И опять про SAMBA

iten55

New member
Сообщения
40
#1
Приветствую Алл!

Иснова все одно да потому что! Астра 1.6 смоленск. Самба настроена, с астры все видиться, астру видит но просит логин/пасс, в самбе юзер есть, ответ астры неправильный логин/пасс. Что не так?
 

Olej

New member
Сообщения
1 307
#2
Самба настроена, с астры все видиться, астру видит но просит логин/пасс, в самбе юзер есть, ответ астры неправильный логин/пасс. Что не так?
Насколько я вспоминаю (давно SAMBA в руках не держал, Бог миловал :LOL:):
1. имя пользователя должно быть одно и то же и должно быть известно и в SMB и в Linux (/etc/passwd);
2. большие-малые буквы (в имени) - Windows это пофиг, а UNIX различает;
 

iten55

New member
Сообщения
40
#3
да именно так. имя совпадает с юзером ОСи, буквы все малые, на вин машине заведен такой же юсер, более того та же история и с машиной под убунту, юзер заведен такой же. Короче астра вообше никого к себе не пускает но сама всех почти видит и везде заходит
 

Montfer

New member
Сообщения
2 364
#4
да именно так. имя совпадает с юзером ОСи, буквы все малые, на вин машине заведен такой же юсер, более того та же история и с машиной под убунту, юзер заведен такой же. Короче астра вообше никого к себе не пускает но сама всех почти видит и везде заходит
Расшаренная папка физически на винде находится или на астре?
 

iten55

New member
Сообщения
40
#5
НА Астре расшарена в смб.конфиге все атрибуты как в руководстве...... Тыкаешь на комп с астрой в сетевом окружении винды например она просит пароль/логин набираешь говорит не правильно. Хотя самба юсер заведен и СОВПАДАЕТ с юзером астры. А где ваше лежит файл с самба пасвордами?
 
Последнее редактирование:

Olej

New member
Сообщения
1 307
#6
Я уже показывал книгу:

Там по ссылке (здесь же на форуме) можете её свободно скачать.
Там до 1000 стр., и там одно из лучших описаний SMB/CIFS "на пальцах", для первого знакомства что как и где лежит.

P.S. Для профессионального использования - изложение слабовато. А вот для того, чтобы себя свободно чувствовать в Linux, по самым разным вопросам, при первом знакомстве - самое то. Книга в зарубежном исполнении (в оригинале) - мировой бестселлер.
 
Последнее редактирование:

iten55

New member
Сообщения
40
#7
Поишем. Да вот как то читать особо некогда. Я стараюсь собирать и распечатывать заметки по реальным ситациям и их решениям. Уже у самого скоро на книгу набереться )))))
 

Olej

New member
Сообщения
1 307
#8
Да вот как то читать особо некогда.
Напомнило ... как в давнем анекдоте:
... некогда думать - трусить надо!
:ROFLMAO:
В Linux читать много придётся - это вам не Windows, где можно мышкой тыкать наугад "по реальным ситациям и их решениям". Здесь если не уяснить основополагающие принципы в единую систему, то ... лучше переквалифицироваться в управдомы.
 

iten55

New member
Сообщения
40
#10
БЛ...... 100500 рас перечитываю инструкцию на сайте, 100600-й рас проверил конфиг самбы - нихрена не работает!!!
 

Olej

New member
Сообщения
1 307
#11
В Linux читать много придётся - это вам не Windows, где можно мышкой тыкать наугад "по реальным ситациям и их решениям". Здесь если не уяснить основополагающие принципы в единую систему, то ... лучше переквалифицироваться в управдомы.
Это, кстати, одно из ключевых мест назначенной миграции в Linux - обучение/переобучение персонала: вместо вырабатывания практических навыков способом тыканья мышкой в окошки - выработка знания основ способом чтения публикаций и документации.
И эти 2 подхода - 2 очень разные вещи ... как говорят в Одессе. ;)
 

Olej

New member
Сообщения
1 307
#12
БЛ...... 100500 рас перечитываю инструкцию на сайте, 100600-й рас проверил конфиг самбы - нихрена не работает!!!
Потому что нельзя пользоваться одной инструкцией - всякая инструкция хромает в деталях (а инструкции Astra, кстати, не очень по качеству).
Нужно рядом положить другую.
 

Olej

New member
Сообщения
1 307
#13
более того та же история и с машиной под убунту, юзер заведен такой же.
Ну а на Ubuntu вы можете заходить при тех же настройках?
Начните с этого.
Разделить: или это а). ошибка в конфигурациях SMB/CIFS Linux вообще, или б). особенность привнесенная мандатным доступом Астра 1.6 смоленск.
 

iten55

New member
Сообщения
40
#14
Никто на астру не может заходить. Спрашивает логин/пасс и все тут.... Не скорее это вариант б). Кстати есть интересная фишечка каторую я вычислил опытным путем - параметр security можно поставить ТОЛЬКО USER если ставишь share тестпарм начинает орать что канфиг битый.... Тоесть предполагаеться что безопасность то на уровне юзверей а не шар.
 

iten55

New member
Сообщения
40
#15
И еше интересно что в связи с этим smbpasswd лежит в /usr/bin а вот smbusers ваше нету.... Странно все это!
 

oko

New member
Сообщения
1 257
#16
to iten55
Есть одна особенность nix-администрирования. Заключается она в одном вопросе: "Что в логе?". Вот с этого следует начать, если есть проблемы...
Затем уже курить man, профильные форумы и опыт настройки (для Astra 1.6 см. Debian 9) или вообще идти на LOR (не указывая там дистрибутив этой защищенной ОС - сообщество не оценит, ага)...
Кстати, есть вторая особенность, которая заключается в закономерном требовании: "Конфиг в студию!" Не берите пример с людей, кидающихся устаревшими книжками. Показывайте конфиг, лог и формулируйте вопрос (желательно, без приписок "А в дистрибутиве ХХХ все работает") - тогда есть и смысл отвечать, и надежда получить исчерпывающий ответ...

По-существу вопроса:
Приведенный вами /usr/bin/smbpasswd - это сама утилита назначения паролей для Samba-пользователей, которая в каталоге /usr/bin и должна лежать (если вы не злостный slack'варщик, ага). Если нужен перечень юзер/хэш_пароля/права/etc, нужно делать как, например, тут: Использование базы данных smbpasswd...
Только что проверил на Astra Linux SE 1.6 (сервер) и Win 8.1 (клиент) - все работает. В отсутствие ALD, разумеется, чисто на уровне локальной базы пользователей. Пользователи заводятся стандартно:
- добавили пользователя в Astra, выставили права, вошли-вышли из системы (в примере, user1)
- создали ресурс (в примере, mkdir /mnt/smb)
- создали группу для пользователей Samba (в примере, groupadd smbgrp)
- добавили пользователей в группу (в примере, usermod -aG smbgrp user1)
- выставили права для группы на ресурс (в примере, chown -R root:smbgrp /mnt/smb и chmod -R 770 /mnt/smb)
- дали пароль Samba-пользователю, совпадающий с паролем, выставленным для пользователя в Astra (в пример, smbpasswd -a user1)
Файл конфигурации Samba почти стандартный:
[global]
workgroup = WORKGROUP
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
obey pam restrictions = yes
unix password sync = yes
passdb backend=smbpasswd:/etc/samba/smbpasswd
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
usershare allow guests = no
[test]
path = /mnt/smb
read only = no
guest ok = no

Что там с мандаткой (т.е. с попыткой доступа к ресурсу с меткой, отличной от 0) не проверял. Приведенный конфиг - банальный и начальный вариант. Остальное, как говорится, в Гугл и для самостоятельного изучения, ага...
 

ingener

New member
Сообщения
166
#17
если еще актуально....
у меня реализована работа в домене ALD и в нулевом уровне каталоги нормально доступны. но только с машин Astra Linux (Смоленск и Орел. думаю под другими linux-машинами тоже проблем не будет)
файл конфигурации стандартный, который система сформировала сама. только добавил дополнительный раздел для каталогов совместной работы.
но моя проблема в другом - на машинах с Windows при доступе к сервису запрашивается пароль. при этом билет kerberos cifs-сервиса не приходит.
в логах сервера многочисленные ошибки по поводу аутентификации пользователя, но пароль от клиентской машины не принимается
доступ к почтовому и web-сервису с машин Windows тоже нормальный.
предполагаю, что Проводник Windows не знает о существовании Kerberos и не пытается его запустить при доступе к сетевым ресурсам.
если кто решал подобную задачу - поделитесь опытом
 

oko

New member
Сообщения
1 257
#18
to ingener
Primo, разработчики Астры сами писали в wiki, что: "Astra -> AD Windows = work fine; Windows -> ALD Astra = not supported"...
Secundo, откройте ради интереса файл /etc/krb5.conf на сервере-владельце ALD Astra и обратите внимание на список алгоритмов шифрования. Их в Windows по дефолту нет (да и конкретно этой реализации, думаю, никогда и не будет). Так что Kerberos между Win и ALD Astra по умолчанию не работает...
Tertio, почта и web у вас через Kerberos/GSSAPI также работать не должны по-идее. Если все-таки работают, то поделитесь, пожалуйста, секретом...
Last, соответственно, авторизация в Samba под ALD Astra из Windows возможна исключительно в режиме pam-аутентификации, без использования kerberos...
 
Последнее редактирование:

iten55

New member
Сообщения
40
#19
to iten55

[/spoiler]
Файл конфигурации Samba почти стандартный:
[global]
workgroup = WORKGROUP
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
obey pam restrictions = yes
unix password sync = yes
passdb backend=smbpasswd:/etc/samba/smbpasswd
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
usershare allow guests = no
[test]
path = /mnt/smb
read only = no
guest ok = no

Что там с мандаткой (т.е. с попыткой доступа к ресурсу с меткой, отличной от 0) не проверял. Приведенный конфиг - банальный и начальный вариант. Остальное, как говорится, в Гугл и для самостоятельного изучения, ага...
Мой конфиг: Ваше нихрена Астра в сети машины видит наполовину хотя мастербраузер сети работает на линуксе.

root@astra:~# testparm -s
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "syslog" option is deprecated
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "syslog" option is deprecated
Processing section "[homes]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[shared]"
Loaded services file OK.
Server role: ROLE_STANDALONE

# Global parameters
[global]
dns proxy = No
domain master = No
interfaces = 127.0.0.0/8 192.168.1.0/24
local master = No
log file = /var/log/samba/log.%m
map to guest = Bad User
max log size = 1000
obey pam restrictions = Yes
pam password change = Yes
panic action = /usr/share/samba/panic-action %d
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd program = /usr/bin/passwd %u
preferred master = No
security = USER
server role = standalone server
syslog = 0
unix password sync = Yes
usershare allow guests = Yes
workgroup = ITEN-NET
idmap config * : backend = tdb


[homes]
comment = Home Directories
create mask = 0777
directory mask = 0777
read only = No
valid users = %S


[printers]
browseable = No
comment = All Printers
create mask = 0700
path = /var/spool/samba
printable = Yes


[print$]
comment = printer drivers
path = /var/lib/samba/printers


[shared]
case sensitive = Yes
comment = share Astra
create mask = 0777
directory mask = 0777
force create mode = 0777
force directory mode = 0777
fstype = Samba
guest ok = Yes
path = /shared
read only = No
smb encrypt = if_required
 

oko

New member
Сообщения
1 257
#20
to iten55
У вас же простейший конфиг имеется - возьмите его, разберитесь и допиливайте под себя. Предварительно ознакомившись с манами по Samba, епть...
Навскидку, в вашем конфиге есть две проблемы:
  • idmap config * : backend = tdb - это только для случая интеграции Samba в Active Directory (а у вас server role = standalone server);
  • interfaces = 127.0.0.0/8 192.168.1.0/24 - ман, конечно, позволяет указывать IP-подсети, но я б на вашем месте указал наименование сетевого интерфейс (например, eth0) или вообще отказался бы от использования данной опции (в глобальных настройках или настройках каждой шары проще прописать hosts allow = 192.168.1. для подсети 192.168.1.0/24 или нечто более конкретное по IP-адресам).