[Comm] samba & homes

[Comm] samba & homes

[Алексей Синицын]

 Здравствуйте. Есть задача организовать дома несколько сетевых
файловых систем, как общего так и частного доступа. С первым всё
просто, как на nfs так и на smb. Но со вторым получилось некоторое
затруднение. Насколько мне известно, у nfs с этим пока сложности,
поэтому рассматривалась самба.

 В конфигурационном файле самбы по умолчанию  есть образец для
домашних каталогов, и даже не закомментированный. Но у меня не
получилось подключиться с этой конфигурацией. Немного помучив, я на
всякий случай вернул начальные настройки и проверил ещё раз.
Единственное изменение которое внёс - раскомментировал секцию public и
сменил в ней путь. При этом public  виден и доступен, но авторизация
при обращении к домашнему каталогу пользователя не удаётся. В логе при
попытке обращения появляется следующее:

[2012/04/11 22:10:14.601665,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED

 Конфигурация без комментариев и пустых строк выглядит так:

[global]
        workgroup = MYGROUP
        server string = Samba Server Version %v
        log file = /var/log/samba/log.%m
        max log size = 50
        security = user
        passdb backend = tdbsam
        load printers = yes
        cups options = raw
[homes]
        comment = Home Directories
        browseable = no
        writable = yes
[printers]
        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes
[public]
        comment = Public Stuff
        path = /mnt/share/public
        public = yes
        writable = yes
        printable = no
        write list = +staff

 Здесь, public виден и доступен, а обращение к домашнему каталогу
(smb://server/user/) выдаёт диалог авторизации, завершающийся
неуспешно.

 Не подскажет ли кто, как это поправить, и, если решение найдётся то
может быть имеет смысл добавить комментарий об этом в конфигурацию по
умолчанию?

 И сервер и клиент на кентавре, на сервере установлено следующее:

rpm -qa|grep samba
samba-doc-3.5.10-alt3.M60P.1
samba-common-3.5.10-alt3.M60P.1
samba-3.5.10-alt3.M60P.1
samba-winbind-clients-3.5.10-alt3.M60P.1

Re: [Comm] samba & homes

[Варакин Алексей]

Во-первых, по возможности обновите у себя самбу до последней версии.
Во-вторых, на папку public поставлены права 777?
Во-третьих, Вам нужно что: пускать только определенных пользователей или всех на расшаренную папку?

12.04.2012, 01:32, "Алексей Синицын" <asinitsinster@gmail.com>:
>  Здравствуйте. Есть задача организовать дома несколько сетевых
> файловых систем, как общего так и частного доступа. С первым всё
> просто, как на nfs так и на smb. Но со вторым получилось некоторое
> затруднение. Насколько мне известно, у nfs с этим пока сложности,
> поэтому рассматривалась самба.
>
>  В конфигурационном файле самбы по умолчанию  есть образец для
> домашних каталогов, и даже не закомментированный. Но у меня не
> получилось подключиться с этой конфигурацией. Немного помучив, я на
> всякий случай вернул начальные настройки и проверил ещё раз.
> Единственное изменение которое внёс - раскомментировал секцию public и
> сменил в ней путь. При этом public  виден и доступен, но авторизация
> при обращении к домашнему каталогу пользователя не удаётся. В логе при
> попытке обращения появляется следующее:
>
> [2012/04/11 22:10:14.601665,  1] smbd/service.c:678(make_connection_snum)
>   create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
>
>  Конфигурация без комментариев и пустых строк выглядит так:
>
> [global]
>         workgroup = MYGROUP
>         server string = Samba Server Version %v
>         log file = /var/log/samba/log.%m
>         max log size = 50
>         security = user
>         passdb backend = tdbsam
>         load printers = yes
>         cups options = raw
> [homes]
>         comment = Home Directories
>         browseable = no
>         writable = yes
> [printers]
>         comment = All Printers
>         path = /var/spool/samba
>         browseable = no
>         guest ok = no
>         writable = no
>         printable = yes
> [public]
>         comment = Public Stuff
>         path = /mnt/share/public
>         public = yes
>         writable = yes
>         printable = no
>         write list = +staff
>
>  Здесь, public виден и доступен, а обращение к домашнему каталогу
> (smb://server/user/) выдаёт диалог авторизации, завершающийся
> неуспешно.
>
>  Не подскажет ли кто, как это поправить, и, если решение найдётся то
> может быть имеет смысл добавить комментарий об этом в конфигурацию по
> умолчанию?
>
>  И сервер и клиент на кентавре, на сервере установлено следующее:
>
> rpm -qa|grep samba
> samba-doc-3.5.10-alt3.M60P.1
> samba-common-3.5.10-alt3.M60P.1
> samba-3.5.10-alt3.M60P.1
> samba-winbind-clients-3.5.10-alt3.M60P.1
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] samba & homes

[Алексей Синицын]

12 апреля 2012 г. 5:37 пользователь Варакин Алексей
<fotonsalt@yandex.ru> написал:
> Во-первых, по возможности обновите у себя самбу до последней версии.
> Во-вторых, на папку public поставлены права 777?
> Во-третьих, Вам нужно что: пускать только определенных пользователей или всех на расшаренную папку?
>

 Версия стоит  последняя, и public работает (да, 777).

 Нужно что бы была как общая файловая система, так и своя у каждого
пользователя, с приватным доступом. И если с первым всё в порядке, то
со вторым и выходят сложности.

 До этого сетевые ФС жили в dlink dns323 и в нём личные ресурсы были
реализованы не через домашние каталоги а отдельными ресурсами с
параметром:
valid users = username
 Пробовал использовать здесь такой параметр, но авторизация всё равно
не походит.

 Подключать пробовал наутилусом. При помощи mount, даже при
подключении public, получается:
mount error(13): Permission denied
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

 В логе клиента при попытке смонтировать public:
Apr 12 06:28:16 boat kernel: [484545.865529] Status code returned
0xc000006d NT_STATUS_LOGON_FAILURE
Apr 12 06:28:16 boat kernel: [484545.865556] CIFS VFS: Send error in
SessSetup = -13
Apr 12 06:28:16 boat kernel: [484545.880307] CIFS VFS: cifs_mount
failed w/return code = -13

 На сервере в логах самбы в этот момент ничего не появляется

 Но наутилус в принципе устраивает и монтировать пробовал для
проверки. Вопрос только об ограничении доступа к самбовым шарам при
помощи пароля.

> 12.04.2012, 01:32, "Алексей Синицын" <asinitsinster@gmail.com>:
>>  Здравствуйте. Есть задача организовать дома несколько сетевых
>> файловых систем, как общего так и частного доступа. С первым всё
>> просто, как на nfs так и на smb. Но со вторым получилось некоторое
>> затруднение. Насколько мне известно, у nfs с этим пока сложности,
>> поэтому рассматривалась самба.
>>
>>  В конфигурационном файле самбы по умолчанию  есть образец для
>> домашних каталогов, и даже не закомментированный. Но у меня не
>> получилось подключиться с этой конфигурацией. Немного помучив, я на
>> всякий случай вернул начальные настройки и проверил ещё раз.
>> Единственное изменение которое внёс - раскомментировал секцию public и
>> сменил в ней путь. При этом public  виден и доступен, но авторизация
>> при обращении к домашнему каталогу пользователя не удаётся. В логе при
>> попытке обращения появляется следующее:
>>
>> [2012/04/11 22:10:14.601665,  1] smbd/service.c:678(make_connection_snum)
>>   create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
>>
>>  Конфигурация без комментариев и пустых строк выглядит так:
>>
>> [global]
>>         workgroup = MYGROUP
>>         server string = Samba Server Version %v
>>         log file = /var/log/samba/log.%m
>>         max log size = 50
>>         security = user
>>         passdb backend = tdbsam
>>         load printers = yes
>>         cups options = raw
>> [homes]
>>         comment = Home Directories
>>         browseable = no
>>         writable = yes
>> [printers]
>>         comment = All Printers
>>         path = /var/spool/samba
>>         browseable = no
>>         guest ok = no
>>         writable = no
>>         printable = yes
>> [public]
>>         comment = Public Stuff
>>         path = /mnt/share/public
>>         public = yes
>>         writable = yes
>>         printable = no
>>         write list = +staff
>>
>>  Здесь, public виден и доступен, а обращение к домашнему каталогу
>> (smb://server/user/) выдаёт диалог авторизации, завершающийся
>> неуспешно.
>>
>>  Не подскажет ли кто, как это поправить, и, если решение найдётся то
>> может быть имеет смысл добавить комментарий об этом в конфигурацию по
>> умолчанию?
>>
>>  И сервер и клиент на кентавре, на сервере установлено следующее:
>>
>> rpm -qa|grep samba
>> samba-doc-3.5.10-alt3.M60P.1
>> samba-common-3.5.10-alt3.M60P.1
>> samba-3.5.10-alt3.M60P.1
>> samba-winbind-clients-3.5.10-alt3.M60P.1
>> _______________________________________________
>> community mailing list
>> community@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/community
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] samba & homes

[Dmitry Chistikov]

Алексей Синицын, Apr. 12, 2012, 06:39 +0400:
>  Версия стоит  последняя [...]

Алексей Синицын, Apr. 11, 2012, 22:32 +0400:
> samba-3.5.10-alt3.M60P.1

Это уже не последняя samba. Прочитайте соседние письма и обновитесь,
например, с ftp.altlinux.org.

-- 
Дмитрий Чистиков

Re: [Comm] samba & homes

[Алексей Синицын]

12 апреля 2012 г. 12:10 пользователь Dmitry Chistikov
<dd1email@gmail.com> написал:
> Алексей Синицын, Apr. 12, 2012, 06:39 +0400:
>>  Версия стоит  последняя [...]
>
> Алексей Синицын, Apr. 11, 2012, 22:32 +0400:
>> samba-3.5.10-alt3.M60P.1
>
> Это уже не последняя samba. Прочитайте соседние письма и обновитесь,
> например, с ftp.altlinux.org.
>

 А, это про уязвимость. Да нет, это сеть внутри дома, извне доступа
нет, в семье ломать друг друга пока никто не будет. Обновление конечно
нужно, но оно приедет своим ходом.

 Мне бы, что бы они пользоваться смогли, сделать. А то dns323, который
честно служил, в эти выходные кажется нового хозяина найдёт, вот и
приходится торопиться.

Re: [Comm] samba & homes

[Michael Shigorin]

On Wed, Apr 11, 2012 at 10:32:20PM +0400, Алексей Синицын wrote:
> [...] авторизация при обращении к домашнему каталогу
> пользователя не удаётся. В логе при попытке обращения
> появляется следующее:

Возможно,стоит поднять log level.

> [2012/04/11 22:10:14.601665,  1] smbd/service.c:678(make_connection_snum)
>   create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
> 
> [global]
>         security = user
> [homes]
>         browseable = no
>         writable = yes

Припоминается, что подобная конфигурация вполне подробно
разбиралась в самбиной документации (вместе с отладкой),
но название текста сейчас не вспомню -- *AUTH*, что ли...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] samba & homes

[Алексей Синицын]

12 апреля 2012 г. 17:24 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Wed, Apr 11, 2012 at 10:32:20PM +0400, Алексей Синицын wrote:
>> [...] авторизация при обращении к домашнему каталогу
>> пользователя не удаётся. В логе при попытке обращения
>> появляется следующее:
>
> Возможно,стоит поднять log level.
>
>> [2012/04/11 22:10:14.601665,  1] smbd/service.c:678(make_connection_snum)
>>   create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
>>
>> [global]
>>         security = user
>> [homes]
>>         browseable = no
>>         writable = yes
>
> Припоминается, что подобная конфигурация вполне подробно
> разбиралась в самбиной документации (вместе с отладкой),
> но название текста сейчас не вспомню -- *AUTH*, что ли...
>

 Такое впечатление что оно не может синхронизировать логины с
системными учётными записями.

Re: [Comm] samba & homes

[Michael Shigorin]

On Thu, Apr 12, 2012 at 09:06:27PM +0400, Алексей Синицын wrote:
> Такое впечатление что оно не может синхронизировать логины
> с системными учётными записями.

А если продублировать в smbpasswd?  Алгоритмы разные,
поэтому без дублирования хэша для NTLM или что там ещё
(либо plaintext) не получится хэши никак сопоставить.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] samba & homes

[Алексей Синицын]

12 апреля 2012 г. 21:30 пользователь Michael Shigorin
<mike@osdn.org.ua> написал:
> On Thu, Apr 12, 2012 at 09:06:27PM +0400, Алексей Синицын wrote:
>> Такое впечатление что оно не может синхронизировать логины
>> с системными учётными записями.
>
> А если продублировать в smbpasswd?  Алгоритмы разные,
> поэтому без дублирования хэша для NTLM или что там ещё
> (либо plaintext) не получится хэши никак сопоставить.
>

 Да, спасибо, добавил пользователя, задал пароль и смог подключиться.
В общем это выход, то что нет необходимости заводить системных
пользователей это даже лучше.

 Так долго и упорно я пытался авторизоваться с системными
пользователями потому, что некоторое время назад имел дело с самбой и
там как раз она использовала системных пользователей.

Re: [Comm] samba & homes

[Алексей Синицын]

12 апреля 2012 г. 21:52 пользователь Алексей Синицын
<asinitsinster@gmail.com> написал:
> 12 апреля 2012 г. 21:30 пользователь Michael Shigorin
> <mike@osdn.org.ua> написал:
>> On Thu, Apr 12, 2012 at 09:06:27PM +0400, Алексей Синицын wrote:
>>> Такое впечатление что оно не может синхронизировать логины
>>> с системными учётными записями.
>>
>> А если продублировать в smbpasswd?  Алгоритмы разные,
>> поэтому без дублирования хэша для NTLM или что там ещё
>> (либо plaintext) не получится хэши никак сопоставить.
>>
>
>  Да, спасибо, добавил пользователя, задал пароль и смог подключиться.
> В общем это выход, то что нет необходимости заводить системных
> пользователей это даже лучше.
>
>  Так долго и упорно я пытался авторизоваться с системными
> пользователями потому, что некоторое время назад имел дело с самбой и
> там как раз она использовала системных пользователей.


 Может быть продублировать эту информацию в комментарии в конфиг по
умолчанию или на вики?

 Наверно если возможно то лучше в первое. Там уже есть секция для
домашних каталогов пользователей и интуитивно напрашивается что это
системные пользователи. И при настройке, при включении этой секции это
будет сразу перед глазами. Что нибудь типа "это home, оно или для ldap
или заводите самбового пользователя"

 На вики хуже, не попадёт на глаза в нужный момент, долго искать и
вообще непонятно в какое место там это вписывать.

Re: [Comm] samba & homes

[Michael Shigorin]

On Thu, Apr 12, 2012 at 10:08:12PM +0400, Алексей Синицын wrote:
> >> А если продублировать в smbpasswd?  Алгоритмы разные,
> >> поэтому без дублирования хэша для NTLM или что там ещё
> >> (либо plaintext) не получится хэши никак сопоставить.
> Может быть продублировать эту информацию в комментарии в конфиг
> по умолчанию

Ммм... хорошо бы тогда всё же найти пояснение в документации,
выработать формулировку и уже её предложить vitty@ или апстриму.

> или на вики?

А эт всегда пожалуйста.

> На вики хуже, не попадёт на глаза в нужный момент, долго искать
> и вообще непонятно в какое место там это вписывать.

Заново продумывать -- есть старые странички
http://www.altlinux.org/Samba/idmapldap
http://www.altlinux.org/Samba/InterdomainTrustRelationships
и нет http://www.altlinux.org/Samba

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] samba & homes

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 1092 bytes --]

On Thu, Apr 12, 2012 at 09:52:24PM +0400, Алексей Синицын wrote:
>  Да, спасибо, добавил пользователя, задал пароль и смог подключиться.
> В общем это выход, то что нет необходимости заводить системных
> пользователей это даже лучше.
> 
>  Так долго и упорно я пытался авторизоваться с системными
> пользователями потому, что некоторое время назад имел дело с самбой и
> там как раз она использовала системных пользователей.

На самом деле нужно и то, и другое - хеш пароля берётся в данном
случае из tdbsam, а вот uid, gid, homedir, ... должны быть в базе
passwd (в простейшем случае в /etc/passwd, но это может быть и LDAP, и
любой другой вариант, поддерживаемый NSS в glibc).  Хотя системный
пароль (в shadow/tcb/...) в этом случае может быть и не установлен
(тогда пользователь при обычных настройках pam не сможет зайти с
консоли или через ssh по паролю, но сможет пользоваться ресурсами
Samba), либо эти пароли могут не совпадать (для синхронизации в случае
смены пароля через Samba есть параметр unix password sync, либо, если
используется LDAP - ldap passwd sync).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [Comm] samba & homes

[Алексей Синицын]

13 апреля 2012 г. 0:18 пользователь Michael Shigorin <mike@osdn.org.ua> написал:
> On Thu, Apr 12, 2012 at 10:08:12PM +0400, Алексей Синицын wrote:
>> >> А если продублировать в smbpasswd?  Алгоритмы разные,
>> >> поэтому без дублирования хэша для NTLM или что там ещё
>> >> (либо plaintext) не получится хэши никак сопоставить.
>> Может быть продублировать эту информацию в комментарии в конфиг
>> по умолчанию
>
> Ммм... хорошо бы тогда всё же найти пояснение в документации,
> выработать формулировку и уже её предложить vitty@ или апстриму.
>

 Собственно даже без документации видно что желательно добавить.
Буквально несколько слов, просто что бы заработал приведённый пример,
раз уж он приведён.

 Там (не в документации а в конфиге) упоминается smbpasswd (аж два
раза, в секции Domain Members Options и Domain Controller Options), но
я не в полной мере уловил контекст и почему оно только для обратной
совместимости, может быть предполагается что всем давно пора
переходить на ldap:

# Backend to store user information in. New installations should
# use either tdbsam or ldapsam. smbpasswd is available for backwards
# compatibility. tdbsam requires no further configuration.

 Перед секцией [homes] сейчас кажется вообще ничего нет и
привязываться не к чему. Именно там и имеет смысл разместить несколько
строк.

# Если вы хотите использовать домашние каталоги пользователей, то
# необходимо задать пользователю пароль при помощи команды smbpasswd
# Непосредственно использовать системные пароли самба не может
#
# Если вы хотите что бы при смене пароля самбы менялся пароль этого
пользователя в системе,
# необходимо использовать параметр:
# unix password sync
# либо, если используется LDAP:
# ldap passwd sync).

 Как то примерно так (на иной странный язык, с моим познанием оного,
переводить на всякий случай не стал).

>> или на вики?
>
> А эт всегда пожалуйста.
>
>> На вики хуже, не попадёт на глаза в нужный момент, долго искать
>> и вообще непонятно в какое место там это вписывать.
>
> Заново продумывать -- есть старые странички
> http://www.altlinux.org/Samba/idmapldap
> http://www.altlinux.org/Samba/InterdomainTrustRelationships
> и нет http://www.altlinux.org/Samba
>

 Два вопроса: делать ли страницу ради двух строк и, если да, в какое
место ставить ссылку?

Re: [Comm] samba & homes

[Sergey Vlasov]

[-- Attachment #1: Type: text/plain, Size: 1620 bytes --]

On Fri, Apr 13, 2012 at 07:37:20PM +0400, Алексей Синицын wrote:
>  Собственно даже без документации видно что желательно добавить.
> Буквально несколько слов, просто что бы заработал приведённый пример,
> раз уж он приведён.
> 
>  Там (не в документации а в конфиге) упоминается smbpasswd (аж два
> раза, в секции Domain Members Options и Domain Controller Options), но
> я не в полной мере уловил контекст и почему оно только для обратной
> совместимости, может быть предполагается что всем давно пора
> переходить на ldap:
> 
> # Backend to store user information in. New installations should
> # use either tdbsam or ldapsam. smbpasswd is available for backwards
> # compatibility. tdbsam requires no further configuration.

Путаница возникает из-за того, что одним именем smbpasswd называются
две совершенно разных вещи:

 1) passdb backend = smbpasswd в smb.conf - старый текстовый формат
    базы паролей, который сейчас действительно не рекомендуется
    использовать (для простых конфигураций с одиночным сервером можно
    применять tdbsam, для использования общей базы пользователей на
    нескольких серверах - ldapsam).

 2) Утилита /usr/bin/smbpasswd, предназначенная для смены паролей
    пользователей (а также изменения некоторых других настроек,
    связанных с пользователями и паролями) - несмотря на своё
    название, эта утилита может быть использована с любым passwd
    backend, и ей необходимо пользоваться в любом случае (кроме,
    возможно, конфигураций, где NT-хеш пароля формируется сервером
    LDAP самостоятельно даже при смене пароля другими способами).

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]