Hello,
(sorry for my english, i’m french and i don’t speak english very well…)
I have try to make a samba sharing in the linux server. My mission is to link the SAMBA server with a Windows AD (Windows server 2016 AD)
My configuration :
— Network 192.168.0.0/24
— 1 Server AD+DNS Windows server 2016 (192.168.0.200)
— 1 Server redundancy AD+DNS (192.168.0.201)
— 1 Server Linux with DHCP server, nginx/mariadb server and SAMBA ! CentOS 7 (192.168.202)
— 1 Client Windows 10 in the AD Domaine(192.168.0.2)
— My AD domaine is : SENSAS.local (it’s a pun in french, SENSAS, SENSAS’ionel ^^)
All windows have acces to the list of folden sharing by SAMBA, but i can’t open it ! (error of accés)
for all seting of my CentOS7 :
resolv (DNS) :
Code: Select all
[root@centos7 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search localdomain
nameserver 192.168.0.200
nameserver 192.168.0.201
nameserver 192.168.48.2
conf SAMBA :
Code: Select all
[root@centos7 ~]# cat /etc/samba/smb.conf
# Global parameters
[global]
load printers = No
printcap name = /dev/null
realm = SENSAS.LOCAL
security = ADS
workgroup = SENSAS
idmap config * : backend = tdb
cups options = raw
[data]
create mask = 0775
directory mask = 0775
path = /srv/samba/anonymous
read only = No
valid users = @"Patate@SENSAS.LOCAL"
[root@centos7 ~]#
testparam
Code: Select all
[root@centos7 ~]# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[data]"
Loaded services file OK.
idmap range not specified for domain '*'
ERROR: Invalid idmap range for domain *!
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
# Global parameters
[global]
load printers = No
printcap name = /dev/null
realm = SENSAS.LOCAL
security = ADS
workgroup = SENSAS
idmap config * : backend = tdb
cups options = raw
[data]
create mask = 0775
directory mask = 0775
path = /srv/samba/anonymous
read only = No
valid users = @Patate@SENSAS.LOCAL
[root@centos7 ~]#link of Linux with the Windows AD:
Code: Select all
[root@centos7 ~]# realm join --verbose SENSAS.local --user=administrateur
The server is well in the OU of the Windows AD !
Test Kerberos connexion to the AD Windows (is OK) :
Code: Select all
[root@centos7 ~]# kinit administrateur@SENSAS.LOCAL
Password for administrateur@SENSAS.LOCAL:
[root@centos7 ~]# klist
Ticket cache: KEYRING:persistent:0:0
Default principal: administrateur@SENSAS.LOCAL
Valid starting Expires Service principal
29/09/2018 10:04:20 29/09/2018 20:04:20 krbtgt/SENSAS.LOCAL@SENSAS.LOCAL
renew until 06/10/2018 10:04:17
[root@centos7 ~]# kdestroy
[root@centos7 ~]#
for the privilege of my folden in the server:
Code: Select all
[root@centos7 ~]# mkdir -p /srv/samba/anonymous
[root@centos7 ~]# chmod -R 0775 /srv/samba/anonymous
[root@centos7 ~]# chown -R nobody:nobody /srv/samba/anonymous
[root@centos7 ~]# chcon -t samba_share_t /srv/samba/anonymous
SElinux is off for the test:
I restart the smb/nmb service with this :
Code: Select all
[root@centos7 ~]# systemctl restart smb nmb
[root@centos7 ~]# systemctl enable smb nmb
for the firewall :
Code: Select all
[root@centos7 ~]# firewall-cmd --add-service=samba --permanent
[root@centos7 ~]# firewall-cmd --reload
In the OU (Patate) I have two users (Patate and banane):
https://prnt.sc/l03d6j
so if you can help me, it will be great !
Thanks in advance,
Best regard
Thomas
Hello All,
I have been learning Linux and working with Fedora Server for a little bit now. I have gotten some great help here and am now where I think 75% of Linux admins are… making that dang share work properly.
I have Fedora Server 26 and I also installed Webmin. Everything looks like its working perfect and I can access the folder and read from it, but I cannot write to it. I’ve been messing with this since last week and am ready to ask for help again. 
Samba Config:
# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run ‘testparm’ to verify the config is correct after
# you modified it.
[global]
realm = css.local
security = domain
guest ok = yes
map to guest = Bad User
passdb backend = tdbsam
printing = cups
printcap name = cups
load printers = yes
cups options = raw
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = root
create mask = 0664
directory mask = 0775
[veeam]
path = /home/veeam
public = yes
writeable = yes
comment = Veeam Backups
valid users = veeam
testparm (reading online, it appears that error is a bug but I really am not sure):
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section «[homes]»
Processing section «[printers]»
Processing section «[print$]»
Processing section «[veeam]»
Loaded services file OK.
idmap range not specified for domain ‘*’
ERROR: Invalid idmap range for domain *!
Server role: ROLE_DOMAIN_MEMBER
and ls:
drwxrwxrwx. 2 root root 6 Nov 1 10:42 /home/veeam
ANY help or suggestions are greatly appreciated. Thank you in advance for your time and knowledge!!
- Печать
Страницы: [1] 2 Все Вниз
Тема: SAMBA4+winbind+kerberos+AD (Прочитано 4413 раз)
0 Пользователей и 1 Гость просматривают эту тему.
civilization
Суть проблемы: настраиваю SAMBA-сервер на Ubuntu 16.04 (samba 4.3.11) с подключением к виндовому домену (уровня 2003 Server, но схема AD обновлена до 56-й версии).
smb.conf (только секция global):
Керберос и подключение к домену выполнены все норм. Однако в локальную базу nss доменные пользователи не маппируются.
В логах примерно следующее (winbindd-idmap):
Если
idmap config * : backend = tdb (или другой локальный бэкэнд), то маппирование отрабатывает (разумеется в общий домен, с соответствующим преобразованием SID-uid). MYDOM, как я понимаю, преобразуется самбой в mydom и не может найти реалм для авторизации. Собственно, testparm все названия доменов в idmap config выводит в нижнем регистре (просто остальные домены у меня не задействованы). Может кто сталкивался, как можно изменить такое поведение самбы и заставить увидеть указанный домен?
AnrDaemon
samba-tool testparmпод спойлер.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
« Последнее редактирование: 16 Ноября 2016, 15:54:07 от civilization »
AnrDaemon
idmap config mydom : range = 1000000 – 1099999А вы в AD UNIX UID пользователям назначаете из этого диапазона?…
idmap config mydom : default = yes
idmap config mydom : backend = ad
По умолчанию там от 10к идёт вообще-то.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
По умолчанию, у меня в AD вообще ничего не идёт 
, т.е. эти поля в AD пустые, я скромно надеялся, что idmap_uid их и заполнит. Для проверки сделал пользователя с заполненными полями uid и uidNumber и getent passwd опять не выдал ни одного пользователя домена (вывод в логи идентичный). Собственно, диапазон для домена в idmap был в начальных версиях конфига 10000-50000 (это ничего не давало тогда и сейчас тоже ничего не дало). Полагаю, дело всё же в трансляции имени домена в нижний регистр. Но возможно нужно присвоить uid’ы всем пользователям домена и тогда winbind сможет предоставить их в nss.
AnrDaemon
Диапазон в AD и диапазон в конфиге самбы должны совпадать.
И система должна быть настроена на смотрение в эту сторону.
cat /etc/nsswitch.confпоказывайте.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
Чем задаётся диапазон в AD?
nsswitch.conf:
AnrDaemon
В AD он задаётся схемой. Но лучше её не менять. Просто настройте Самбу на 10к+ и раздайте UID/GID пользователям, которым нужен доступ к линукс-серверу.
Внимательно смотрите, какую примари группу вы даёте пользователям… Там часто подсовывается «Administrators».
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
Просто настройте Самбу на 10к+ и раздайте UID/GID пользователям
Про диапазон idmap в Самбе уже говорил — назначал 10к+ раньше (и теперь стоит тоже 10000-50000) — это на сложившуюся проблему не влияет. Раздавать UID/GID (как я понимаю) в AD необходимо руками? Автоматическую генерацию настроить не получится? Достаточно ли будет всем пользователям и группам домена прописать легитимные UID/GID чтобы заработал idmap, или нужно будет проверять-прописывать UID всем объектам в AD (например компьютерам)? И почему тогда не смаппировался пользователь которому я назначил корректный UID (из указанного в Самбе диапазона) и ругань на некорректный диапазон в логах idmap?
AnrDaemon
Я раздавал руками, у меня немного пользователей.
Вероятно, можно что-то сделать скриптом.
Достаточно прописать пользователям и группам, причём только тем, которые вы собираетесь использовать на линухе (ну и системным, типа Domain Users/Admins).
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
Тогда вопрос остаётся открытым — очевидно, что прописывание UID/GID отдельным пользователям и группам ничем не отличается от прописывания одному пользователю, а это проблему не решило (и даже никак на неё не повлияло). То же отсутствие пользователя домена в базе nss, те же записи в логах idmap. Перепробовал разные бэкэнды (tdb, rid, ad) и разные диапазоны для них — одна и та же запись в логе idmap: invalid range ‘…-…’ specified for domain ‘mydom’. Потом ошибки неинициализирован ADS. Т.е. nss получает доменных пользователей в базу если прописать для idmap config * : backend = tdb (или другой локальный) — пользователи получают uid’ы из диапазона назначенного домену *. А вот домен прописанный по имени не работает…
AnrDaemon
Вы всё слова говорите. А диагностику скрываете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
Так, словами я описал ситуацию быстро и точно, если интересны логи — скажите какие (в логе idmap ничего нового от того, что я приводил в первом посте, только имена бэкэнда и пределы диапазона меняются — смысл ровно тот же). Что касается случая с локальным бэкэндом и доменом * то лог winbind вот (здесь видно, что домен получен в верхнем регистре и доменные пользователи отрабатывают, однако при обращении getpwnam уже нижний регистр домена):
лог idmap вот:
Если этих логов не достаточно — подскажите какие нужны еще.
« Последнее редактирование: 17 Ноября 2016, 12:10:41 от civilization »
AnrDaemon
Диагностику — покажите
getent passwd с системы с настроенным
idmap config mydom : range = 10000-131071
Пользователь добавил сообщение 17 Ноября 2016, 20:32:17:
P.S.
Вотпрямщазрабочая конфигурация.
« Последнее редактирование: 17 Ноября 2016, 20:32:17 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
civilization
Показываю:
Последние 7 строк — доменные пользователи (и ниже тоже — их много, обрезал — ситуация вроде понятна). Cейчас конфигурация idmap аналогична вашей только диапазон для mydom с 10000 начинается, ну и в AD прописал uid из указанного диапазона только одному пользователю (он в конце списка и здесь обрезан, но uid idmap ему тоже назначил из диапазона домена *, а не из AD, или хотя бы просто из диапазона mydom). А, если не секрет, откуда такая граница диапазона (131071)?
« Последнее редактирование: 17 Ноября 2016, 21:30:55 от civilization »
- Печать
Страницы: [1] 2 Все Вверх