* [Comm] проблемы с Samba 3 и Kerberous
@ 2003-09-12 8:52 Владимир Гусев
2003-09-12 9:18 ` Alexander Bokovoy
0 siblings, 1 reply; 5+ messages in thread
From: Владимир Гусев @ 2003-09-12 8:52 UTC (permalink / raw)
To: community
Здравствуйте!
Чем больше узнаешь, тем больше возникает вопросов:)
Долго я бился над настройкой этих двух сабжей, пока наконец команда kinit
и net ads join наконец не стали работать... при первом запуске kinit меня
"пригласили в домен", в дальнейшем при обновлении "билета" никаких
приглашений не было, просто молчаливое согласие... при применении команды
smbclient -k -L <имя компа> высвечивается список ресурсов этого компа...
Однако при попытке заходить в расшаренные папки все равно требуется
пароль... хотя в Виндовс этого не требовалось, права юзера позволяли... И
при попытке подмонтировать некоторые сетевые ресурсы путем записи в fstab
при помощи smbfs без указания имени и пароля юзера (или только имени),
высвечивалось - доступ запрещен... только полное указание имени и пароля в
fstab монтирует при загрузке сетевые папки... Почему? Прилагаю файлы
smb.conf и krb5.conf. Контроллер домена на Win2k server (kdc, то бишь)...
мой комп - обычная рабочая станция vova
*****krb5.conf********************************
[realms]
MOSCOW.POSTSHOP.RU = {
kdc = 192.168.1.254:88
admin_server = 192.168.1.254:749
default_domain = moscow.postshop.ru
}
[domain_realm]
.moscow.postshop.ru = MOSCOW.POSTSHOP.RU
moscow.postshop.ru = MOSCOW.POSTSHOP.RU
[kdc]
profile = /var/lib/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = true
**********************************************
*****smb.conf*********************************
[global]
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
workgroup = MOSCOW
realm = MOSCOW.POSTSHOP.RU
ADS server = 192.168.1.254
netbios aliases = VOVA
server string = Samba server on %h (v. %v)
interfaces = 127.0.0.1 eth0 192.168.1.0/24
bind interfaces only = Yes
security = ADS
encrypt passwords = true
auth methods = user, sam, ntdomain
log level = 4
log file = /var/log/samba/log.%m
max log size = 50
read raw = No
max xmit = 65535
deadtime = 15
read size = 32768
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
printcap name = lpstat
os level = 34
dns proxy = No
ldap ssl = no
winbind uid = 10000-20000
winbind gid = 10000-20000
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
admin users = administrator
use sendfile = Yes
printing = cups
[homes]
comment = Home Directory for '%u'
browseable = No
[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
guest ok = Yes
printable = Yes
print command = lpr-cups -P %p -o raw %s -r # using client side printer
drivers.
browseable = No
[print$]
path = /var/lib/samba/printers
write list = @adm, root
[C$]
path = /drives/c
***********************************************
очень надеюсь на вашу помощь, так как про самбу 3 мало информации в Инете,
только информация из книги (из коробки АМ 2.2) в разных вариациях... к
примеру про kdc.conf я ничего не знаю - хоть и прописан в krb5.conf путь к
kdc.conf, на деле такого файла у меня в системе не существует...:(
С уважением, Владимир Гусев
--
Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] проблемы с Samba 3 и Kerberous
2003-09-12 8:52 [Comm] проблемы с Samba 3 и Kerberous Владимир Гусев
@ 2003-09-12 9:18 ` Alexander Bokovoy
2003-09-12 11:06 ` Владимир Гусев
2003-09-16 9:37 ` Alexander Bokovoy
0 siblings, 2 replies; 5+ messages in thread
From: Alexander Bokovoy @ 2003-09-12 9:18 UTC (permalink / raw)
To: community
On Fri, Sep 12, 2003 at 12:52:48PM +0400, Владимир Гусев wrote:
> Здравствуйте!
> Чем больше узнаешь, тем больше возникает вопросов:)
> Долго я бился над настройкой этих двух сабжей, пока наконец команда kinit
> и net ads join наконец не стали работать... при первом запуске kinit меня
Сейчас для net ads join не требуется делать kinit, его работу делает сама
самба.
> "пригласили в домен", в дальнейшем при обновлении "билета" никаких
> приглашений не было, просто молчаливое согласие... при применении команды
> smbclient -k -L <имя компа> высвечивается список ресурсов этого компа...
> Однако при попытке заходить в расшаренные папки все равно требуется
> пароль... хотя в Виндовс этого не требовалось, права юзера позволяли... И
> при попытке подмонтировать некоторые сетевые ресурсы путем записи в fstab
> при помощи smbfs без указания имени и пароля юзера (или только имени),
> высвечивалось - доступ запрещен... только полное указание имени и пароля в
> fstab монтирует при загрузке сетевые папки... Почему?
Потому что smbfs != Samba. Совсем. Это абсолютно отдельный проект Урбана
Видмарка. Если Вы хотите монтировать ресурсы с W2K, то Вам нужен cifsfs,
вместо smbfs. Мы его пока не собираем, но в плане это есть -- как только
появится свободное время. Это все модули для ядра.
> Прилагаю файлы
> smb.conf и krb5.conf. Контроллер домена на Win2k server (kdc, то бишь)...
> мой комп - обычная рабочая станция vova
>
> *****krb5.conf********************************
>
> [realms]
> MOSCOW.POSTSHOP.RU = {
> kdc = 192.168.1.254:88
> admin_server = 192.168.1.254:749
> default_domain = moscow.postshop.ru
> }
>
> [domain_realm]
> .moscow.postshop.ru = MOSCOW.POSTSHOP.RU
> moscow.postshop.ru = MOSCOW.POSTSHOP.RU
>
> [kdc]
> profile = /var/lib/kerberos/krb5kdc/kdc.conf
>
> [pam]
> debug = false
> ticket_lifetime = 36000
> renew_lifetime = 36000
> forwardable = true
> krb4_convert = true
>
> **********************************************
>
> *****smb.conf*********************************
>
> [global]
> dos charset = CP866
> unix charset = KOI8-R
> display charset = KOI8-R
> workgroup = MOSCOW
> realm = MOSCOW.POSTSHOP.RU
> ADS server = 192.168.1.254
В последних версиях 3.0 в Сизифе этот параметр удален.
Его значение надо поместить в password server
> netbios aliases = VOVA
> server string = Samba server on %h (v. %v)
> interfaces = 127.0.0.1 eth0 192.168.1.0/24
> bind interfaces only = Yes
> security = ADS
> encrypt passwords = true
> auth methods = user, sam, ntdomain
Зачем? Значение по умолчанию лучше -- оно учитывает конкретный тип
Security mode.
> очень надеюсь на вашу помощь, так как про самбу 3 мало информации в Инете,
> только информация из книги (из коробки АМ 2.2) в разных вариациях... к
> примеру про kdc.conf я ничего не знаю - хоть и прописан в krb5.conf путь к
> kdc.conf, на деле такого файла у меня в системе не существует...:(
Он Вам и не нужен -- Вы же клиент, а не Key Distribution Center.
--
/ Alexander Bokovoy
---
Did you ever walk into a room and forget why you walked in? I think
that's how dogs spend their lives.
-- Sue Murphy
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] проблемы с Samba 3 и Kerberous
2003-09-12 9:18 ` Alexander Bokovoy
@ 2003-09-12 11:06 ` Владимир Гусев
2003-09-12 11:23 ` Alexander Bokovoy
2003-09-16 9:37 ` Alexander Bokovoy
1 sibling, 1 reply; 5+ messages in thread
From: Владимир Гусев @ 2003-09-12 11:06 UTC (permalink / raw)
To: community
On Fri, 12 Sep 2003 12:18:53 +0300, Alexander Bokovoy
<a.bokovoy@sam-solutions.net> wrote:
> On Fri, Sep 12, 2003 at 12:52:48PM +0400, Владимир Гусев wrote:
>> Здравствуйте!
>> Чем больше узнаешь, тем больше возникает вопросов:)
>> Долго я бился над настройкой этих двух сабжей, пока наконец команда
>> kinit
>> и net ads join наконец не стали работать... при первом запуске kinit
>> меня
> Сейчас для net ads join не требуется делать kinit, его работу делает сама
> самба.
>
>> "пригласили в домен", в дальнейшем при обновлении "билета" никаких
>> приглашений не было, просто молчаливое согласие... при применении
>> команды
>> smbclient -k -L <имя компа> высвечивается список ресурсов этого компа...
>> Однако при попытке заходить в расшаренные папки все равно требуется
>> пароль... хотя в Виндовс этого не требовалось, права юзера позволяли...
>> И
>> при попытке подмонтировать некоторые сетевые ресурсы путем записи в
>> fstab
>> при помощи smbfs без указания имени и пароля юзера (или только имени),
>> высвечивалось - доступ запрещен... только полное указание имени и
>> пароля в
>> fstab монтирует при загрузке сетевые папки... Почему?
> Потому что smbfs != Samba. Совсем. Это абсолютно отдельный проект Урбана
> Видмарка. Если Вы хотите монтировать ресурсы с W2K, то Вам нужен cifsfs,
> вместо smbfs. Мы его пока не собираем, но в плане это есть -- как только
> появится свободное время. Это все модули для ядра.
>
>> Прилагаю файлы
>> smb.conf и krb5.conf. Контроллер домена на Win2k server (kdc, то
>> бишь)...
>> мой комп - обычная рабочая станция vova
>>
>> *****krb5.conf********************************
>>
>> [realms]
>> MOSCOW.POSTSHOP.RU = {
>> kdc = 192.168.1.254:88
>> admin_server = 192.168.1.254:749
>> default_domain = moscow.postshop.ru
>> }
>>
>> [domain_realm]
>> .moscow.postshop.ru = MOSCOW.POSTSHOP.RU
>> moscow.postshop.ru = MOSCOW.POSTSHOP.RU
>>
>> [kdc]
>> profile = /var/lib/kerberos/krb5kdc/kdc.conf
>>
>> [pam]
>> debug = false
>> ticket_lifetime = 36000
>> renew_lifetime = 36000
>> forwardable = true
>> krb4_convert = true
>>
>> **********************************************
>>
>> *****smb.conf*********************************
>>
>> [global]
>> dos charset = CP866
>> unix charset = KOI8-R
>> display charset = KOI8-R
>> workgroup = MOSCOW
>> realm = MOSCOW.POSTSHOP.RU
>> ADS server = 192.168.1.254
> В последних версиях 3.0 в Сизифе этот параметр удален.
> Его значение надо поместить в password server
>
>> netbios aliases = VOVA
>> server string = Samba server on %h (v. %v)
>> interfaces = 127.0.0.1 eth0 192.168.1.0/24
>> bind interfaces only = Yes
>> security = ADS
>> encrypt passwords = true
>> auth methods = user, sam, ntdomain
> Зачем? Значение по умолчанию лучше -- оно учитывает конкретный тип
> Security mode.
>
>> очень надеюсь на вашу помощь, так как про самбу 3 мало информации в
>> Инете,
>> только информация из книги (из коробки АМ 2.2) в разных вариациях... к
>> примеру про kdc.conf я ничего не знаю - хоть и прописан в krb5.conf
>> путь к
>> kdc.conf, на деле такого файла у меня в системе не существует...:(
> Он Вам и не нужен -- Вы же клиент, а не Key Distribution Center.
Спасибо за советы. Хотелось бы конечно поподробнее про все это, так как
в книжке довольно сжато написано про самбу 3 и керберос...
Хотел уточнить про auth methods... А как по умолчанию? В образце файла
smb.conf я не обнаружил примера этой строки.
И еще - по поводу действий с сетевыми ресурсами - то есть так и должно
быть?
Сетевые папки должны открываться только при в вводе имени и пароля юзера
домена?
С уважением, Владимир Гусев
--
Using M2, Opera's revolutionary e-mail client: http://www.opera.com/m2/
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] проблемы с Samba 3 и Kerberous
2003-09-12 11:06 ` Владимир Гусев
@ 2003-09-12 11:23 ` Alexander Bokovoy
0 siblings, 0 replies; 5+ messages in thread
From: Alexander Bokovoy @ 2003-09-12 11:23 UTC (permalink / raw)
To: community
On Fri, Sep 12, 2003 at 03:06:59PM +0400, Владимир Гусев wrote:
> >>kdc.conf, на деле такого файла у меня в системе не существует...:(
> >Он Вам и не нужен -- Вы же клиент, а не Key Distribution Center.
>
> Спасибо за советы. Хотелось бы конечно поподробнее про все это, так как
> в книжке довольно сжато написано про самбу 3 и керберос...
> Хотел уточнить про auth methods... А как по умолчанию? В образце файла
> smb.conf я не обнаружил примера этой строки.
По умолчанию -- значит так, как рассчитано в самой самбе для конкретного
режима безопасности. Нет нужды специально исправлять auth methods.
> И еще - по поводу действий с сетевыми ресурсами - то есть так и должно
> быть?
> Сетевые папки должны открываться только при в вводе имени и пароля юзера
> домена?
Вы не поняли. smbfs не имеет никакого отношения к проекту Samba и, в
частности, не поддерживает работу посредством kerberos и ldap. Поэтому
через него Вы не получите возможность работать с Native ADS.
Что касается smbclient, то при настроенной машине достаточно в начале
*пользовательской* сессии сделать
kinit <идентификатор>
для этого пользователя и потом smbclient -k должен работать без проблем.
--
/ Alexander Bokovoy
---
/usr/news/gotcha
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Comm] проблемы с Samba 3 и Kerberous
2003-09-12 9:18 ` Alexander Bokovoy
2003-09-12 11:06 ` Владимир Гусев
@ 2003-09-16 9:37 ` Alexander Bokovoy
1 sibling, 0 replies; 5+ messages in thread
From: Alexander Bokovoy @ 2003-09-16 9:37 UTC (permalink / raw)
To: community
On Fri, Sep 12, 2003 at 12:18:53PM +0300, Alexander Bokovoy wrote:
> > пароль... хотя в Виндовс этого не требовалось, права юзера позволяли... И
> > при попытке подмонтировать некоторые сетевые ресурсы путем записи в fstab
> > при помощи smbfs без указания имени и пароля юзера (или только имени),
> > высвечивалось - доступ запрещен... только полное указание имени и пароля в
> > fstab монтирует при загрузке сетевые папки... Почему?
> Потому что smbfs != Samba. Совсем. Это абсолютно отдельный проект Урбана
> Видмарка. Если Вы хотите монтировать ресурсы с W2K, то Вам нужен cifsfs,
> вместо smbfs. Мы его пока не собираем, но в плане это есть -- как только
> появится свободное время. Это все модули для ядра.
Небольшое уточнение: опция krb для smbmount работает только с серверами на
базе Samba 3.0. С W2K такое не проходит, по причинам известным только MS.
В всяком случае, Andrew Bartlett, который написал большую часть этого кода
вместе с Andrew Tridgell, так и не смог smbmount посылать в W2K то, что
она хочет видеть. smbclient работает нормально.
--
/ Alexander Bokovoy
---
If we do not change our direction we are likely to end up where we are headed.
^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2003-09-16 9:37 UTC | newest]
Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-09-12 8:52 [Comm] проблемы с Samba 3 и Kerberous Владимир Гусев
2003-09-12 9:18 ` Alexander Bokovoy
2003-09-12 11:06 ` Владимир Гусев
2003-09-12 11:23 ` Alexander Bokovoy
2003-09-16 9:37 ` Alexander Bokovoy
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git