самбу, smb nmb с ошибками но стартуют, а winbind не хочет и выдает

systemctl start winbind

Job for winbind.service failed because the control process exited with error code. See «systemctl status winbind.service» and «journalctl -xe» for details.

systemctl status winbind

winbindd[1597]: [2018/09/10 14:28:24.103693, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)

winbindd[1597]: initialize_winbindd_cache: clearing cache and re-creating with version number 2

winbindd[1597]: [2018/09/10 14:28:24.108913, 0] ../source3/winbindd/winbindd_util.c:891(init_domain_list)

winbindd[1597]: Could not fetch our SID - did we join?

winbindd[1597]: [2018/09/10 14:28:24.109046, 0] ../source3/winbindd/winbindd.c:1404(winbindd_register_handlers)

winbindd[1597]: unable to initialize domain list

помогите чайнику решить проблему

Всем доброго дня!
При помощи samba и модуля PAM pam_mkhomedir хочу создавать персональные шары для пользователей при логине из домена Windows. В smb.conf есть опция "obey pam restrictions = yes", что позволяет управлять сессией пользователя при помощи pam (кроме аутентификации). В конфиге /etc/pam.d/samba подключен модуль pam_mkhomedir.so  и сейчас все работает.

Каталоги создаются в /home/domain/username и все бы хорошо, но так же создаются и хомяки для машинных учеток, типа - machinename$. Они ничего не ломают, но очень мешают. Когда я попытался отрубить аутентификацию машин и оставил только domain users, некоторым пользователям стало отказывать в доступе.

Хотелось бы понять зачем эти системные учетки ходят на samba сервер и можно ли от них как-то избавиться?

Здравствуйте

В наличии FreeBSD 11.2-RELEASE с пакетом samba48-4.8.2
Задача - смонтировать сетевую шару с одного из доменных Windows Server 2008R2
На сервере помимо прочих висит групповая с содержимым из https://blogs.technet.microsoft.com/staysafe/2017/05/17/disa.../

Содержимое /etc/nsmb.conf (вместо реальных имен и паролей - заглушки):

[default]
workgroup = DOMAIN

[SERVER:USER]
addr = <SERVER IP>
password = <PASSWORD>

Клиент smbclient прекрасно подключается:
smbclient \\\\SERVER\\SHARE -U DOMAIN\\USER

А вот mount_smbfs не хочет.
Пробовал:
mount_smbfs -I server -N //user@server/share /mnt/share
- выдает "mount_smbfs: unable to open connection: syserr = Operation timed out"
mount_smbfs -I server -N //user@server:445/share /mnt/share
- выдает "mount_smbfs: unable to open connection: syserr = Connection reset by peer"

Пробовал добавлять в nsmb.conf в разных вариациях и секциях:
min protocol = SMB2
max protocol = SMB3
protocol = SMB2

smbfs.ko загружен

Поднял тестовую виртуалку с Windows 2008R2 но без применения вышеуказанной политики - mount_smbfs начал отрабатывать :(

Прошу помощи товарищи!!!
Нужно организовать шару, в которую пользователи могли бы записать файлы и не иметь возможности редактировать их.
В smb.conf устанавливаю create mask = 740 в шаре создаются файлы со следующими правами:
-rwxrw---- 1 root RK\admins 0 ноя 28 17:07 test.txt

установлена samba 4.2
[global]
...
[distrib]
    comment = Admins share
    path = /home/shares/distrib
    browseable = no
    writable = yes
    create mask = 0770
    directory mask = 0777
    valid users = "@RK\admins"
    inherit owner = yes

Подскажите как запретить группе admins права на запись в samba?

Может уже и есть что-то подобное, но не разобрался. Поэтому прошу не бить.

Есть: AD (2003) + Kerio Mail + The Bat (клиент).
Нужно: чтобы пользователи The Bat могли получать актуальную адресную книгу из AD

Решил поставить OpenLDAP-сервер для этого. Поставить - вроде поставил. Демон даже запустился. Только не пойму как дальше-то быть? Сможет оно брать из AD данные, чтобы потом по 389 порту отдавать клиентам и как это проверить? Или это вообще не нужно и можно сделать проще?
Вопрос смены софта не обсуждает - предыдущий админ всё это купил, деньги уже уплочены. Хотя я бы перешёл на CommuniGate, но "Боржоми" пить уже поздновато :(

Спасибо за советы и ответы.

Добрый день, настроил samba в качесте домена, пользователей и группы создаю, компьютеры в домен заводятся, но не могу настроить общий доступ т.к. нет интеграции и не вижу пользователей.

Конфиг самбы:
[global]
workgroup=GOU
realm = GOU.NTKP
server string=%h server (Samba, Ubuntu)
dns proxy=no
log file=/var/log/samba/log.%m
max log size=1000
syslog=0
panic action=/usr/share/samba/panic-action %d
server role=standalone server
passdb backend=tdbsam
obey pam restrictions=yes
unix password sync=yes
passwd program=/usr/bin/passwd %u
passwd chat=*Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssucc$
pam password change=yes
map to guest=bad user
usershare allow guests=yes
idmap config * : range=10000-20000
idmap config * : backend=tdb
winbind enum groups=yes
winbind enum users=yes
winbind use default domain=yes
template shell=/bin/bash
winbind refresh tickets=yes

[printers]
comment=All Printers
browseable=no
path=/var/spool/samba
printable=yes
guest ok=no
read only=yes
create mask=0700

[print$]
comment=Printer Drivers
path=/var/lib/samba/printers
browseable=yes
read only=yes
guest ok=no

smbclient -L localhost -U%
Domain=[GOU] OS=[Unix] Server=[Samba 4.1.23]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.1.23)
Domain=[GOU] OS=[Windows 6.1] Server=[Samba 4.3.11-Ubuntu]

        Server               Comment
        ---------            -------
        108-1
NTKP                 ntkp server (Samba, Ubuntu)

        Workgroup            Master
        ---------            -------
        GOU                  NTKP

kinit Administrator
Password for Administrator@GOU.NTKP:

klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@GOU.NTKP

Valid starting       Expires              Service principal
28.02.2018 10:02:02  28.02.2018 16:41:59  krbtgt/GOU.NTKP@GOU.NTKP

smbclient //localhost/netlogon -UAdministrator -c 'ls'
Enter Administrator's password:
Domain=[GOU] OS=[Unix] Server=[Samba 4.1.23]
  .                                   D        0  Mon Dec 11 08:22:56 2017
  ..                                  D        0  Tue Dec  5 10:30:50 2017

                35283 blocks of size 2097152. 30136 blocks available

wbinfo -V
Version 4.3.11-Ubuntu

wbinfo -p
Ping to winbindd succeeded

wbinfo -t
checking the trust secret for domain GOU via RPC calls failed
wbcCheckTrustCredentials(GOU): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret

wbinfo -P
checking the NETLOGON for domain[GOU] dc connection to "" failed
failed to call wbcPingDc: WBC_ERR_DOMAIN_NOT_FOUND

Когда я пробую открыть .mpp из файлового менеджера или "недавно открытых файлов", программа не реагирует. Если в ручную запустить программу управления проектами, а затем вручную перейдя к папке  с .mpp, и открыть его указав сам путь, проект фактически перестает отвечать на запросы.
Раньше файл принадлежал верси 98, а на данный момент  стоит 2003. С новыми файлами все в порядке. Тут несовместимость версий или ошибка самого файла.

Приветствую !!
если есть у кого опыт, подскажите пжл. разворачиваю самбу в докере . образ собирается без ошибок но контейнер не запускается если в endpoint указать старт самбы. если стартовать башем и в контейнере руками запускать самбу то всё ок. в логе криминала пока не увидел. буду рад вашим подсказкам.

Dockerfile
FROM ubuntu:latest
ENV DEBIAN_FRONTEND noninteractive
RUN apt-get update && apt-get install -y --no-install-recommends samba gettext
ADD smb.conf /etc/samba/smb.conf
RUN groupadd smbuser
RUN useradd --shell /bin/nologin -g smbuser smbuser.
RUN    mkdir /dfs_root && \
chmod 0755 /dfs_root && \
chown smbuser:smbuser -R /dfs_root
EXPOSE 137/udp 138/udp 139 445
ADD startsmb.sh /startsmb.sh
RUN chmod +x /startsmb.sh
ENTRYPOINT ["/startsmb.sh"]

startsmb.sh
#!/bin/bash
set -o nounset
/etc/init.d/nmbd start
/etc/init.d/smbd start

Сервер Samba 3.6 на FreeBSD 10.1, контроллер домена AD1 на Windows 2003.
Всё работает, доменные пользователи нормально заходят на шары, в Cамбе настроено:
security = ads
realm=MYDOMAIN.RU

Поднял второй контроллер AD2, тоже на 2003-м.
При отключении AD1 от сети, самбовский сервер перестаёт пускать пользователей.
Остальные ресурсы сети нормально авторизуются.
Пробовал на самбовском сервере ткнуться через
ntlm_auth --username myadminname
- действительно не авторизует...
Куда смотреть?

В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них одна и та же зона DNS)

Ещё такая штука:
Нет файла /etc/krb5.conf (сервер мне в наследство достался...)
Я нашёл только тот "конфиг" который автоматом сделался: /var/db/samba/smb_krb5/krb5.conf.MYDOMAIN.RU, в нём:
[libdefaulys]
default_realm=MYDOMAIN.RU
//дальше идут три строчки с ключами

[realms]
MYDOMAIN.RU={
kdc=192.168.1.2 (это AD1)
kdc=192.168.1.3 (это AD2)
kdc=192.168.1.3 (это AD2)
}

жил себе простенький самбовый ресурс на фрюхе, раздавался десятку машин под хрюшей - все замечательно работало. пришлось в эту сетку включить машину под семеркой - требует винда пароль при подключении, хоть убей - хотя винды под хрюшей без пароля обходятся. ну и самба отбивает
[2017/05/02 17:15:23.692846,  0] ../source3/lib/access.c:338(allow_access)
  Denied connection from 10.10.10.2 (10.10.10.2)
понятно что проблемы с виндой - но что ей крутить?

Здравствуйте.
Помогите... сдуру, не сделав снапшот, перевёл Windows Server с контроллером домена AD из режима Windows Server 2000 в режим Windows Server 2003. Но, пока не перезагрузил... (поэтому сейчас Сервер пишет, что он уже в режиме 2003, но при попытке включить в домен машинку Windows Server 2012, выдаётся сообщение, что контроллер домена ещё в режиме 2000)
Опомнился я насчёт совместимости авторизации клиентов в этих режимах.

У нас все рабочие станции домена - Windows 7 и 10. Насколько я помню, разница между этими режимами - в совместимости имён со старыми машинами, но всё-же...

Неприятность в том, что есть файловый сервер на FreeBSD с Samba 3.6.24 с доменной авторизацией. (ну и ещё сервер RedMine до кучи, кто знает, там авторизация по LDAP - там вроде не должно быть сюрпризов?)

Откатиться назад до 2000 я уже не могу (теоретически есть древний снапшот контроллера домена, но за два года кое-что изменилось...)
Вот и сижу враскоряку - непонятно на что напорюсь после перезагрузки контроллера AD... А грузануть надо бы...
Посоветуйте что делать или кто сталкивался с таким переводом и что из этого вышло насчёт авторизации из Samba и вообще были ли грабли...

Здравствуйте.
Есть старый сервер на ubuntu 10.04.04 LTS
Ни фига там с момента настройка не обновлялось, т.к. он постоянно в работе находится.
На сервере стоит старенькая samba 3.4.7 в качестве контроллера домена.
Вопрос. Будет ли она работать с новыми виндюками 10-ми?
Для win7 там нужно было на клиентских машинах добавлять пару строчек в реестр, а именно:
HKLM\System\CCS\Services\LanmanWorkstation\Parameters
DWORD DomainCompatibilityMode = 1
DWORD DNSNameResolutionRequired = 0

а для win 10 это прокатит или вылезут подводные камни?

Здрасте!
кто встречал подскажите пжл,
samba 4.6 в качестве bdc и в логе пишет
connect_acl_xattr: setting 'inherit acls = true' 'dos filemode = true' and 'force unknown acl user = true' for service IPC$

тоже самое писал и для sysvol но там я поправил ибо шара в конфиге описана , а вот с IPC$ как быть ? в гугле как будто просто не обращают внимание на это.

Здравствуйте. Помогите понять, что сделали с данными.
Дело в следующем, посетил мой сервер человек, я так понимаю называемый себя хакером, по порту 445 (который как не странно закрыт в iptables, как это сделано тоже загадка), и в расшаренных папках убрал все содержимое, оставив файл с email, куда написать.
В логах есть вот такое
nobody opened file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg read=No write=No (numopen=1)
[2017/04/03 04:31:56, 2] smbd/close.c:close_normal_file(406)
  nobody closed file crypt/Унечский/Чертежи/19,08,2016/Госфонд/01ПЛОТИНЫ/Унеча-ГТС-29-Шулаковка.dwg (numopen=0) NT_STATUS_OK
[2017/04/03 04:31:56, 2] smbd/open.c:open_file(391)
Просканировав диск ext3grep, удаленные файлы есть, но очень мало, процентов 10 наверное. Диск был отключен сразу же, как было обнаружено данное деяние.
В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии, поэтому не особо интересны, но все же...

Возможно ли в Samba настроить наследование ACL-прав на файлы в rw-? При правах на родительскую директорию, соответственно, rwx.

Перепробовал уже, наверное, все опции в smb.conf и связанные и не связанные с правами, включая create/security mode/mask, map archive/system/hidden, unix extensions и многие другие. Самое большее, чего удалось добиться (благодаря map archive) — rw для владельца и группы (но rwx для acl-юзеров):

   $ getfacl dir/file
   # file: dir/file
   # owner: user
   # group: user
   user::rw-
   user:ivanov:rwx
   group::rw-
   group:sambashare:r-x
   mask::rwx
   other::---

   $ getfacl dir
   # file: dir
   # owner: user
   # group: user
   user::rwx
   user:ivanov:rwx
   group::rwx
   group:sambashare:r-x
   mask::rwx
   other::---

smb.conf

   [share]
      path = /home/user/share
      read only = No
      inherit permissions = Yes
      inherit acls = Yes
      inherit owner = Yes
      hide unreadable = Yes
      map archive = No
      browseable = No
      vfs objects = recycle full_audit
      full_audit:priority = NOTICE
      full_audit:facility = local7
      full_audit:failure = none
      full_audit:success = connect disconnect open mkdir rename link unlink rmdir pwrite
      full_audit:prefix = %u|%I|%m|%S
      recycle:exclude_dir = tmp,temp,cache
      recycle:exclude = ?~$*, ~$*, ~*, *.bak, *.iso, *.lnk, *.temp, *.tmp, *.TMP, *.vib, *.vb?
      recycle:maxsize = 1048576000
      recycle:touch = yes
      recycle:versions = Yes
      recycle:directory_mode = 0770
      recycle:repository = .recycle/%U
      
В шаре Самбы пользователи работают под учётными записями, созданными через smbpasswd (для совместимости с правами созданы одноимённые учётки без возможности локального логина). umask в /etc/login.defs: 022.

В манах про inherit permissions сказано, что
«New files inherit their read/write bits from the parent directory. Their execute bits continue to be determined by map archive, map hidden and map system as usual».
(https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)
И здесь же про inherit acls —
«Enabling this option sets the unix mode to 0777, thus guaranteeing that default directory acls are propagated».
(https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)

То есть при наследовании ACL принудительно выставляются в rwx и изменить это нельзя?

Добрый день.
Жизнь заставила настраивать сервер SAMBA.
Имеем CentOS v 6.6 и Samba 3.6.23
SELinux отключен
В Iptables доступа предоставлены, если создавать шару доступну для всех или для одного пользователя - проблем нет
Что нужно:
Имеется задание - создать папки, к каждой из них должны иметь доступ разные учетки.
К примеру к папке Test - Ivanov, Petrov, Sidorov
Из того, что нагуглилось сложилось впечатление, что можно создать юзеров, а затем их загнать в группу, и в smb.conf, прописать valid users = @test
Попробовал не получается.
Ниже распишу что было сделано, ибо с Линуксом знаком поверхностно
Создана папка
Создан юзер
useradd Ivanov
groupadd traffics
usermod -a -G traffics Ivanov
smbpasswd -a Ivanov
Такие манипуляции были сделаны с тремя учетками. Все учетки видно в группе если выполнить cat /etc/group
Далее - темнота :)
cd /mnt/
chown -R Ivanov:traffics secret/
Это командой я поменяю владельца, но как дать права на папку всей группе? chmod -R 0770 secret/
На кого будут распостранятся данные правила доступа?
Хелп плиз

помогите советом, как решить эту проблему:
есть два контроллера домена win2003, в событиях пишет что произошла ошибка реплекации файлов.
" Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером репликации, поскольку разница в показаниях часов превышает 30 мин. "
Код 13548
что нужно сделать на контроллерах чтобы восстановить репликацию.
если нужно могу выложить dcdiag и netdiag

Как разрешить или запретить диапазон адресов для доступа к серверу?
Например: 192.168.0.1 - 192.168.0.100 разрешить, 192.168.0.101 - 192.168.0.254 запретить.

Привет.
Имеется роутер Asus RT-N56U с прошивкой padavan, при каждой попытке установить соединение с самбой через виндовс вылетает такое в лог:

[2017/01/18 20:44:27, 0] smbd/process.c:construct_reply(1041)
  init_smb_request: invalid wct number 255 (size 112)

процессы smbd и nmbd запущены.
  635     1 admin    S N   3124  2.4   0  0.0 /sbin/smbd -D -s /etc/smb.conf
  633     1 admin    S     3056  2.4   1  0.0 /sbin/nmbd -D -s /etc/smb.conf

Само содержимое smb.conf
[global]
workgroup = WORKGROUP
netbios name = RT-N56U_B1
server string = RT-N56U_B1
local master = no
name resolve order = lmhosts hosts bcast
log file = /var/log/samba.log
log level = 0
max log size = 5
socket options = TCP_NODELAY SO_KEEPALIVE
unix charset = UTF8
display charset = UTF8
bind interfaces only = yes
interfaces = br0
unix extensions = no
encrypt passwords = yes
pam password change = no
obey pam restrictions = no
host msdfs = no
disable spoolss = yes
security = USER
guest ok = no
map to guest = Bad User
hide unreadable = yes
writeable = yes
directory mode = 0777
create mask = 0777
force directory mode = 0777
max connections = 5
use spnego = no
client use spnego = no
null passwords = yes
strict allocate = no
use sendfile = yes
dos filemode = yes
dos filetimes = yes
dos filetime resolution = yes

в чем может быть проблема? в гугле ничего подобного не нашел.
как такое может быть, что роутер один, прошивка одна, а проблема только у меня ...

Добрый день!

     Коллеги, кто-нибудь пробовал ставить freeipa-client под Астру.
     Т.к дистрибутив Astra берет начало от Debian Wheezy, попробовал прикрутить unstable репу где есть этот пакет. Но к сожалению установить не дает т.к постоянно проблемы с зависимостями.

      

Приветствую!

Имеется следующая проблема: в сетевых шарах права на группу не работают.
Для примера, возьму шару scan:
# ls -la /data/scan/| grep test1

drwxrwx---   2 root          users     4096 дек  8 10:43 test1

Пытаюсь зайти из винды в эту шару: \\fileskladtest\scan\test1. Юзером, принадлежащим группе users:
Windows не может получить доступ к \\fileskladtest\scan\test1
Разрешение на доступ к \\fileskladtest\scan\test1 отсутствует.

То же самое через консоль:

C:\>net use \\fileskladtest\scan\test1 /user:tu3
Недействительный пароль для \\fileskladtest\scan\test1.
Введите пароль для 'tu3' для подключения к 'fileskladtest':
Системная ошибка 5.
Отказано в доступе.

Хотя пароль правильный. В просто \scan пускает
У юзера права на группу есть:

# id tu3
uid=100278(tu3) gid=100(users) группы=100(users),1018(*****),1010(*****)

Если сменить владельца test1 на tu3 или дать на test1 права 777, то каталог test1 пускает.

Моя конфигурация:
домен - spec, он же spec.local. Работает под управлением виндовых DC 2008 R2, домен 2008. UID-GID цепляются через SFU, настроенную на виндовых DC, как UNIX-атрибуты.
Проблемный сервер - centos 7. Член домена, не DC.

# uname -a
Linux fileskladtest.spec.local 3.10.0-327.18.2.el7.x86_64 #1 SMP Thu May 12 11:03:55 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
# smbd -V
Version 4.2.10

Авторизация в домене - kerberos, вроде с ней все ок.
getent passwd и getent group настроены по ldap и выдают список сначала локальных, а потом доменных юзеров и групп. Юзеры в группах перечислены, все UID-GID правильные.

Конфиги с моей конфигурацией:

# cat /etc/samba/smb.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
[global]
   workgroup = SPEC
   realm = SPEC.LOCAL
   security = ads
   template homedir = /home/%U
   template shell = /bin/bash
   kerberos method = secrets only
   winbind use default domain = true
   winbind offline logon = false
        idmap config * : backend  = ad
        idmap config * : range = 0-9999999
        idmap config * : schema_mode = sfu
        auth methods = winbind
        server string = Samba Server Version %v
        netbios name = FILESKLADTEST
        hosts allow = 127. 192.168.
        # log files split per-machine:
        log file = /var/log/samba/log.%m
        # maximum size of 50KB per log file, then rotate:
        max log size = 50000
        log level = 0 vfs:2
        syslog = 0
    vfs objects = full_audit
    full_audit:prefix = %u|%I|%S
    full_audit:facility = local5
    full_audit:priority = notice
    full_audit:success = none
    full_audit:failure = none
        load printers = no
        # obtain a list of printers automatically on UNIX System V systems:
        disable spoolss = Yes
        show add printer wizard = No
        read only = No
        create mask = 0666
        directory mask = 0777
        map to guest = Bad User
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = P:
        usershare allow guests = No
[scan]
    comment = Сканированные документы
    path = /data/scan
    full_audit:success = all
    full_audit:failure = all
# cat /etc/nslcd.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
uid nslcd
gid ldap
uri ldap://dc5.spec.local
uri ldap://dc1.spec.local
uri ldap://dc2.spec.local
uri ldap://dc4.spec.local
ldap_version 3
base dc=spec,dc=local
binddn CN=unix,OU=Scripts,DC=SPEC,DC=LOCAL
bindpw ***paSsWoRd***
scope sub
filter passwd (objectClass=User)
map    passwd uid              msSFU30Name
map    passwd homeDirectory    unixHomeDirectory
filter shadow (objectClass=User)
filter group  (objectClass=Group)
ssl no
tls_cacertdir /etc/openldap/cacerts
# cat /etc/krb5.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log
[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_ccache_name = KEYRING:persistent:%{uid}
 default_realm = SPEC.LOCAL
 clockskew = 3600
[realms]
 SPEC.LOCAL = {
  kdc = dc5.spec.local
  kdc = dc1.spec.local
  kdc = dc2.spec.local
  kdc = dc4.spec.local
  admin_server = dc5.spec.local
 }
 DC5.SPEC.LOCAL = {
  kdc = dc5.spec.local
  admin_server = dc5.spec.local
 }
 SPEC.LOCAL = {
  kdc = spec.local
  admin_server = spec.local
  kdc = spec.local
 }
[domain_realm]
 spec.local = spec.local
 .spec.local = spec.local
 dc1.spec.local = DC1.SPEC.LOCAL
 .dc1.spec.local = DC1.SPEC.LOCAL
 dc5.spec.local = DC5.SPEC.LOCAL
 .dc5.spec.local = DC5.SPEC.LOCAL
# cat /etc/nsswitch.conf | grep -v '^#' | grep -v '^;' | grep -v '^$'
passwd:     files ldap
shadow:     files
group:      files ldap
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files sss
netgroup:   files sss ldap
publickey:  nisplus
automount:  files ldap
aliases:    files nisplus

testparm -s /etc/samba/smb.conf ошибок не выдает.

Вроде, все должно быть ок, единственный нюанс, который не удалось победить:
wbinfo -u показывает пустой вывод.
Впрочем, wbinfo -g показывает список всех групп.
Не знаю, имеет ли это какое-то отношение к проблеме.

Логи включал, там по проблеме ни слова. Только то, что мол, все права есть, все ок.
Уже кучу времени убил на проблему, все кажется перепроверил, сейчас даже не понимаю, куда копать.
В гугле - либо неверный вывод getent, либо авторизация кривая, либо еще что. У меня-то вроде все на месте.
Кроме этого сервера, есть еще несколько древних с gentoo и samba 3, на них группы работают. Но там вроде перекомпилировали модуль бекэнда для idmap или что-то вроде того, уже не помнит никто, что и зачем, да и проблема относилась вроде к баге с той древней самбой...

Всем привет!
Изучаю возможности Samba 4-й - в частности возможность полностью заменить Active Directory.
Прошу поделиться, у кого какой опыт успешный/неуспешный есть?
Точнее интересуют подводные камни, на которые натыкаешься уже в реальной эксплуатации...

Сейчас у меня есть развернутый полигон с виртуальными машинами:
1) FreeBSD 11 + samba43-4.3.11_1 (ставил стандартный с помощью pkg за 5 минут без компиляции и портов). Вначале пробовал поставить 4.4 - но при samba-tool domain provision python уходит в SegFault, поэтому сейчас стоит 4.3).
2) Три чистые виртуалки с WinXP/Win7/Win10

Домен разворачивал по wiki с default параметрами (интегрированный DNS). DHCP нет пока что.

Что уже протестировал и что работает:
1) Включение в домен, видимость шар SYSVOL/NETLOGON.
2) Аутентификация, возможность работы с только что созданными пользователями.
3) Применение групповых политик (ну там шары через bat, шары через Preferences и т.д.).

Что сходу не заработало:
1) Не создаются и не обновляются DNS-записи (при вводе машин в домен, при входе, при выполнении ipconfig /registerdns). параметр allow dns updates стоит в secure only. Через RSAT на зоне параметр тоже стоит Secure Only и не изменяется.
2) При переименовании машины и последующей перезагрузки объект в каталоге AD переименовывается не полностью. Часть атрибутов переименовывается, а вот cn например нет. И еще парочка. На работу правда не влияет - но не кошерно как то )))

Прошу, поделитесь реальным опытом...

Заранее большое спасибо!

Добрый день!

У меня настроен samba server 4 в роли ROLE_DOMAIN_MEMBER (centos 7), довольно долгое время работал нормально. Внезапно перестал запускаться winbind, ошибка почему-то не гуглится.

Конфиг самбы:
[global]
        workgroup = DOMAIN
        realm = DOMAIN.LOCAL
        security = domain
        template shell = /bin/bash
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind nss info = rfc2307
        winbind refresh tickets = Yes
        idmap config domain : schema_mode = rfc2307
        idmap config domain : range = 10000-99999
        idmap config domain : backend = rid
        idmap config * : range = 10000-99999
        idmap config * : backend = tdb

# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: admin@DOMAIN.LOCAL

Valid starting       Expires              Service principal
10.11.2016 13:45:10  10.11.2016 23:45:10  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
        renew until 17.11.2016 13:45:08

# net ads testjoin
Join is OK

Запуск winbind:
# winbindd -i -d3
Maximum core file size limits now 16777216(soft) -1(hard)
winbindd version 4.2.10 started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[global]"
Maximum core file size limits now 16777216(soft) -1(hard)
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[global]"
initialize_winbindd_cache: clearing cache and re-creating with version number 2
Added domain BUILTIN (null) S-1-5-32
Added domain SMBSERVER (null) S-1-5-21-4537625865-1728653643-1128407990
PANIC (pid 8230): Could not find our domain
BACKTRACE: 12 stack frames:
#0 /lib64/libsmbconf.so.0(log_stack_trace+0x1a) [0x7f911736b1da]
#1 /lib64/libsmbconf.so.0(smb_panic_s3+0x20) [0x7f911736b2b0]
#2 /lib64/libsamba-util.so.0(smb_panic+0x2f) [0x7f911a01991f]
#3 winbindd(+0x35c43) [0x7f911c022c43]
#4 winbindd(rescan_trusted_domains+0x21) [0x7f911c022c71]
#5 /lib64/libtevent.so.0(tevent_common_loop_timer_delay+0xcf) [0x7f911473dacf]
#6 /lib64/libtevent.so.0(+0x9ada) [0x7f911473eada]
#7 /lib64/libtevent.so.0(+0x81d7) [0x7f911473d1d7]
#8 /lib64/libtevent.so.0(_tevent_loop_once+0x8d) [0x7f911473936d]
#9 winbindd(main+0xb14) [0x7f911c011c54]
#10 /lib64/libc.so.6(__libc_start_main+0xf5) [0x7f9114141b15]
#11 winbindd(+0x2536d) [0x7f911c01236d]
dumping core in /var/log/samba/cores/winbindd
Аварийный останов (core dumped)

На сервере AD (windows 2012) компьютер smbserver прописывается если удалить и снова подключить, в DNS присутствует. Ошибка "PANIC (pid 8230): Could not find our domain" не гуглится почему-то совсем. Подскажите, пожалуйста, в какую сторону смотреть.

Есть стенд FreeBSD.

Монтирую шару

mount_smbfs -I 192.168.0.10 -E koi8-r:cp866 //administrator@sv-vd16/key /mnt/share

Монтируется нормально

Прописываю в fstab и
//administrator@sv-vd16/key /mnt/share  smbfs   rw,-I 192.168.0.10      0 0

Прописываю в nsmb.conf
# A simple configuration example:

# First, define a workgroup.
[default]
workgroup=INV

# The 'FSERVER' is an NT server.
[sv-vd16]
charsets=cp1251:cp866
addr=192.168.0.10

[sv-vd16:administrator]
# use persistent password cache for user 'joe'
password=$$15f6e647b2629441c

При попытке смонтировать вижу вот это

root@BSD:~ # mount -a
mount_smbfs: can't get server address `//administrator@sv-vd16/key':
Unknown host
mount_smbfs: can't get server address: syserr = Network is down

В hosts

192.168.0.10            sv-vd16

Подскажите где собака порылась...

Доброго времени суток. Понимаю что многие уже видели подобные темы и вроде люди в них каким то образом нашли решения, но у меня почему то ничего не работает:
Вот мой конфиг
smb.conf
[global]
workgroup = WORKGROUP
server string = SRV
log file = /var/log/samba/%m.log
max log size = 50
security = user
map to guest = Bad Password.
dns proxy = no

domain master = no
local master = no

# utf кодировка
dos charset = cp866
unix charset = UTF8

# отключаем принтеры
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes

hide dot files = yes

[share]
comment = SHARA
path = /share
read only = no
locking = no
browsable = yes.
# разрешить гостевой доступ
guest ok = yes
force user = nobody.
force group = nobody

После этого делаю chown -R nobody:nobody share
map to guest = Bad Password менял на map to guest = Bad User разницы нет.

В логах никаких ошибок, всё чисто. Все порты открыты.
Пытаюсь зайти на шару и говорит нет доступа.
Куда копать ребята?