ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] samba в домене vs юзеры не в домене
@ 2020-06-23  8:53 Alexei Mezin
  2020-06-23 12:10 ` Evgeny Sinelnikov
  2020-07-01 12:34 ` Alexei Mezin
  0 siblings, 2 replies; 7+ messages in thread
From: Alexei Mezin @ 2020-06-23  8:53 UTC (permalink / raw)
  To: sysadmins

Имеется домен AD на Win, имеется server 9, который подключен в домен 
"способом по умолчанию" через альтератор, и на котором samba. Для 
доменных пользователей все работает: от входа на самба-шары до логина на 
сервер через ssh.

Но! В сети есть компьютеры, которые не введены в домен, и врядли будут 
(например, ЧПУ-стойки и компы, приставленные к оборудованию). Как с них 
попасть на самба-шары? Не пускает никак, ввод логин/пароля (просто 
логин, домен\логин, логин@домен) не помогает. Может есть какая-то хитрость?

Добавил серверу еще один интерфейс, поднял на нем еще один экземпляр 
smbd, security=user -- все равно не работает. При том, что идентичный 
конфиг на этом же сервере ДО подключения к домену работал. Точнее, 
работает с соседней машины под линукс через smbclient, но не работает ни 
с одной виндовз-машины.



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Sysadmins] samba в домене vs юзеры не в домене
  2020-06-23  8:53 [Sysadmins] samba в домене vs юзеры не в домене Alexei Mezin
@ 2020-06-23 12:10 ` Evgeny Sinelnikov
  2020-06-23 14:20   ` Alexei Mezin
  2020-07-01 12:34 ` Alexei Mezin
  1 sibling, 1 reply; 7+ messages in thread
From: Evgeny Sinelnikov @ 2020-06-23 12:10 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

Здравствуйте,

вт, 23 июн. 2020 г. в 12:54, Alexei Mezin <alexei.mezin@gmail.com>:
>
> Имеется домен AD на Win, имеется server 9, который подключен в домен
> "способом по умолчанию" через альтератор, и на котором samba. Для
> доменных пользователей все работает: от входа на самба-шары до логина на
> сервер через ssh.
>
> Но! В сети есть компьютеры, которые не введены в домен, и врядли будут
> (например, ЧПУ-стойки и компы, приставленные к оборудованию). Как с них
> попасть на самба-шары? Не пускает никак, ввод логин/пароля (просто
> логин, домен\логин, логин@домен) не помогает. Может есть какая-то хитрость?
>
> Добавил серверу еще один интерфейс, поднял на нем еще один экземпляр
> smbd, security=user -- все равно не работает. При том, что идентичный
> конфиг на этом же сервере ДО подключения к домену работал. Точнее,
> работает с соседней машины под линукс через smbclient, но не работает ни
> с одной виндовз-машины.
>

Трудно сказать, нужно больше подробностей.
У меня никак не увязываются фразы "экземпляр smbd, security=user" и
"идентичный конфиг на этом же сервере ДО подключения к домену
работал". Опишите конфигурацию по-подробнее. Проблему нужно увидеть, а
для этого нужно воспроизвести.

Кроме конфигурации есть задача, которая тоже не очень понятна. "В сети
есть компьютеры, которые не введены в домен". Требуется для этих
компьютеров проверка прав доступа или достаточно гостевого доступа?
Нужен доступ на запись? Какой клиент установлен на этих узлах (версия
samba, если libsmbclient, или версия ядра, если это монтирование через
cifs)?

В целом, оно может работать:

_______________________________________________

sin@xpi getalt $ ping 10.64.171.10
PING 10.64.171.10 (10.64.171.10) 56(84) bytes of data.
64 bytes from 10.64.171.10: icmp_seq=1 ttl=63 time=0.663 ms
^C
--- 10.64.171.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.663/0.663/0.663/0.000 ms
sin@xpi getalt $ smbclient -L //10.64.171.10
Enter administrator@DOMAIN.ALT's password:
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.11.9)
SMB1 disabled -- no workgroup available
sin@xpi getalt $ smbclient -L //10.64.171.10/sysvol -U Administrator
Enter MYGROUP\Administrator's password:
sin@xpi getalt $ smbclient -L //10.64.171.10/sysvol -U Administrator -W DOMAIN
Enter DOMAIN\Administrator's password:

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.11.9)
SMB1 disabled -- no workgroup available
sin@xpi getalt $ smbclient //10.64.171.10/sysvol -U Administrator -W DOMAIN
Enter DOMAIN\Administrator's password:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Wed Jun  3 14:28:30 2020
  ..                                  D        0  Mon Jun 22 20:09:26 2020
  domain.alt                          D        0  Wed May  6 03:11:33 2020
  456                                 A        0  Sun May 17 04:54:14 2020
  123                                 A        0  Sun May 17 04:53:35 2020
  domain                              D        0  Wed May  6 03:11:29 2020
  admintemplates_x64_5017-1000_en-us.exe      N 12370976  Tue Jun  2
23:23:50 2020
  admintemplates_x86_5017-1000_en-us.exe      N 12115848  Tue Jun  2
23:23:55 2020
  Win7-2008R2-admx.msi                N 22063616  Wed Jun  3 14:23:01 2020
  WindowsServer2016_TP5_ADMX.msi      N  9910784  Wed Jun  3 14:25:02 2020

                10254612 blocks of size 1024. 4816568 blocks available
smb: \> ^C
sin@xpi getalt $ rpm -qf /usr/bin/smbclient
samba-client-4.11.8-alt1.x86_64

_______________________________________________

10.64.171.10, в данном случае - это контроллер домена. Клиент - моя
рабочая станция на p9. Моё подозрение - в "ЧПУ-стойках и компах, на
приставленном к оборудовании" установлены старые клиентские
библиотеки. Для подключения к новому серверу требуется разрешить на
нём устаревший протокол SMB1. В новых сборках Samba этот протокол
отключен.

Но, если "идентичный конфиг на этом же сервере ДО подключения к домену
работал", то хотелось бы понять в чём отличие? Сервер был введён в
домен, как член домена, после этого перестаёт работать доступ?

-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Sysadmins] samba в домене vs юзеры не в домене
  2020-06-23 12:10 ` Evgeny Sinelnikov
@ 2020-06-23 14:20   ` Alexei Mezin
  2020-06-23 14:24     ` Alexei Mezin
  0 siblings, 1 reply; 7+ messages in thread
From: Alexei Mezin @ 2020-06-23 14:20 UTC (permalink / raw)
  To: sysadmins

23.06.2020 15:10, Evgeny Sinelnikov пишет:

> Кроме конфигурации есть задача, которая тоже не очень понятна. "В сети
> есть компьютеры, которые не введены в домен". 
Эту задачу было бы хорошо решить, и без привлечения второго экземпляра 
smbd. Задача такая:

есть домен, есть линукс-сервер в домене, на нем самба, авторизация в 
домене только через контроллер домена на виндовз. Доменные пользователи 
на компьютерах, введенных в домен, попадают на самбу и имеют там r/o или 
r/w в соответствии с настройками. Все работает.

Но в той же сети есть компьютеры, не введенные в домен, работа на этих 
компьютерах идет под локальными учетными записями. Очень бы хотелось с 
этих компьютеров попадать на самбу, и получать там доступ к файлам, 
например к каталогу distrib в режиме r/o, а в  incoming в режиме r/w. 
Подошло бы, чтоб челове "на компе не из домена" мог при обращении к 
самбе ввести свой доменный логин, и получить доступ.


Сейчас, например, так:
машина с win10, в домен не введена, пытаюсь на ней обратиться по адресу 
\\server\incoming, выскакивает запрос логина-пароля, но авторизоваться 
не удается.



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Sysadmins] samba в домене vs юзеры не в домене
  2020-06-23 14:20   ` Alexei Mezin
@ 2020-06-23 14:24     ` Alexei Mezin
  2020-06-23 14:42       ` Evgeny Sinelnikov
  0 siblings, 1 reply; 7+ messages in thread
From: Alexei Mezin @ 2020-06-23 14:24 UTC (permalink / raw)
  To: sysadmins

23.06.2020 17:20, Alexei Mezin пишет:

> Сейчас, например, так:

Или так:

$ smbclient -U user@domain //10.17.203.251/incoming
Unable to initialize messaging context
Enter user@domain's password:
session setup failed: NT_STATUS_NO_LOGON_SERVERS



^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Sysadmins] samba в домене vs юзеры не в домене
  2020-06-23 14:24     ` Alexei Mezin
@ 2020-06-23 14:42       ` Evgeny Sinelnikov
  2020-06-23 15:32         ` Alexei Mezin
  0 siblings, 1 reply; 7+ messages in thread
From: Evgeny Sinelnikov @ 2020-06-23 14:42 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion

вт, 23 июн. 2020 г. в 18:25, Alexei Mezin <alexei.mezin@gmail.com>:
>
> 23.06.2020 17:20, Alexei Mezin пишет:
>
> > Сейчас, например, так:
>
> Или так:
>
> $ smbclient -U user@domain //10.17.203.251/incoming
> Unable to initialize messaging context
> Enter user@domain's password:
> session setup failed: NT_STATUS_NO_LOGON_SERVERS

Тут нужны подробности вида:
- версия клиентских библиотек samba;
- необходимость аутентификации для этих машин из домена - может быть
достаточно ходить под гостевой учётной записью с этих машин?

Или нужна аутентификация для пользователей не из домена и ходить они
должны по логину паролю? Это те же пользователи из того же домена?
Если это пользователи из того же домена, то почему бы им не ходить
через Kerberos?
kinit user@REALM
smbclient -k //server_hostname/incoming

Для этого достаточно, чтобы на узлах не из домена зона домена
разрешалась через DNS, то есть либо в качестве nameserver'а были
указаны контроллеры домена, либо nameserver перенаправлял запросы для
зоны домена на контроллеры домена.

То есть пользователи на машинах не из домена (их необязательно вводить
в домен) могут ходить в домен под своими учётками на эти узлы. Для
этого достаточно выполнить kinit. Есть для этой задачи и графическое
приложение krb5-ticket-watcher, которое запрашивает пароль из домена.
Для удобства в /etc/krb5.conf можно вписать default_realm =
DOMAIN.REALM

-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Sysadmins] samba в домене vs юзеры не в домене
  2020-06-23 14:42       ` Evgeny Sinelnikov
@ 2020-06-23 15:32         ` Alexei Mezin
  0 siblings, 0 replies; 7+ messages in thread
From: Alexei Mezin @ 2020-06-23 15:32 UTC (permalink / raw)
  To: sysadmins

23.06.2020 17:42, Evgeny Sinelnikov пишет:

> - версия клиентских библиотек samba;

Вин10, Вин7, неизвестно-какой-линукс в стойках ЧПУ Сименс ит.п.

Еще раз попробую описать ситуацию:
есть организация, в ней работают люди, у них есть обычные рабочие места 
с обычными компьютерами, в основном под вин10, но есть и макось и 7ка. 
Есть домен, все рабочие места заведены в домен, всему персоналу сделаны 
учетные записи.

Есть самба-сервер с файлами. Введен в домен. Все сотрудники на него 
попадают со своих рабочих мест без проблем.

Но еще в организации есть различное оборудование, например станок с ЧПУ, 
который не факт что вообще может быть введен в домен. И тем более на нем 
непросто запустить smbclient. Но он умеет ходить по самбе на сервер, 
чтоб брать там программы, которые технолог со своего рабочего места 
выкладывает на сетевой диск. Там есть возможность ввести логин/пароль, и 
по сути логин/пароль технолога был бы уместен.

Или какая-нить установка ионного травления, к которой приставлен 
компьютер, где под локальным пользователем при пусконаладке настроено 
куча параметров в разном софте, и переносить все это на аккаунт 
доменного не факт что получится без проблем.

Сотрудники работают не только на своих "офисных" компьютерах, но и на 
установках с их компьютерами не в домене. Но при этом надо как-то 
обмениваться файлами, например с результатами работы. Не носить же их на 
дискетке!

Разумной видится ситуация, когда человек идет работать на установку с 
компьютером не в домене, и если ему нужен доступ к общим файлам, то он 
обращается к серверу, вводит свои доменные логин-пароль, и получает 
доступ с уровнем своего доменного пользователя.


Для примера: вот как выглядит попытка от _локального_ пользователя с 
самба-сервера зайти на сетевой диск с указанием имени доменного 
пользователя:

$ smbclient -U mezinav //10.17.203.251/incoming
Enter CTM\mezinav's password:
session setup failed: NT_STATUS_NO_LOGON_SERVERS

Имя домена автоматом подставлено правильно, DNS берется с контроллера 
домена.


kinit тоже не срабатывает:
$ kinit mezinav@domain
Password for mezinav@domain:
kinit: KDC reply did not match expectations while getting initial 
credentials






^ permalink raw reply	[flat|nested] 7+ messages in thread

* Re: [Sysadmins] samba в домене vs юзеры не в домене
  2020-06-23  8:53 [Sysadmins] samba в домене vs юзеры не в домене Alexei Mezin
  2020-06-23 12:10 ` Evgeny Sinelnikov
@ 2020-07-01 12:34 ` Alexei Mezin
  1 sibling, 0 replies; 7+ messages in thread
From: Alexei Mezin @ 2020-07-01 12:34 UTC (permalink / raw)
  To: sysadmins

И такой вопрос:

в указанных условиях как-то можно самбу научить понимать имена групп при 
назначении прав доступа?

Пример: захожу на сетевую шару, создаю каталог. Доменный логин 
пользователи латинскими буквами. Все нормально, есть владелец и у него 
есть права, есть группа "пользователи домена" (встроенная?), ей можно 
назначить права доступа.

В домене есть группа "Сотрудники", например. Пытаюсь назначить ей права 
доступа. В результате всегда получается вместо имени группы "объект 
S-123-XXX...", и ничего не работает. Если группа называется "Stuff", то 
ситуация не меняется.



^ permalink raw reply	[flat|nested] 7+ messages in thread

end of thread, other threads:[~2020-07-01 12:34 UTC | newest]

Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2020-06-23  8:53 [Sysadmins] samba в домене vs юзеры не в домене Alexei Mezin
2020-06-23 12:10 ` Evgeny Sinelnikov
2020-06-23 14:20   ` Alexei Mezin
2020-06-23 14:24     ` Alexei Mezin
2020-06-23 14:42       ` Evgeny Sinelnikov
2020-06-23 15:32         ` Alexei Mezin
2020-07-01 12:34 ` Alexei Mezin

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git