From: Evgeny Sinelnikov <sin@altlinux.org>
To: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] samba в домене vs юзеры не в домене
Date: Tue, 23 Jun 2020 16:10:59 +0400
Message-ID: <CAK42-Gpc9ku7jMUkF4qkfrdi6CoB8KZf4h90Y7C9NRczzeuQ_w@mail.gmail.com> (raw)
In-Reply-To: <rcsfuu$o46$1@ciao.gmane.io>
Здравствуйте,
вт, 23 июн. 2020 г. в 12:54, Alexei Mezin <alexei.mezin@gmail.com>:
>
> Имеется домен AD на Win, имеется server 9, который подключен в домен
> "способом по умолчанию" через альтератор, и на котором samba. Для
> доменных пользователей все работает: от входа на самба-шары до логина на
> сервер через ssh.
>
> Но! В сети есть компьютеры, которые не введены в домен, и врядли будут
> (например, ЧПУ-стойки и компы, приставленные к оборудованию). Как с них
> попасть на самба-шары? Не пускает никак, ввод логин/пароля (просто
> логин, домен\логин, логин@домен) не помогает. Может есть какая-то хитрость?
>
> Добавил серверу еще один интерфейс, поднял на нем еще один экземпляр
> smbd, security=user -- все равно не работает. При том, что идентичный
> конфиг на этом же сервере ДО подключения к домену работал. Точнее,
> работает с соседней машины под линукс через smbclient, но не работает ни
> с одной виндовз-машины.
>
Трудно сказать, нужно больше подробностей.
У меня никак не увязываются фразы "экземпляр smbd, security=user" и
"идентичный конфиг на этом же сервере ДО подключения к домену
работал". Опишите конфигурацию по-подробнее. Проблему нужно увидеть, а
для этого нужно воспроизвести.
Кроме конфигурации есть задача, которая тоже не очень понятна. "В сети
есть компьютеры, которые не введены в домен". Требуется для этих
компьютеров проверка прав доступа или достаточно гостевого доступа?
Нужен доступ на запись? Какой клиент установлен на этих узлах (версия
samba, если libsmbclient, или версия ядра, если это монтирование через
cifs)?
В целом, оно может работать:
_______________________________________________
sin@xpi getalt $ ping 10.64.171.10
PING 10.64.171.10 (10.64.171.10) 56(84) bytes of data.
64 bytes from 10.64.171.10: icmp_seq=1 ttl=63 time=0.663 ms
^C
--- 10.64.171.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.663/0.663/0.663/0.000 ms
sin@xpi getalt $ smbclient -L //10.64.171.10
Enter administrator@DOMAIN.ALT's password:
Anonymous login successful
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.11.9)
SMB1 disabled -- no workgroup available
sin@xpi getalt $ smbclient -L //10.64.171.10/sysvol -U Administrator
Enter MYGROUP\Administrator's password:
sin@xpi getalt $ smbclient -L //10.64.171.10/sysvol -U Administrator -W DOMAIN
Enter DOMAIN\Administrator's password:
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.11.9)
SMB1 disabled -- no workgroup available
sin@xpi getalt $ smbclient //10.64.171.10/sysvol -U Administrator -W DOMAIN
Enter DOMAIN\Administrator's password:
Try "help" to get a list of possible commands.
smb: \> ls
. D 0 Wed Jun 3 14:28:30 2020
.. D 0 Mon Jun 22 20:09:26 2020
domain.alt D 0 Wed May 6 03:11:33 2020
456 A 0 Sun May 17 04:54:14 2020
123 A 0 Sun May 17 04:53:35 2020
domain D 0 Wed May 6 03:11:29 2020
admintemplates_x64_5017-1000_en-us.exe N 12370976 Tue Jun 2
23:23:50 2020
admintemplates_x86_5017-1000_en-us.exe N 12115848 Tue Jun 2
23:23:55 2020
Win7-2008R2-admx.msi N 22063616 Wed Jun 3 14:23:01 2020
WindowsServer2016_TP5_ADMX.msi N 9910784 Wed Jun 3 14:25:02 2020
10254612 blocks of size 1024. 4816568 blocks available
smb: \> ^C
sin@xpi getalt $ rpm -qf /usr/bin/smbclient
samba-client-4.11.8-alt1.x86_64
_______________________________________________
10.64.171.10, в данном случае - это контроллер домена. Клиент - моя
рабочая станция на p9. Моё подозрение - в "ЧПУ-стойках и компах, на
приставленном к оборудовании" установлены старые клиентские
библиотеки. Для подключения к новому серверу требуется разрешить на
нём устаревший протокол SMB1. В новых сборках Samba этот протокол
отключен.
Но, если "идентичный конфиг на этом же сервере ДО подключения к домену
работал", то хотелось бы понять в чём отличие? Сервер был введён в
домен, как член домена, после этого перестаёт работать доступ?
--
Sin (Sinelnikov Evgeny)
next prev parent reply other threads:[~2020-06-23 12:10 UTC|newest]
Thread overview: 7+ messages / expand[flat|nested] mbox.gz Atom feed top
2020-06-23 8:53 Alexei Mezin
2020-06-23 12:10 ` Evgeny Sinelnikov [this message]
2020-06-23 14:20 ` Alexei Mezin
2020-06-23 14:24 ` Alexei Mezin
2020-06-23 14:42 ` Evgeny Sinelnikov
2020-06-23 15:32 ` Alexei Mezin
2020-07-01 12:34 ` Alexei Mezin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=CAK42-Gpc9ku7jMUkF4qkfrdi6CoB8KZf4h90Y7C9NRczzeuQ_w@mail.gmail.com \
--to=sin@altlinux.org \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git