При security = DOMAIN & запущенном winbind все работает — виндовые клиенты домена заходят на шары без запроса имя/пароль. Ставлю АДС — никого не пускает. smb.conf:[global] workgroup = NEWINTECH realm = NEWINTECH.COM server string = samba %v on %h security = ADS password server =serv.newintech.com passdb backend = tdbsam client lanman auth = No client plaintext auth = No domain master = No ldap ssl = no host msdfs = Yes idmap uid = 10000-20000 idmap gid = 10000-20000 template primary group = «domain users» template shell = /bin/sh
nsswitch.conf: group: files winbind hosts: files dns passwd: files winbind shells: files /etc/pam.d/login: auth required pam_nologin.so no_warn auth sufficient /usr/local/lib/pam_winbind.so auth sufficient /usr/lib/pam_unix.so use_first_pass auth sufficient pam_self.so no_warn auth include system account requisite pam_securetty.so account include system session include system password include system /etc/krb5.conf: [libdefaults] default_realm = NEWINTECH.COM default_etypes = des-cbc-crc default_etypes_des = des-cbc-crc [domain_realm] .newintech.com = NEWINTECH.COM [realms] newintech.com = < kdc = serv.newintech.com > wbutil , tdbdump winbindd_idmap.tdb работают, net ads join — успешно. При попытке зайти на шару — Failed to verify incoming ticket! Понимаю, что проблема — Керберос, но что именно?
Страница 1 из 1
[ 1 сообщение ]
Версия для печати
Пред. тема | След. тема
Часовой пояс: UTC + 4 часа
Кто сейчас на конференции
Зарегистрированные пользователи: Bing [Bot]
Источник
debian7 Samba 3.6 security = ADS vs password server = dc
Добрый день настраиваю файлополомойку, с авторизацией в домене , контроллеров домена по городу до фига и я не хочу чтобы самба выбирала тот который ей вздумается, решалось все параметром password server = (на самбе 3.5). А сейчас закатываю новый сервер с реп самба 3.6 и теперь ему понимаете ли не указывай он сам у DC спросит(не принимает параметр password server = если в security указано ADS). Подскажите как его заставить работать только с нужными серверами. Спасибо.
А как именно он его «не принимает»? Что говорит testparm -s?
В мане этот параметр по-прежнему присутствует.
WARNING: The setting ‘security=ads’ should NOT be combined with the ‘password server’ parameter. и прозрачно намекает (by default Samba will discover the correct DC to contact automatically).
А, ну это просто предупреждение, что так делать нежелательно. Работать будет, см. ман.
Да слушайте жара голова не варит) чего то начал дергаться) думал он его игнорит. Не люблю я всякие варнинги) Вообще непонятно мне такое отношение к этому параметру сети то почитай у всех распределенные) или вошла мода на каждый филиал свой домен заводить, а я это пропустил)
да и вообще оставлять выбор за машиной и не знать в какой момент какой сервак используется по моему не камельфо)
Ну, тут есть пара важных моментов: отказоустойчивость и масштабируемость. В случае выхода из строя какого-то DC при автоматическом выборе контроллера служба продолжит работу. Кроме того, в таком случае при изменении конфигурации сети не потребуется переконфигурировать службу.
Ну по поводу отказа устойчивости не соглашусь ибо (password server = NT-PDC, NT-BDC1, NT-BDC2, *) можно ведь и так написать, а по поводу масштабируемости можно на каком нибудь основном сервере написать скрипт который будет синхронизировать файл с остальными по тому-же scp, у меня например так и сделано. Автоматизация хороша когда она предсказуема ,а когда «Если список серверов содержит имена/IP адреса и символ ‘*’ , список будет обработан как список предпочтительных доменных контроллеров и кроме этого, в список будут занесены те доменные контроллеры, которые получены с помощью авто поиска (auto lookup). Самба НЕ будет пытаться оптимизировать этот список, определяя ближайший доменный контроллер» так это не так уж и классно.
