Portál AbcLinuxu, 6. června 2024 03:22


Dotaz: samba - přihlášení

5.1.2011 16:53 killer258
samba - přihlášení
Přečteno: 1483×
Odpovědět | Admin

Zdravím snažím se přejít z severu woken na linux. Vše jsem relativně sprovoznil a odpovídá mi to požadaků (dhcp, dns). Skončil jsem u samby kterou jsem nastavil, pustil a po ručním zaregistrování počítače do domény mohu počítač nastavit že je v doméně a běži to. Problém je však když se chci přihlásti uživatelem z domény že mi vyhodí hlášku. System windows nemůže naléz severou kopii vašeho cestovníh profilu atd. s tím že mě přihlásí došasným profile. Koncová pc jsou windows xp možná do budoucna i 7. zkoušel jsem u všejaké nápady a nic mi nepomáhá. Prosím o pomoc zde je muj

smb.conf # from UNKNOWN (0.0.0.0)

# Date: 2011/01/04 19:33:41

 

[global]

#nazev domeny

workgroup = testdhcp.local

#jmeno pocitace

netbios name = dhcp

#sifrovani hesel

encrypt passwords = yes

#samba jako hlavni domenovz prohlizec domain

master = yes

#samba jako lokalni domenovy prohlizec

local master = yes

#volba primarniho prohlizece

os level = 65

#zabezpeceni

security = user

#samba se stara o prihlaseni do domeny

domain logons = Yes

# cesta pro ukladani sitovych profilu

logon path = \\%L\profiles\%u\%m

#definice automatickeho scripu pridavani do domeny

add machine script = /usr/sbin/useradd -c "Machine account" - /dev/null -g 200 -s /bin/false %u

dns proxy = no

server string = samba 3.5.6-69.fc13

guest ok = no

guest account = nobody

 

[profiles]

path = /home/roaming

browsable = no

writable = yes

create mask = 0600

directory mask = 0700

 

[homes]

comment = Home Directories

browseable = no

writable = yes public = yes

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Řešení 1× (Martin H.)
8.1.2011 13:14 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: samba - přihlášení
Odpovědět | | Sbalit | Link | Blokovat | Admin
Tady se to řešilo a tohle by mělo být řešení: http://www.abclinuxu.cz/poradna/linux/show/320133#3

Stačí Copy/Paste a úprava podle místních potřeb.

Proč: Windows hledají cestovní profil a pokud ho nenajdou, mají problém.

Řešení1: Nastavit Sambu (viz výše), aby podporovala cestovní profily

Řešení2: Ve Windows nastavit, že PC používají lokální (místní) profil. Tím však přijdete o výhody cestovního profilu.

Bohužel jsem v Sambě nenašel možnost, jak to vypnout - ve Win SRV stačí jen nezadat cestu k cestovnímu profilu ... v Sambě nevím ... třeba někdo poradí i toto :-)

Poznámka: Nezapomeňte, že uživatel musí mít do složky pro zápis cestovního profiu právo zápisu! To bývá nejčastější chyba.

Důležitá je sekce pro PROFILES adresáře, ty jsem ve výpisu neuvedl. Používám následující: 
[PROFILES]
 comment = Síťové profily uživatelů
 path    = /SMB/PROFILES/%U     #Zde si dejte vlastní cestu, %U ponechte na konci! 
                                #Bude zastupovat složku se stejným názvem, jako je login. 
                                #Samozřejmě složka musí existovat!
 read only = no
 create mask = 0600
 directory mask = 0700          
 store dos attributes = yes
 browseable = yes               # Nebo NO, pokud chcete složky skrýt.
 profile acls = yes
A tohle stačí ... ať se podaří.
--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---
11.1.2011 00:03 killer258
Rozbalit Rozbalit vše Re: samba - přihlášení
díky moc za radu, vysvětlení jsem našel v knížce SAMBA, ale to co mi píšeš je super použiji to pro další nastavení.

Jinak definice přesněji je po nastudování knihy.

Samba neumí vytvářet lokální profily doméních účtů - toto je věc microsoft serveru. Toto lze kombinovat pouze nastvení řízení serveru kerberos za použítím ldap správy účtů. A ani to nemusí vždy být podporováno dle verze Windows.

Takže výsledek je takový. 1)Uživatelé se hlásí lokálními účty na lokální stanice. Pokud mají schodný logina a passwd můžou přistupovat k sdíleným složkám. 2)Uživatelé se hlásí k cestovnímu profilu, který není vytvořen na serveru. Připojí se jak serveru tak do systému pouze nemohou nic nainstalovat - systém neukládá jejich profil. (Toto nyní využiji u nastavení free internetových stanic) 3)Uživatelé mají cestovní profil na serveru, a tím i vytovřený doméní profil na koncovém zařízení. (je tu však nebezpečí, že se zapomenou odhlásit a přihlásí se jinde, následně provedou modifikaci a vypnou stanici 2 a potom jedna a přepíší si data v profilech - což mi nevyhovuje)

Ještě jednou moc díky za script využiju ho
11.1.2011 01:20 VSi | skóre: 28
Rozbalit Rozbalit vše Re: samba - přihlášení
Trochu bych to korigoval (na základě reálných zkušeností):

1) Uživatelé se hlásí lokálními účty na lokální stanice. Pokud mají schodný login a a passwd, můžou přistupovat k sdíleným složkám (nebo se jich to zeptá na login+password).

2) Stanice je v registrována doméně, lidi přihlašují "K doméně XYZ". Windows ověří jméno a heslo na Samba serveru. Windows se zeptají Samba serveru na LOGON_PATH - ten odpoví hodnotou parametru logon path.

2a) LOGON_PATH existuje, je tam platný cestovní profil == tento se zkopíruje na PC a s ním se pracuje. Při odhlášení se zkopíruje zpět (možná jen změny). Hrozí ono riziko s přihlášením na více PC zároveň. Profily mají také tendenci narůstat na objemu (vlivem blbě napsaných aplikací, nebo aplikací blbě zkonfigurovaných pro "na desktopu nestandardní" situaci) - lze řešit automatizovanou kontrolou a důslednou konfigurací všech souvisejících věcí. Dále je vhodné cestovní profily mazat z lokální cache, protože když je někde uložen rozbitý profil (a nevíte přesně kde všude), má tento tendenci se kopírovat zpět na server i potom, co tam má uživatel nový opravený profil.

2b) LOGON_PATH neexistuje, ale lze tam zapisovat == PC si zkopíruje výchozí cestovní profil buď z NETLOGON sdílení, nebo není-li tam, tak použije lokální. Počínaje odhlášením vše pracuje jako ve 2a).

2c) LOGON_PATH neexistuje, a uživatel ho nemůže vytvořit (nemá práva zápisu nebo windows vyhodnotí práva té složky jako "špatná" - lze dohledat, souvisí s volbou profile acls v smb.conf) == Windows vypíšou hlášku o chybovém stavu, a že se použije dočasný profil, který se při odhlášení zahodí. Tohle je chyba v konfiguraci, a rozhodně bych to nepoužíval. Minimálně vypadá blbě, že to hlásí chybu. Pro "free" stanice slouží řešení zvané mandatory profile.

2d) LOGON_PATH je prázdný -- tj. v smb.conf je nastavena prázdná hodnota ("logon path = \n", to \n je odřádkování) == PC pro uživatele použije lokální profil. Tento buď existuje od minula, nebo se vytvoří stejným způsobem jako ve 2b), ale nekopíruje se zpět na server.

2e) Ještě je možné v local group policy nebo v Registry na daném PC úplně zakázat cestovní profily, a pak to odpovídá chování ve 2d).

Používám i to, že obsah smb.conf lze pomocí parametrů a include rozlišit pro různé stroje. Takže normálně mají uživatelé cestovní profily, a na speciálních stanicích mají všichni lokální.

A tohle:
Samba neumí vytvářet lokální profily doméních účtů - toto je věc microsoft serveru. Toto lze kombinovat pouze nastvení řízení serveru kerberos za použítím ldap správy účtů. A ani to nemusí vždy být podporováno dle verze Windows.
by si zasloužilo bližší vysvětlení. Bohužel nevím, jak je to myšleno. Každopádně Samba3 doménový řadič + Kerberos kombinovat nelze. Kerberos je základní částí Active Directory (což je win doména od Server 2000 výše). Samba4 se snaží (je to ve vývoji) o funkce odpovídající AD. Ještě lze Windows přesvědčit ke spolupráci se samotným Kerberos serverem i bez jakékoliv domény (vyšel tu o tom seriál), ale to nepovažuji za nějak užitečné. Jestli Samba3 používá LDAP, to s tímhle nesouvisí. Ale opět je LDAP jednou z částí AD.
12.1.2011 00:22 killer258
Rozbalit Rozbalit vše Re: samba - přihlášení
tak tohle v té knížce nebylo, je psaná pro sambu 2 kdy byl maximalně server 2000.Novější v knihovně nebyla, takže si určitě ozkouším tvoji radu. Nejlepe jak to vypada tak asi 2d.

Díky moc

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.