forum.opennet.ru

1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | Архив | Избранное | Мое | Новое | ☳ | ☶ | ⚟

Форум Samba, вопросы интеграции Unix и Windows

Samba 46 не пускает гостя,

ma.uanick, (Аутентификация) 16-Фев-18, 18:41 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

https losst ru nastrojka-samba-v-ubuntu-15-10, eugene.raynor (ok), 23:54 , 20-Фев-18 (1)
https://losst.ru/nastrojka-samba-v-ubuntu-15-10
сообщить модератору +/– ответить

взял конфиг с вышеприведенной статьи Таже самая ошибка Error returning browse li, ma.uanick (ok), 19:00 , 21-Фев-18 (2)
> https://losst.ru/nastrojka-samba-v-ubuntu-15-10
взял конфиг с вышеприведенной статьи.
Таже самая ошибка
Error returning browse list: NT_STATUS_ACCESS_DENIED
еще есть какие то идеи

сообщить модератору +/– ответить

sudo apt -y install samba samba-common python-glade2 system-config-sambasudo gro, eugene.raynor (ok), 21:52 , 22-Фев-18 (3)
>> https://losst.ru/nastrojka-samba-v-ubuntu-15-10
> взял конфиг с вышеприведенной статьи.
> Таже самая ошибка
> Error returning browse list: NT_STATUS_ACCESS_DENIED
> еще есть какие то идеи
sudo apt -y install samba samba-common python-glade2 system-config-samba
sudo groupadd opergroup
sudo mkdir -p /home/samba/.public
sudo mkdir -p /home/samba/.private
sudo chmod -R 0755 /home/samba/.public
sudo chmod -R 0755 /home/samba/.private
sudo useradd -M -G opergroup mtm
sudo smbpasswd -a mtm
sudo smbpasswd -e mtm
sudo mkdir -p /home/samba/.public/mtm
sudo mkdir -p /home/samba/.private/mtm
sudo chmod -R 0775 /home/samba/.public/mtm
sudo chmod -R 0770 /home/samba/.private/mtm
sudo chown -R mtm:mtm /home/samba/.public/mtm
sudo chown -R mtm:mtm /home/samba/.private/mtm
sudo service smbd restart
sudo service nmbd restart

[global]
workgroup = home
netbios name = homesrv
interfaces = 192.168.0.20/24
server role = standalone server
server string = %h (samba server %v)
name resolve order = lmhosts host wins bcast
dns proxy = no
wins proxy = yes
time server = yes
wins support = yes
os level = 34
local master = yes
preferred master = yes
syslog = 0
syslog only = no
max log size = 1000
log file = /etc/samba/log.%m
panic action = /usr/share/samba/panic-action %d
security = user
passdb backend = tdbsam
encrypt passwords = yes
unix password sync = yes
pam password change = yes
obey pam restrictions = yes
passwd program = /usr/bin/passwd %u
passwd chat = *enter\snew\s*\spassword:* %n\n *retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully*
[.private]
path = /home/samba/.private
valid users = @opergroup
directory mask = 0770
create mask = 0770
read only = no
guest ok = no
[.public]
path = /home/samba/.public
valid users = @opergroup
directory mask = 0775
create mask = 0775
read only = no
guest ok = no

в тексте файла конфигурации самбы меняешь IP-адрес на свой и больше можно ничего не трогать. с удалённой Windows-машины заходишь по адресу или подключаешь сетевые диски, логинишься...

net use p: \\192.168.0.20\.private
net use q: \\192.168.0.20\.public
сообщить модератору +/– ответить

Сложности с Debian 10 в качестве клиентской машины члена АД,

dr.anatolij, (Разное) 03-Авг-19, 21:23 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

У шапок есть подробная инструкция - https access redhat com documentation en-u, ACCA (ok), 04:26 , 10-Авг-19 (1)
У шапок есть подробная инструкция - https://access.redhat.com/documentation/en-us/red_hat_enterp...
Есть альтернативный подход - выбросить AD и использовать FreeIPA. Сразу отпадают грабли вроде папок вида admin1@dc.com. Из приятных фишек - NFSv4 сильно быстрее SAMBA.
сообщить модератору +/– ответить

Александр, спасибо большое Как с вами можно связаться если есть такая возможн, dr.anatolij (ok), 15:18 , 11-Авг-19 (2)
Александр, спасибо большое. Как с вами можно связаться? (если есть такая возможность). Нуждаюсь в консультациях.
сообщить модератору +/– ответить

Сейчас это будет очень неудобно Чем можно - помогут здесь Там особо нечего конс, ACCA (ok), 08:02 , 13-Авг-19 (3)
> Нуждаюсь в консультациях.
Сейчас это будет очень неудобно. Чем можно - помогут здесь.
Там особо нечего консультировать - софт нужно ставить однотипный на всех машинах, домашние каталоги юзеров монтировать через NFSv4.
FreeIPA ставится с полпинка, но нужно всё делать аккуратно - и прямая зона в DNS должна быть уникальная, и обратную зону не полениться сделать. Особо обрати внимание на NTP - часы на всех машинах должны идти правильно, иначе Kerberos работать не будет.
Из необычного - с FreeIPA лучше не пользоваться DHCP. Хаки существуют, но, строго говоря, они вредны. Новый компьютер не должен автоматически получать адрес в твоей сети.
сообщить модератору +/– ответить

samba, winbind и имена пользователей.,

samtro, (Samba) 02-Фев-18, 10:14 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Шо, аналитики с хабра ниасилили , pavlinux (ok), 18:51 , 02-Фев-18 (1)
> <code>
> </code>
> <code>
> </code>
Шо, аналитики с хабра ниасилили?

сообщить модератору +/– ответить

Samba 4 ldap VS кириллица,

ПавелС, (Контроллер домена (PDC) и samba) 01-Мрт-19, 15:19 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

убедитесь что локаль окружения выставлена правильно и понимает входящий поток в , eRIC (ok), 17:28 , 01-Мрт-19 (1) +3
> Пытаюсь
> samba-tool user create test --given-name=Тест --mail-addres=test@example.local
> Ругается на кириллицу.
> Можно это как то победить
убедитесь что локаль окружения выставлена правильно и понимает входящий поток в UTF-8 формате. попробуйте в консоле проверить через:
#env
#set LC_ALL=en_US.UTF-8
#samba-tool user create test --given-name='Тест' --mail-addres=test@example.local
сообщить модератору +3 +/– ответить

Локаль выставлена правильно была Спасибо за желание помочь Помогло гугление ана, Анкх (?), 18:42 , 01-Мрт-19 (2)
>> Пытаюсь
>> samba-tool user create test --given-name=Тест --mail-addres=test@example.local
>> Ругается на кириллицу.
>> Можно это как то победить
> убедитесь что локаль окружения выставлена правильно и понимает входящий поток в UTF-8
> формате. попробуйте в консоле проверить через:
> #env
> #set LC_ALL=en_US.UTF-8
> #samba-tool user create test --given-name='Тест' --mail-addres=test@example.local
Локаль выставлена правильно была. Спасибо за желание помочь.
Помогло гугление аналогичных ошибок.
Решение:
добавить в начало /usr/lib/python2.7/site-packages/samba/netcmd/user.py
```
import sys
reload(sys)
sys.setdefaultencoding('utf8')
```
сообщить модератору +/– ответить

как быстрый хак, согласен использование sys setdefaultencoding в python в итог, eRIC (ok), 21:01 , 01-Мрт-19 (3) +1
> Решение:
> добавить в начало /usr/lib/python2.7/site-packages/samba/netcmd/user.py
>

> import sys
> reload(sys)
> sys.setdefaultencoding('utf8')
>
как быстрый хак, согласен.
использование sys.setdefaultencoding() в python в итоге может приводит к различным нежеланным последствиям. с одной стороны не рекомендуется, а с другой стороны строго не запрещается, в итоге: для тех кто понимает что делает. почитайте на досуге ;)
сообщить модератору +1 +/– ответить

gt оверквотинг удален Меня чг это теоретически не очень интересует, надо чтоб , ПавелС (ok), 21:36 , 01-Мрт-19 (4)
>[оверквотинг удален]
>>

>> import sys
>> reload(sys)
>> sys.setdefaultencoding('utf8')
>>
> как быстрый хак, согласен.
> использование sys.setdefaultencoding() в python в итоге может приводит к различным нежеланным
> последствиям. с одной стороны не рекомендуется, а с другой стороны строго
> не запрещается, в итоге: для тех кто понимает что делает. почитайте
> на досуге ;)
Меня чг это теоретически не очень интересует, надо чтоб работало и все. Но спасибо за внимание.
сообщить модератору +/– ответить

Найдите отличие Кратко - кириллические имена пользователей необходимо заключа, Pofigist (?), 12:58 , 05-Мрт-19 (5)

>>> samba-tool user create test --given-name=Тест --mail-addres=test@example.local
>> samba-tool user create test --given-name='Тест' --mail-addres=test@example.local
Найдите отличие. :)
Кратко - кириллические имена пользователей необходимо заключать в кавычки. :)
сообщить модератору +/– ответить

Доступ к UFS файловой системе по smb-протоколу.,

korbnikmail.ru, (Разное) 26-Сен-18, 10:35 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

А что, на windows-клиентах , Ajavrik (??), 13:45 , 26-Сен-18 (1)
А что, на windows-клиентах
> net use z: \\nitbiosname\"зашаренная дмректория" не срабатывает?
> Добрый день!
> Как настроить зашаренную ufs файловую систему так, чтобы можно было по smb
> протоколу windows-клиентам получить доступ к ней?
> И можно ли так сделать?
> Файловая система настроена на Oracle Solaris 11.3 и SMB Server настроен в
> Workgroup Mode.
> Заранее благодарен.
> С уважением, Борис.
сообщить модератору +/– ответить

Да, всё срабатывает , korbnik (ok), 17:24 , 26-Сен-18 (2)
> А что, на windows-клиентах
>> net use z: \\nitbiosname\"зашаренная дмректория" не срабатывает?
>> Добрый день!
>> Как настроить зашаренную ufs файловую систему так, чтобы можно было по smb
>> протоколу windows-клиентам получить доступ к ней?
>> И можно ли так сделать?
>> Файловая система настроена на Oracle Solaris 11.3 и SMB Server настроен в
>> Workgroup Mode.
>> Заранее благодарен.
>> С уважением, Борис.
Да, всё срабатывает.
сообщить модератору +/– ответить

winbind жалуется,

Hylotros, (Samba) 10-Сен-18, 17:25 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Для чего С какой целью Зайди на гугл транслейт - если в техническом английском , Аноним (1), 18:50 , 10-Сен-18 (1)
> Пытаюсь запустить самбу,
Для чего? С какой целью?
> помогите чайнику решить проблему
Зайди на гугл транслейт - если в техническом английском совсем ни бе, ни ме, и загони то, что тебе "выдает" winbind в переводчик. В частности, перевод фразы "Could not fetch our SID - did we join?" по идее, должен навести на правильные мысли, что возвращает нас к первому моему вопросу - на кой тебе запускать самбу? Ты вообще понимаешь, что это, и для чего те или иные службы предназначены?
сообщить модератору +/– ответить
ответ, eRIC (ok), 07:29 , 11-Сен-18 (2)
> winbindd[1597]: Could not fetch our SID - did we join?
> winbindd[1597]: unable to initialize domain list
ответ
сообщить модератору +/– ответить
gt оверквотинг удален Надо ввести в домен sambу Что то типа net ads join -U , ПавелС (ok), 10:58 , 12-Сен-18 (3)
>[оверквотинг удален]
> details.
> systemctl status winbind
> winbindd[1597]: [2018/09/10 14:28:24.103693, 0] ../source3/winbindd/winbindd_cache.c:3170(initialize_winbindd_cache)
> winbindd[1597]: initialize_winbindd_cache: clearing cache and re-creating with version
> number 2
> winbindd[1597]: [2018/09/10 14:28:24.108913, 0] ../source3/winbindd/winbindd_util.c:891(init_domain_list)
> winbindd[1597]: Could not fetch our SID - did we join?
> winbindd[1597]: [2018/09/10 14:28:24.109046, 0] ../source3/winbindd/winbindd.c:1404(winbindd_register_handlers)
> winbindd[1597]: unable to initialize domain list
> помогите чайнику решить проблему
Надо ввести в домен sambу. Что то типа #net ads join -U administrator.
сообщить модератору +/– ответить

Использование pam_mkhomedir.so для создания персональных шар,

Nortrum, (Аутентификация) 23-Авг-18, 15:30 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вы плохо знаете домен винды, там ведь помимо учеток пользователей присуствуют , Сергей (??), 09:57 , 24-Авг-18 (1)
> Всем доброго дня!
> Каталоги создаются в /home/domain/username и все бы хорошо, но так же создаются
> и хомяки для машинных учеток, типа - machinename$. Они ничего не
> ломают, но очень мешают. Когда я попытался отрубить аутентификацию машин и
> оставил только domain users, некоторым пользователям стало отказывать в доступе.
> Хотелось бы понять зачем эти системные учетки ходят на samba сервер и
> можно ли от них как-то избавиться?
Вы плохо знаете домен винды, там ведь помимо учеток пользователей присуствуют и учетки компов, введенных в домен со всеми вытекающими отсюда следствиями...
сообщить модератору +/– ответить
gt оверквотинг удален для учетных записей компьютеров установить параметр HOM, test (??), 03:47 , 27-Авг-18 (2)
>[оверквотинг удален]
> пользователей при логине из домена Windows. В smb.conf есть опция "obey
> pam restrictions = yes", что позволяет управлять сессией пользователя при помощи
> pam (кроме аутентификации). В конфиге /etc/pam.d/samba подключен модуль pam_mkhomedir.so
> и сейчас все работает.
> Каталоги создаются в /home/domain/username и все бы хорошо, но так же создаются
> и хомяки для машинных учеток, типа - machinename$. Они ничего не
> ломают, но очень мешают. Когда я попытался отрубить аутентификацию машин и
> оставил только domain users, некоторым пользователям стало отказывать в доступе.
> Хотелось бы понять зачем эти системные учетки ходят на samba сервер и
> можно ли от них как-то избавиться?
для учетных записей компьютеров установить параметр $HOME в /dev/null
сообщить модератору +/– ответить

Проблема в том, что пользователи не хранятся в passwd, а импортятся через winbin, Nortrum (ok), 10:49 , 28-Авг-18 (3)

>> можно ли от них как-то избавиться?
> для учетных записей компьютеров установить параметр $HOME в /dev/null
Проблема в том, что пользователи не хранятся в passwd, а импортятся через winbind. Не посоветуете, как можно назначать им $HOME? И кстати, а если $HOME будет не каталогом, разве тогда не будет использоваться /root?
сообщить модератору +/– ответить

а где назначается формат home domain username вот там для учеток машин сделать , xxxx (??), 14:23 , 28-Авг-18 (4)
>>> можно ли от них как-то избавиться?
>> для учетных записей компьютеров установить параметр $HOME в /dev/null
> Проблема в том, что пользователи не хранятся в passwd, а импортятся через
> winbind. Не посоветуете, как можно назначать им $HOME? И кстати, а
> если $HOME будет не каталогом, разве тогда не будет использоваться /root?
а где назначается формат /home/domain/username?
вот там для учеток машин сделать /home/computers/username, либо переназначить $HOME через pam_env...
сообщить модератору +/– ответить

FreeBSD: mount_smbfs и SMB2 с Windows Server 2008R2,

Allan Stark, (Аутентификация) 25-Июл-18, 14:35 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Достаточно и на проблемном боевом сервере удалить ключ SMB1 в SYSTEM CurrentCo, Allan Stark (ok), 15:32 , 25-Июл-18 (1)
Достаточно и на "проблемном боевом" сервере удалить ключ SMB1 в SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters и перезагрузить, чтобы mount_smbfs прекрасно начал отрабатывать. так что проблема действительно в том, что mount_smbfs не умеет в SMB2/3 :(
сообщить модератору +/– ответить

Продолжайте держать нас в курсе , Аноним (2), 19:40 , 25-Июл-18 (2)
> Достаточно и на "проблемном боевом" сервере удалить ключ SMB1 в SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
> и перезагрузить, чтобы mount_smbfs прекрасно начал отрабатывать. так что проблема действительно
> в том, что mount_smbfs не умеет в SMB2/3 :(
Продолжайте держать нас в курсе!
сообщить модератору +/– ответить

с функцией create mask = 740 в шаре файлы с правами 760,

Jack Jack, (ACL, блокировки и ограничения) 28-Ноя-17, 14:15 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

fsnotify на эвент create повесь , pavlinux (ok), 17:21 , 02-Дек-17 (1)
> могли бы записать файлы и не иметь возможности редактировать их.
fsnotify на эвент create повесь
сообщить модератору +/– ответить

Если можешь, расскажи более подробно, что ты имеешь ввиду, Jack Jack (ok), 10:34 , 04-Дек-17 (2) –1

> fsnotify на эвент create повесь
Если можешь, расскажи более подробно, что ты имеешь ввиду

сообщить модератору –1 +/– ответить

Мне тоже интересно Я даже через поисковик не нашел зацепки, Yuiliman (ok), 21:43 , 18-Дек-17 (3) –1
>> fsnotify на эвент create повесь
> Если можешь, расскажи более подробно, что ты имеешь ввиду
Мне тоже интересно. Я даже через поисковик не нашел зацепки
сообщить модератору –1 +/– ответить

gt оверквотинг удален distrib path home shares distribvalid users RK a, eugene.raynor (ok), 15:33 , 09-Фев-18 (4)
>[оверквотинг удален]
> [distrib]
>     comment = Admins share
>     path = /home/shares/distrib
>     browseable = no
>     writable = yes
>     create mask = 0770
>     directory mask = 0777
>     valid users = "@RK\admins"
>     inherit owner = yes
> Подскажите как запретить группе admins права на запись в samba?
[distrib]
path = /home/shares/distrib
valid users = "@RK\admins"
directory mask = 0740
create mask = 0740
read only = no
guest ok = no
sudo chmod -R 0740 /home/shares/distrib
sudo chown -R admin:admins /home/shares/distrib
владельцу полные права, группе - только чтение, остальные пусть гуляют лесом. в крайней строчке необходимо прописать владельца и основную группу.
з.ы. лично мне неизвестна возможность записывать файлы, но не иметь возможности их редактировать. разве что организовать перекладку в каталог только для чтения...
сообщить модератору +/– ответить

gt оверквотинг удален Попробуй добавить в global это параметрunix extensions , Maximus (??), 09:48 , 10-Июл-18 (5)
>[оверквотинг удален]
> directory mask = 0740
> create mask = 0740
> read only = no
> guest ok = no
> sudo chmod -R 0740 /home/shares/distrib
> sudo chown -R admin:admins /home/shares/distrib
> владельцу полные права, группе - только чтение, остальные пусть гуляют лесом. в
> крайней строчке необходимо прописать владельца и основную группу.
> з.ы. лично мне неизвестна возможность записывать файлы, но не иметь возможности их
> редактировать. разве что организовать перекладку в каталог только для чтения...
Попробуй добавить в global это параметр
unix extensions = no
сообщить модератору +/– ответить

OpenLDAP и Active Directory,

Денис, (Разное) 29-Ноя-10, 22:32 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Active Directory это и есть LDAP, берите контакты напрям, rusadmin (ok), 09:57 , 02-Дек-10 (1)
>[оверквотинг удален]
> Есть: AD (2003) + Kerio Mail + The Bat (клиент).
> Нужно: чтобы пользователи The Bat могли получать актуальную адресную книгу из AD
> Решил поставить OpenLDAP-сервер для этого. Поставить - вроде поставил. Демон даже запустился.
> Только не пойму как дальше-то быть? Сможет оно брать из AD
> данные, чтобы потом по 389 порту отдавать клиентам и как это
> проверить? Или это вообще не нужно и можно сделать проще?
> Вопрос смены софта не обсуждает - предыдущий админ всё это купил, деньги
> уже уплочены. Хотя я бы перешёл на CommuniGate, но "Боржоми" пить
> уже поздновато :(
> Спасибо за советы и ответы.
Active Directory это и есть LDAP, берите контакты напрямую из нее.
Исходя из собственного опыта скажу одно - связка LDAP+TheBat затея плохая, адресная книга не добавляется - контакты из лдап достаются только поиском.
У себя в конторе просто разместили в шаре файл адресной книги, с которой все работают. А для ее установки написал приложение, которое эту адресную книгу добавляет в TheBat опираясь на данные из реестра.
Если надо - скину =)
сообщить модератору +/– ответить

Проблема с winbind,

Константин, (Контроллер домена (PDC) и samba) 28-Фев-18, 06:07 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

krb5 conf libdefaults ticket_lifetime 24000default_realm GOU LOCALdefault_t, Константин (??), 12:41 , 28-Фев-18 (1)
krb5.conf:
[libdefaults]
ticket_lifetime = 24000
default_realm = GOU.LOCAL
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
dns_lookup_realm = true
dns_lookup_kdc = true
dns_fallback = yes
[realms]
GOU.LOCAL = {
kdc = GOU.LOCAL:88
default_domain = GOU.LOCAL
}
[domain_realm]
.GOU.LOCAL= GOU.LOCAL
GOU.LOCAL = GOU.LOCAL
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
сообщить модератору +/– ответить

интересует исправление mpp и перенос с project 98 на 2003,

fedarstrel, (Только Windows специфика) 17-Дек-17, 23:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

чрезе то, что выдает поисковик https onlinefilerepair com ru project-repair-on, Yuiliman (ok), 22:29 , 19-Дек-17 (1)
> С новыми файлами все в порядке, а со старым беда...да, еще и разность в версиях большая..тут может быть банальная несовместимость или просо повредили файл, так что попробуйте исправление mpp
чрезе то, что выдает поисковик https://onlinefilerepair.com/ru/project-repair-online.html
ну или сами подобное попробуйте....ваше право

сообщить модератору +/– ответить

samba in docker,

doker, (Samba) 02-Дек-16, 16:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Стартуй самбу ни как демон, и будет тебе счастье Вот тебе пример http pastebi, shadow_alone (ok), 20:18 , 02-Дек-16 (1)
Стартуй самбу ни как демон, и будет тебе счастье:
Вот тебе пример: http://pastebin.com/i0yHp50P
сообщить модератору +/– ответить

А в чём там прикол,что оно демоном не хочет , stalker37 (ok), 14:53 , 05-Дек-16 (2)
> Стартуй самбу ни как демон, и будет тебе счастье:
> Вот тебе пример: http://pastebin.com/i0yHp50P
А в чём там прикол,что оно демоном не хочет?
сообщить модератору +/– ответить
уже читал этот пример, но на этот момент внимания не обратил, спасибо запустил, doker (ok), 16:23 , 05-Дек-16 (3)
> Стартуй самбу ни как демон, и будет тебе счастье:
> Вот тебе пример: http://pastebin.com/i0yHp50P
уже читал этот пример, но на этот момент внимания не обратил, спасибо!! запустилось.
псы. присоединяюсь в вопросу - а почему ? ))
сообщить модератору +/– ответить

А потому что это докер и там несколько по другому всё работает - забудь о поня, shadow_alone (ok), 16:28 , 05-Дек-16 (4)
> уже читал этот пример, но на этот момент внимания не обратил, спасибо!!
> запустилось.
> псы. присоединяюсь в вопросу - а почему ? ))
А потому что это докер :)
и там несколько по другому всё работает - забудь о понятии демона в докере.
сообщить модератору +/– ответить

потому что основной поток завершается после запуска демонов и докер считает что , Евгений (??), 11:20 , 13-Сен-17 (5)
>> уже читал этот пример, но на этот момент внимания не обратил, спасибо!!
>> запустилось.
>> псы. присоединяюсь в вопросу - а почему ? ))
потому что основной поток завершается после запуска демонов и докер считает что процессы сдохли и пора завершаться.
надо в конце entrypoint скрипта добавлять tail -f /var/log/messages или что то что будет ждать завершения бесконечно.
Например стартовать самбу не как демон. (как советовали выше)

сообщить модератору +/– ответить

Samba не авторизует при отключении PDC,

kuksha12, (Аутентификация) 21-Июн-17, 14:02 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Лучше смотреть wbinfo -tНадо точно быть уверенным считав, ПавелС (ok), 15:48 , 21-Июн-17 (1)

При отключённом AD1 dig нормально отдаёт зону, причём отвечает именно AD2 я его, kuksha12 (ok), 17:02 , 21-Июн-17 (2) –1
При отключённом AD1:
>> В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
>> одна и та же зона DNS)
> Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
> Причем должны быть записи для dc2. Скорее всего samba не находит контроллер
> домена по DNS.
dig нормально отдаёт зону, причём отвечает именно AD2 (я его первым поставил в resolv.conf)
> Лучше смотреть wbinfo -t
Сделал - в ответ молчание :(
Эм... и что может быть?

сообщить модератору –1 +/– ответить

Я бы хотел посмотреть что он отдает, а именно записи касающиеся сервисов AD2 , ПавелС (ok), 20:40 , 21-Июн-17 (4) –1
> При отключённом AD1:
>>> В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
>>> одна и та же зона DNS)
>> Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
>> Причем должны быть записи для dc2. Скорее всего samba не находит контроллер
>> домена по DNS.
> dig нормально отдаёт зону, причём отвечает именно AD2 (я его первым поставил
> в resolv.conf)
Я бы хотел посмотреть что он отдает, а именно записи касающиеся сервисов AD2.
>> Лучше смотреть wbinfo -t
> Сделал - в ответ молчание :(
> Эм... и что может быть?
сообщить модератору –1 +/– ответить
gt оверквотинг удален Я думаю через какой контроллер ты вводил в домен, к тому, ПавелС (ok), 20:46 , 21-Июн-17 (5)
>[оверквотинг удален]
>>> В /etc/resolv.conf прописаны IP обоих контроллеров - AD1 и AD2 (на них
>>> одна и та же зона DNS)
>> Надо точно быть уверенным считав на сервере dig MYDOMAIN.RU ANY
>> Причем должны быть записи для dc2. Скорее всего samba не находит контроллер
>> домена по DNS.
> dig нормально отдаёт зону, причём отвечает именно AD2 (я его первым поставил
> в resolv.conf)
>> Лучше смотреть wbinfo -t
> Сделал - в ответ молчание :(
> Эм... и что может быть?
Я думаю через какой контроллер ты вводил в домен, к тому самба и привязана. Введёшь через вторичный, будет всё наоборот - с ним будет работать а с первичным нет.
сообщить модератору +/– ответить

Вывод dig DiG 9 10 1 mydomain ru any global options cmd Got an, kuksha12 (ok), 10:52 , 22-Июн-17 (6)
>Я бы хотел посмотреть что он отдает, а именно записи касающиеся сервисов AD2.
Вывод dig:
; <<>> DiG 9.10.1 <<>> mydomain.ru any
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34954
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;mydomain.ru.                IN    ANY
;; ANSWER SECTION:
mydomain.ru.            600    IN    A    192.168.1.3
mydomain.ru.            600    IN    A    192.168.1.2
mydomain.ru.            3600    IN    NS    ad4.mydomain.ru.
mydomain.ru.            3600    IN    NS    ad1.mydomain.ru.
mydomain.ru.            3600    IN    NS    ad2.mydomain.ru.
mydomain.ru.            3600    IN    SOA    ad2.mydomain.ru. . 45531 900 600 86400 3600
mydomain.ru.            3600    IN    MX    10 mail.mydomain.ru.
mydomain.ru.            0    IN    TYPE65281 \# 20 00000000000000020000038400000001C0A86407
;; ADDITIONAL SECTION:
ad4.mydomain.ru.        3600    IN    A    192.168.1.9
ad1.mydomain.ru.        3600    IN    A    192.168.1.2
ad2.mydomain.ru.        3600    IN    A    192.168.1.3
mail.mydomain.ru.        3600    IN    A    192.168.1.22
;; Query time: 0 msec
;; SERVER: 192.168.1.3#53(192.168.1.3)
;; WHEN: чт июн 22 10:34:46 MSK 2017
;; MSG SIZE  rcvd: 273
PS:
ad4 - это новый контроллер домена, 2012-й, на который я буду переползать. Там только DNS, в AD пока не вводил.
Если ещё что-то вывести - скажи что именно.
> Я думаю через какой контроллер ты вводил в домен, к тому самба
> и привязана. Введёшь через вторичный, будет всё наоборот - с ним
> будет работать а с первичным нет.
Класс... и на кой тогда вообще резервные контроллеры домена и AD... Только для Винды?
Вообще, я обычно ввожу не через контроллер, а из строки самого сервера с самбой, что-то вроде этого:
net ads join -U administrator -D DOMAIN_NAME
А вот как это делал автор этого сервера - не знаю...
Не, я не против, просто знать бы - где эта привязка?
сообщить модератору +/– ответить

gt оверквотинг удален Должны быть DNS записи как в пункте Пример регистрации , ПавелС (ok), 11:59 , 22-Июн-17 (8)
>[оверквотинг удален]
> ad2.mydomain.ru.  3600 IN A 192.168.1.3
> mail.mydomain.ru.  3600 IN A 192.168.1.22
> ;; Query time: 0 msec
> ;; SERVER: 192.168.1.3#53(192.168.1.3)
> ;; WHEN: чт июн 22 10:34:46 MSK 2017
> ;; MSG SIZE  rcvd: 273
> PS:
> ad4 - это новый контроллер домена, 2012-й, на который я буду переползать.
> Там только DNS, в AD пока не вводил.
> Если ещё что-то вывести - скажи что именно.
Должны быть DNS записи как в пункте "Пример регистрации имен" вот этой статьи http://itband.ru/2010/03/active-directory-works-with-dns/. По ним и происходит поиск служб Active Directory.
>[оверквотинг удален]
>> Я думаю через какой контроллер ты вводил в домен, к тому самба
>> и привязана. Введёшь через вторичный, будет всё наоборот - с ним
>> будет работать а с первичным нет.
> Класс... и на кой тогда вообще резервные контроллеры домена и AD... Только
> для Винды?
> Вообще, я обычно ввожу не через контроллер, а из строки самого сервера
> с самбой, что-то вроде этого:
> net ads join -U administrator -D DOMAIN_NAME
> А вот как это делал автор этого сервера - не знаю...
> Не, я не против, просто знать бы - где эта привязка?
сообщить модератору +/– ответить

Насколько смог, разобрался в дереве DNS Manager на виндовом сервере - эти четыре, kuksha12 (ok), 13:30 , 22-Июн-17 (9)
> Должны быть DNS записи как в пункте "Пример регистрации имен" вот этой
> статьи http://itband.ru/2010/03/active-directory-works-with-dns/. По ним и происходит
> поиск служб Active Directory.
Насколько смог, разобрался в дереве DNS Manager на виндовом сервере - эти четыре записи из статьи у меня есть.
Запросил dig:
#dig -t srv _ldap._tcp.mydomain.ru _kerberos._tcp.mydomain.ru _ldap._tcp.dc._msdcs.mydomain.ru _kerberos._tcp.dc._msdcs.mydomain.ru
Вот его вывод, только мусор вырезал:
;; QUESTION SECTION:
;_ldap._tcp.mydomain.ru.              IN      SRV
;; ANSWER SECTION:
_ldap._tcp.mydomain.ru.       600     IN      SRV     0 100 389 ad2.mydomain.ru.
_ldap._tcp.mydomain.ru.       600     IN      SRV     0 100 389 ad1.mydomain.ru.
;; QUESTION SECTION:
;_kerberos._tcp.mydomain.ru.          IN      SRV
;; ANSWER SECTION:
_kerberos._tcp.mydomain.ru.   600     IN      SRV     0 100 88 ad2.mydomain.ru.
_kerberos._tcp.mydomain.ru.   600     IN      SRV     0 100 88 ad1.mydomain.ru.
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.mydomain.ru.    IN      SRV
;; ANSWER SECTION:
_ldap._tcp.dc._msdcs.mydomain.ru. 600 IN      SRV     0 100 389 ad1.mydomain.ru.
_ldap._tcp.dc._msdcs.mydomain.ru. 600 IN      SRV     0 100 389 ad2.mydomain.ru.
;; QUESTION SECTION:
;_kerberos._tcp.dc._msdcs.mydomain.ru.        IN      SRV
;; ANSWER SECTION:
_kerberos._tcp.dc._msdcs.mydomain.ru. 600 IN  SRV     0 100 88 ad1.mydomain.ru.
_kerberos._tcp.dc._msdcs.mydomain.ru. 600 IN  SRV     0 100 88 ad2.mydomain.ru.
;; ADDITIONAL SECTION:
ad1.mydomain.ru.             3600    IN      A       192.168.1.2
ad2.mydomain.ru.             3600    IN      A       192.168.1.3
Где ещё покопаться?
сообщить модератору +/– ответить

ЗАРАБОТАЛО Правда, я не понимаю в чём дело запросил klist и очередной р, kuksha12 (ok), 14:00 , 22-Июн-17 (10)
ЗАРАБОТАЛО!!!
Правда, я не понимаю в чём дело... :(
запросил
#klist
и очередной раз увидел, что билет просрочен. В общем, он в последнее время постоянно просрочен и почему-то не обновляется, но при этом всё работает.
Выключил AD1, и сделал
#kinit -p admin@MYDOMAIN.RU
Успешно получил билет. После чего сразу же успешно зашёл на самбовский сервер при по-прежнему отключенном AD1 и работающем AD2 !!! :)
Перерегистрировать в домене я понятное дело не стал.
То есть, билет для авторизации не нужен, но должен работать сервер, который его выдавал...
Тогда получается, что в порядке вещей, что при выключении контроллера домена, который выдал билет, самба перестаёт пускать клиентов пока билет не обновится на каком-то из рабочих контроллеров AD? Тогда выходит, что резервирование контроллеров AD при наличии самбы в Сети - чисто условное, без пинка не взлетит...
В общем у меня в голове каша... кто поможет привести серое вещество в порядок?
PS:
И почему билет не продляется автоматически я пока тоже не пойму...
сообщить модератору +/– ответить

Да всё просто без билета samba аутентифицирует по ntlm не по kerberos, а в этом, ПавелС (ok), 14:36 , 28-Июн-17 (11)

> В общем у меня в голове каша... кто поможет привести серое вещество
> в порядок?
Да всё просто: без билета samba аутентифицирует по ntlm не по kerberos, а в этом случае она не ищет в DNS SRV записи. Вобщем в той статье что я давал написано, что для клиентов не понимающих SRV записи имеет смысл иметь A записи для домена, указывающие на сервера. Например
MYDOMAIN.LOCAL IN A 192.168.0.1
MYDOMAIN.LOCAL IN A 192.168.0.3
Или может для ntlm режима происходит поиск по WINS.

сообщить модератору +/– ответить

Не силён в АД, но может в этом случае имеет значение, является ли AD2 глобальным, Exploit (ok), 20:23 , 21-Июн-17 (3)
Не силён в АД, но может в этом случае имеет значение, является ли AD2 глобальным каталогом?
сообщить модератору +/– ответить

Да, роли глобального каталога не было Добавил Не помогло wbinfo -tchecking t, kuksha12 (ok), 11:05 , 22-Июн-17 (7)
Да, роли глобального каталога не было. Добавил. Не помогло:
# wbinfo -t
checking the trust secret for domain GM via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret

Может репликация какая-то не прошла, не знаю как проверить...
сообщить модератору +/– ответить

samba 4 & win7,

Энди, (Samba) 02-Май-17, 17:18 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

hosts allow на Самбе , Andrew Kolchoogin (ok), 11:02 , 03-Май-17 (1)
> [2017/05/02 17:15:23.692846, 0] ../source3/lib/access.c:338(allow_access)
> Denied connection from 10.10.10.2 (10.10.10.2)
"hosts allow" на Самбе?
сообщить модератору +/– ответить

там все честно, адрес есть в списке разрешенных , Энди (ok), 14:43 , 20-Июн-17 (2)
>> [2017/05/02 17:15:23.692846, 0] ../source3/lib/access.c:338(allow_access)
>> Denied connection from 10.10.10.2 (10.10.10.2)
> "hosts allow" на Самбе?
там все честно, адрес есть в списке разрешенных.
сообщить модератору +/– ответить

Разница авторизации Samba в режимах Windows Server 2000 и 2003,

kuksha12, (Контроллер домена (PDC) и samba) 17-Май-17, 16:52 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Перегружайся были бы у вас XP или хотя win98 2000 можно было бы и подумать, , Сергей (??), 23:18 , 17-Май-17 (1)
Перегружайся... были бы у вас XP или хотя win98/2000 можно было бы и подумать, а так...
сообщить модератору +/– ответить

Сделал ход конём, что называется выдернул провод из основного контроллера и пер, kuksha12 (ok), 12:46 , 18-Май-17 (2)
Сделал ход конём, что называется: выдернул провод из основного контроллера и перезагрузил "вторичный" (то есть он теперь точно 2003).
В такой конфигурации - с машинок юзеров отвалился доступ к Samba. Кроме самбовского сервера все остальные ресурсы работают.
При проверке с неё не проходит команда wbinfo -t Запись сервера myserver в DNS есть, пользователи тоже на месте. Может WINS каким-то боком нужен?
Отключил от сети этот контроллер и подключил старый, ещё не перезагруженный - всё заработало. wbinfo -t показал, что всё в порядке.
В настройках самбы криминала не вижу:
realm = MYDOMAIN.RU
netbiosname = myserver
security = ads
hosts allow = 192.168.1. 127.
auth methods = winbind
client NTLMv2 auth = yes
encrypt passwords = yes
В krb5.conf в "kdc = " прописаны оба сервера...
сообщить модератору +/– ответить

А у меня все в порядке было Правда пришлось одну саму самбу перегрузить и с, Сергей (??), 16:25 , 18-Май-17 (3) +1
> Сделал ход конём, что называется: выдернул провод из основного контроллера и перезагрузил
> "вторичный" (то есть он теперь точно 2003).
> В krb5.conf в "kdc = " прописаны оба сервера...
А у меня все в порядке было... Правда пришлось одну саму самбу перегрузить и снова ввести в домен, а вторая без проблем...
сообщить модератору +1 +/– ответить

Вот это любопытно а подробнее можно Как определили, что этой самбе перезагру, kuksha12 (ok), 17:00 , 18-Май-17 (4)
> А у меня все в порядке было... Правда пришлось одну
> саму самбу перегрузить и снова ввести в домен, а вторая без
> проблем...
Вот это любопытно... а подробнее можно? Как определили, что этой самбе перезагрузка и перерегистрация потребовались? Какие команды?
(в том смысле, что она же наверняка в домене числилась и часть проверок проходила нормально)
сообщить модератору +/– ответить

Да уже и не вспомнить лет 10-ть прошло Сейчас вместо нее юзаем версию 4 3 , Сергей (??), 09:29 , 19-Май-17 (5)
>> А у меня все в порядке было... Правда пришлось одну
>> саму самбу перегрузить и снова ввести в домен, а вторая без
>> проблем...
> Вот это любопытно... а подробнее можно? Как определили, что этой самбе перезагрузка
> и перерегистрация потребовались? Какие команды?
> (в том смысле, что она же наверняка в домене числилась и часть
> проверок проходила нормально)
Да уже и не вспомнить лет 10-ть прошло... Сейчас вместо нее юзаем версию 4.3...
сообщить модератору +/– ответить

Samba 3.4.7 и Win 10. Будут работать?,

velik, (Samba) 16-Май-17, 13:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

От Windows 3 11 до Windows 99 вообще никогда не трогал Всё в самбе , pavlinux (ok), 03:48 , 17-Май-17 (1)
> Для win7 там нужно было
От Windows 3.11 до Windows 99 вообще никогда не трогал. Всё в самбе.
сообщить модератору +/– ответить

Ну как же, даже вон у них страница целая есть оказывается про win 7 с правкой ре, velik (?), 07:44 , 17-Май-17 (2)
>> Для win7 там нужно было
> От Windows 3.11 до Windows 99 вообще никогда не трогал. Всё в
> самбе.
Ну как же, даже вон у них страница целая есть оказывается про win 7 с правкой реестра
https://wiki.samba.org/index.php/Required_Settings_for_Samba...
а вот есть еще строчка про 10ку и server max protocol = NT1
кто-нибудь пробовал? реально работает?
сообщить модератору +/– ответить

На 7-ке и 8-ке сработало, а вот как на 10-ке не пробовал, Сергей (??), 09:02 , 17-Май-17 (3)
>>> Для win7 там нужно было
>> От Windows 3.11 до Windows 99 вообще никогда не трогал. Всё в
>> самбе.
> Ну как же, даже вон у них страница целая есть оказывается про
> win 7 с правкой реестра
> https://wiki.samba.org/index.php/Required_Settings_for_Samba...
На 7-ке и 8-ке сработало, а вот как на 10-ке не пробовал
сообщить модератору +/– ответить

samba IPC$,

doker, (Контроллер домена (PDC) и samba) 10-Май-17, 19:40 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Сам ответил, сам спросил https www samba org samba docs man Samba-HOWTO, pavlinux (ok), 04:03 , 17-Май-17 (1)
> ибо шара в конфиге описана , а вот с IPC$ как быть ?
Сам ответил, сам спросил... :)

> в гугле как будто просто не обращают внимание на это.
https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/...
сообщить модератору +/– ответить

Взломали SAMBA,

silent79, (Разное) 07-Апр-17, 12:09 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Да чел наверное не через самбу зашел, а через что-то другое, Сергей (??), 13:12 , 07-Апр-17 (1)

Вот именно, а скорее всего даже была завирусована машина в локалке, которая имел, Sherlock (?), 20:22 , 07-Апр-17 (2)

Нет, тут 100 все произошло не из локальной сети, т к в логах iptables виден ip, silent79 (ok), 22:27 , 07-Апр-17 (3) –1
> Вот именно, а скорее всего даже была завирусована машина в локалке, которая
> имела доступ к этой шаре на запись, вот шифровальщик все и
> зашифровал. Ждите звонка от пользователя с криками, мама, я все потерял(а),
> с меня требуют 100500 баксов
Нет, тут 100% все произошло не из локальной сети, т.к. в логах iptables виден ip адрес тот же что и в логах Samba и обращение шло на 445 порт.
сообщить модератору –1 +/– ответить

значит он у вас все таки не был закрыт для мира как и 137, 139, 445 должны быть, eRIC (ok), 11:27 , 08-Апр-17 (4)
> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
> iptables виден ip адрес тот же что и в логах Samba
> и обращение шло на 445 порт.
значит он у вас все таки не был закрыт для мира (как и 137, 139, 445 должны быть закрыты для мира), давно известная уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).

сообщить модератору +/– ответить

Нормальные провайдеры закрывают самба-порты на уровне свитчей для предотвращен, count0krsk (ok), 11:31 , 09-Апр-17 (5)
>> Нет, тут 100% все произошло не из локальной сети, т.к. в логах
>> iptables виден ip адрес тот же что и в логах Samba
>> и обращение шло на 445 порт.
> значит он у вас все таки не был закрыт для мира (как
> и 137, 139, 445 должны быть закрыты для мира), давно известная
> уязвимость через порт 445 (tcp port 445 vulnerabilities в гугле).
Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast трафика, расползания червей и судебных исков. Так что даже если он был открыт на "сервере", дальше свитча не должен был пролезть.
сообщить модератору +/– ответить

Интернет поднимается на сервере и Samba на нем же , silent79 (ok), 12:50 , 09-Апр-17 (6)
> Нормальные провайдеры "закрывают" самба-порты на уровне свитчей для предотвращения broadcast
> трафика, расползания червей и судебных исков. Так что даже если он
> был открыт на "сервере", дальше свитча не должен был пролезть.
Интернет "поднимается" на сервере и Samba на нем же.
сообщить модератору +/– ответить

Попробуйте поснифать внешний интерфейс Там не будет характерной активности smb , count0krsk (ok), 08:23 , 19-Апр-17 (12)
> Интернет "поднимается" на сервере и Samba на нем же.
Попробуйте поснифать внешний интерфейс. Там не будет характерной активности smb. или подключиться в её порты на какой-нибудь внешний комп. Провайдер не даст.
сообщить модератору +/– ответить

Авторизация через winbind в nsswitch conf прикручена Доступ извне по ssh к маши, tonys (??), 17:05 , 10-Апр-17 (7)
> В данный момент "дыры Samba залатаны", на данном сервере хранились резервные копии,
> поэтому не особо интересны, но все же...
Авторизация через winbind в nsswitch.conf прикручена?
Доступ извне по ssh к машине есть?
В sshd_config есть ограничения в AllowUsers?

сообщить модератору +/– ответить

нетнетнетДоступ шел именно с интернет IP адреса по порту 445 , silent79 (ok), 17:55 , 10-Апр-17 (8)
> Авторизация через winbind в nsswitch.conf прикручена?
> Доступ извне по ssh к машине есть?
> В sshd_config есть ограничения в AllowUsers?
нет
нет
нет
Доступ шел именно с интернет IP адреса по порту 445.
сообщить модератору +/– ответить

Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а поч, sherlock (ok), 04:39 , 11-Апр-17 (9)
>> Авторизация через winbind в nsswitch.conf прикручена?
>> Доступ извне по ssh к машине есть?
>> В sshd_config есть ограничения в AllowUsers?
> нет
> нет
> нет
> Доступ шел именно с интернет IP адреса по порту 445.
Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а почему же взломали? иногда головой надо думать
сообщить модератору +/– ответить

А ты типа доадмин Если бы прочитал всю тему, то понял бы о чем тут вопрос Я не, silent79 (ok), 08:44 , 11-Апр-17 (10)
> Расходимся пани, этот недоадмин выставил самбу в интернет и нас спрашивает а
> почему же взломали? иногда головой надо думать
А ты типа доадмин. Если бы прочитал всю тему, то понял бы о чем тут вопрос. Я не спрашиваю почему и как взломали. Я писал что файерволом было запрещено, но доступ был получен. Мне интересны потерянные данные, что тот "...нельзя тут ругаться..." мог с ними сделать - удалил, спрятал, зашифровал?! Потому как через интернет он делал бы это не одну неделю, с тем количеством данных и скоростью интернета, а судя по логам он сделал это за пару часов ночью.
Анализируя логи, IP адрес откуда было это сделано, доступ был только через samba.
сообщить модератору +/– ответить

1 У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше, sherlock (ok), 09:32 , 11-Апр-17 (11)

> Анализируя логи, IP адрес откуда было это сделано, доступ был только через
> samba.
1. У меня самба в инет даже не смотрит, значит квалификация у меня сильно повыше!!!
2. Наличие запрещающего правила в фаере - не означает что оно работает :) (значит написано не там и неправильно), это надо анализировать все правила.
3. Вот понятно, что тебе залили шифровальщик и локально все зашифровали, как и через что ты можешь никогда и не найти, если следы поудаляли, как правило такие вещи за собой хорошо подчищают, чтобы ключ нельзя было найти.
4. Просто забей, данные потеряны, на такие случае даже разработчики антивирусов как правило говорят - усё.
Хотя есть варианты, но это к касперскому и им подобным, у него были утилиты по расшифровке для какого-то конкретного шифровальщика.
сообщить модератору +/– ответить

Как в Samba настроить наследование ACL, отличное от rwx?,

vkapas, (ACL, блокировки и ограничения) 02-Апр-17, 19:35 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Насколько я помню, наследуются default acl родительского, Павел Самсонов (?), 10:14 , 05-Апр-17 (1)
>[оверквотинг удален]
> «New files inherit their read/write bits from the parent directory. Their execute
> bits continue to be determined by map archive, map hidden and
> map system as usual».
> (https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)
> И здесь же про inherit acls —
> «Enabling this option sets the unix mode to 0777, thus guaranteeing that
> default directory acls are propagated».
> (https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)
> То есть при наследовании ACL принудительно выставляются в rwx и изменить это
> нельзя?
Насколько я помню, наследуются default acl родительского каталога. Я не вижу в Вашем getfacl ни одного default acl.
сообщить модератору +/– ответить

gt оверквотинг удален Наследуются default acl родителя code pavel voshka pa, Павел Самсонов (?), 10:34 , 05-Апр-17 (2)
>[оверквотинг удален]
>> map system as usual».[/I]
>> (https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)
>> И здесь же про inherit acls —
>> [I]«Enabling this option sets the unix mode to 0777, thus guaranteeing that
>> default directory acls are propagated».[/I]
>> (https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.h...)
>> То есть при наследовании ACL принудительно выставляются в rwx и изменить это
>> нельзя?
> Насколько я помню, наследуются default acl родительского каталога. Я не вижу в
> Вашем getfacl ни одного default acl.
Наследуются default acl родителя:
```
pavel@voshka:~/parent$ umask 000
pavel@voshka:~/parent$ touch file
pavel@voshka:~/parent$ mkdir dir
pavel@voshka:~/parent$ getfacl ./
# file: .
# owner: pavel
# group: pavel
user::rwx
group::rw-
other::---
default:user::rw-
default:group::r--
default:other::---pavel@voshka:~/parent$ getfacl *
# file: dir
# owner: pavel
# group: pavel
user::rw-
group::r--
other::---
default:user::rw-
default:group::r--
default:other::---
# file: file
# owner: pavel
# group: pavel
user::rw-
group::r--
other::---
```
А для выставить 750 на каталог а на файл 640 например, лучше использовать в описании шары
```
  create mask = 0640
  directory mask = 0750
```
сообщить модератору +/– ответить

Спасибо Направление вроде и правильное, но li create mask и directory mask при, vkapas (ok), 00:51 , 06-Апр-17 (3)
Спасибо. Направление вроде и правильное, но:
create mask и directory mask при включённом в samba наследовании (inherit permissions), увы, игнорируются, о чём прямо сказано в мане;
права rw- из default при работе через samba наследуются как-то странно, та же маска на файл зачем-то устанавливается в rwx. (А учитывая, что добавлять default нужно на каждого пользователя, в моём случае проще оставить как есть.)
$ getfacl .
# file: .
# owner: user
# group: user
user::rwx
user:ivanov:rwx
group::rwx
mask::rwx
other::---
default:user::rw-
default:user:ivanov:rw-
default:group::rw-
default:mask::rw-
default:other::---
$ getfacl ./dir
# file: dir
# owner: user
# group: user
user::rwx
user:user:rwx
user:ivanov:rw-
group::rw-
group:user:rw-
mask::rwx
other::---
default:user::rwx
default:user:user:rwx
default:user:ivanov:rw-
default:group::rw-
default:group:user:rw-
default:mask::rwx
default:other::---
$ getfacl ./file
# file: file
# owner: user
# group: user
user::rw-
user:user:rw-
user:ivanov:rw-
group::rw-
group:user:rw-
mask::rwx
other::---
сообщить модератору +/– ответить
Ты путаешь ACL и Unix permissions Это разные вещи и управляются по-разному Пер, ACCA (ok), 05:43 , 11-Апр-17 (4)
>[оверквотинг удален]
> create mask = 0640
> directory mask = 0750
Ты путаешь ACL и Unix permissions. Это разные вещи и управляются по-разному. Перечитай ещё раз маны Samba, обращая внимание на разницу между ACL и permissions.
сообщить модератору +/– ответить

Настройка SAMBA сервера,

d0m0v0y, (Аутентификация) 17-Янв-17, 15:43 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Правильная дорога 770 это 7 для Ivanov и 7 для группы t, ПавелС (ok), 21:45 , 17-Янв-17 (1)

gt оверквотинг удален Вроде разобрался Шары создал, группы создал, все пропи, d0m0v0y (ok), 16:30 , 20-Янв-17 (3)

gt оверквотинг удален На каталоги это на каталоги С какими правами создаются , Павел Самсонов (?), 11:06 , 22-Янв-17 (5)
>[оверквотинг удален]
>>
> Вроде разобрался...
> Шары создал, группы создал, все прописал.
> Но, теперь новая трабла.
> Если Ivanov, вносит изменения в существующий файл, то Petrov, не может внести
> изменения в этот файл. МОжет работать с ним только в режиме
> чтения
> Чего не хватает в правах?
> drwxrwx---
> Сейчас на каталоги стоят вот такие права.
На каталоги это на каталоги. С какими правами создаются файлы? Покажи ls -la share.
В моем примере должны отрабатыват, create mask = 660, directory mask = 770, force group = group. Тогда файлы создаются 660 с группой group (которой дано 6 - rw).
сообщить модератору +/– ответить

gt оверквотинг удален Команды указанные вами я в smb conf не прописывал Если я, d0m0v0y (ok), 09:20 , 23-Янв-17 (6)
>[оверквотинг удален]
>> изменения в этот файл. МОжет работать с ним только в режиме
>> чтения
>> Чего не хватает в правах?
>> drwxrwx---
>> Сейчас на каталоги стоят вот такие права.
> На каталоги это на каталоги. С какими правами создаются файлы? Покажи ls
> -la share.
> В моем примере должны отрабатыват, create mask = 660, directory mask =
> 770, force group = group. Тогда файлы создаются 660 с группой
> group (которой дано 6 - rw).
Команды указанные вами я в smb.conf не прописывал.
Если я их сейчас пропишу - вновь созданные файлы, будут иметь уже "правильные" права? :)
Если это не запрещено правилами ресурса, я разместил скрин на фотохостинге:
http://images.vfl.ru/ii/1485152272/50b5c256/15786181.jpg
Заранее спасибо вам за помощь!
сообщить модератору +/– ответить

gt оверквотинг удален Да должны иметь права каталоги - 770 файлы - 660 с групп, Павел Самсонов (?), 10:15 , 23-Янв-17 (7)
>[оверквотинг удален]
>>> drwxrwx---
>>> Сейчас на каталоги стоят вот такие права.
>> На каталоги это на каталоги. С какими правами создаются файлы? Покажи ls
>> -la share.
>> В моем примере должны отрабатыват, create mask = 660, directory mask =
>> 770, force group = group. Тогда файлы создаются 660 с группой
>> group (которой дано 6 - rw).
> Команды указанные вами я в smb.conf не прописывал.
> Если я их сейчас пропишу - вновь созданные файлы, будут иметь уже
> "правильные" права? :)
Да должны иметь права каталоги - 770 файлы - 660 с группой, указанной в force group.
> Если это не запрещено правилами ресурса, я разместил скрин на фотохостинге:
> http://images.vfl.ru/ii/1485152272/50b5c256/15786181.jpg
> Заранее спасибо вам за помощь!
сообщить модератору +/– ответить
gt оверквотинг удален Ну на скрине на саму папку разрешения нормальные, а , Павел Самсонов (?), 10:17 , 23-Янв-17 (8)
>[оверквотинг удален]
>> На каталоги это на каталоги. С какими правами создаются файлы? Покажи ls
>> -la share.
>> В моем примере должны отрабатыват, create mask = 660, directory mask =
>> 770, force group = group. Тогда файлы создаются 660 с группой
>> group (которой дано 6 - rw).
> Команды указанные вами я в smb.conf не прописывал.
> Если я их сейчас пропишу - вновь созданные файлы, будут иметь уже
> "правильные" права? :)
> Если это не запрещено правилами ресурса, я разместил скрин на фотохостинге:
> http://images.vfl.ru/ii/1485152272/50b5c256/15786181.jpg
Ну на скрине на саму папку "." разрешения нормальные, а файлы создаются не с той группой, и для группы нет разрешения "w".
> Заранее спасибо вам за помощь!
сообщить модератору +/– ответить

gt оверквотинг удален Для правильных прав я вношу изменения в конфиг, как вы, d0m0v0y (ok), 11:12 , 23-Янв-17 (9)
>[оверквотинг удален]
>>> 770, force group = group. Тогда файлы создаются 660 с группой
>>> group (которой дано 6 - rw).
>> Команды указанные вами я в smb.conf не прописывал.
>> Если я их сейчас пропишу - вновь созданные файлы, будут иметь уже
>> "правильные" права? :)
>> Если это не запрещено правилами ресурса, я разместил скрин на фотохостинге:
>> http://images.vfl.ru/ii/1485152272/50b5c256/15786181.jpg
> Ну на скрине на саму папку "." разрешения нормальные, а файлы создаются
> не с той группой, и для группы нет разрешения "w".
>> Заранее спасибо вам за помощь!
Для "правильных" прав я вношу изменения в конфиг, как вы написали выше, рестартую и тестирую?
Так?
сообщить модератору +/– ответить

gt оверквотинг удален Да Можно на старые файлы сделатьcd sharesudo chgrp -R tr, ПавелС (ok), 19:03 , 23-Янв-17 (10)
>[оверквотинг удален]
>>> Если я их сейчас пропишу - вновь созданные файлы, будут иметь уже
>>> "правильные" права? :)
>>> Если это не запрещено правилами ресурса, я разместил скрин на фотохостинге:
>>> http://images.vfl.ru/ii/1485152272/50b5c256/15786181.jpg
>> Ну на скрине на саму папку "." разрешения нормальные, а файлы создаются
>> не с той группой, и для группы нет разрешения "w".
>>> Заранее спасибо вам за помощь!
> Для "правильных" прав я вношу изменения в конфиг, как вы написали выше,
> рестартую и тестирую?
> Так?
Да.
Можно на старые файлы сделать
cd share
sudo chgrp -R traffics .
sudo -R chmod g+w .
сообщить модератору +/– ответить

gt оверквотинг удален Этими командами я на ранее записанные файлы раздам пра, d0m0v0y (ok), 12:46 , 24-Янв-17 (11)
>[оверквотинг удален]
>>> не с той группой, и для группы нет разрешения "w".
>>>> Заранее спасибо вам за помощь!
>> Для "правильных" прав я вношу изменения в конфиг, как вы написали выше,
>> рестартую и тестирую?
>> Так?
> Да.
> Можно на старые файлы сделать
> cd share
> sudo chgrp -R traffics .
> sudo -R chmod g+w .
Этими командами я на ранее записанные файлы "раздам" правильные права?
Верно?
сообщить модератору +/– ответить

gt оверквотинг удален Даили такими code cd sharesudo chgrp traffics sudo chmo, Павел Самсонов (?), 10:26 , 25-Янв-17 (12)
>[оверквотинг удален]
>>> Для "правильных" прав я вношу изменения в конфиг, как вы написали выше,
>>> рестартую и тестирую?
>>> Так?
>> Да.
>> Можно на старые файлы сделать
>> cd share
>> sudo chgrp -R traffics .
>> sudo -R chmod g+w .
> Этими командами я на ранее записанные файлы "раздам" правильные права?
> Верно?
Да
или такими
```
cd share
sudo chgrp traffics *
sudo chmod g+w *
```
сообщить модератору +/– ответить

gt оверквотинг удален Спасибо, получилось Там еще после названия группы нужно , d0m0v0y (ok), 10:15 , 26-Янв-17 (13)
>[оверквотинг удален]
>>> sudo -R chmod g+w .
>> Этими командами я на ранее записанные файлы "раздам" правильные права?
>> Верно?
> Да
> или такими
>

> cd share
> sudo chgrp traffics *
> sudo chmod g+w *
>
Спасибо, получилось.
Там еще после названия группы нужно было добавить название шары. Ну я уже по аналогии уловил :)
сообщить модератору +/– ответить
gt оверквотинг удален Снова здравствуйте Вопрос такого характера Есть общая , d0m0v0y (ok), 12:41 , 06-Апр-17 (14)
>[оверквотинг удален]
>>> sudo -R chmod g+w .
>> Этими командами я на ранее записанные файлы "раздам" правильные права?
>> Верно?
> Да
> или такими
>

> cd share
> sudo chgrp traffics *
> sudo chmod g+w *
>
Снова здравствуйте.
Вопрос такого характера.
Есть "общая" шара. Но у каждого юзера есть и свои личыне шары. Подключив личные - я вынужден был и общую подключить под их учеткой.
ПРоблема - Файлы создать могут - удалить нет
Насколько я понимаю - решение, созбать группу в которой будет все юзеры и дать этой группе права?
сообщить модератору +/– ответить

Последелалось это smbpasswd -e Ivanov, zd3n (ok), 06:50 , 18-Янв-17 (2)

Нет, зачем Юзеры вроде активны сразу, d0m0v0y (ok), 16:30 , 20-Янв-17 (4)

ошибка репликации файлов на контроллерах домена,

alexkg1, (Контроллер домена (PDC) и samba) 29-Авг-11, 08:47 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

первый контроллер C Documents and Settings admin dcdiag Domain Controller Diagn, alexkg1 (??), 09:05 , 29-Авг-11 (1)
> помогите советом, как решить эту проблему:
> есть два контроллера домена win2003, в событиях пишет что произошла ошибка реплекации
> файлов.
> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
> репликации, поскольку разница в показаниях часов превышает 30 мин. "
> Код 13548
> что нужно сделать на контроллерах чтобы восстановить репликацию.
> если нужно могу выложить dcdiag и netdiag
первый контроллер
C:\Documents and Settings\admin>dcdiag
Domain Controller Diagnosis
Performing initial setup:
   Done gathering initial info.
Doing initial required tests
   Testing server: Default-First-Site-Name\DC
      Starting test: Connectivity
         ......................... DC passed test Connectivity
Doing primary tests
   Testing server: Default-First-Site-Name\DC
      Starting test: Replications
         ......................... DC passed test Replications
      Starting test: NCSecDesc
         ......................... DC passed test NCSecDesc
      Starting test: NetLogons
         ......................... DC passed test NetLogons
      Starting test: Advertising
         ......................... DC passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... DC passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... DC passed test RidManager
      Starting test: MachineAccount
         ......................... DC passed test MachineAccount
      Starting test: Services
         ......................... DC passed test Services
      Starting test: ObjectsReplicated
         ......................... DC passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... DC passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... DC failed test frsevent
      Starting test: kccevent
         ......................... DC passed test kccevent
      Starting test: systemlog
         ......................... DC passed test systemlog
      Starting test: VerifyReferences
         ......................... DC passed test VerifyReferences
   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
   Running partition tests on : amanbank
      Starting test: CrossRefValidation
         ......................... amanbank passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... amanbank passed test CheckSDRefDom
   Running enterprise tests on : domen.local
      Starting test: Intersite
         ......................... domen.local passed test Intersite
      Starting test: FsmoCheck
         ......................... domen.local passed test FsmoCheck
C:\Documents and Settings\admin>

второй контроллер
C:\Documents and Settings\admin>dcdiag
Domain Controller Diagnosis
Performing initial setup:
   Done gathering initial info.
Doing initial required tests
   Testing server: Default-First-Site-Name\DCRESERVE
      Starting test: Connectivity
         ......................... DCRESERVE passed test Connectivity
Doing primary tests
   Testing server: Default-First-Site-Name\DCRESERVE
      Starting test: Replications
         ......................... DCRESERVE passed test Replications
      Starting test: NCSecDesc
         ......................... DCRESERVE passed test NCSecDesc
      Starting test: NetLogons
         ......................... DCRESERVE passed test NetLogons
      Starting test: Advertising
         ......................... DCRESERVE passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... DCRESERVE passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... DCRESERVE passed test RidManager
      Starting test: MachineAccount
         ......................... DCRESERVE passed test MachineAccount
      Starting test: Services
         ......................... DCRESERVE passed test Services
      Starting test: ObjectsReplicated
         ......................... DCRESERVE passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... DCRESERVE passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... DCRESERVE failed test frsevent
      Starting test: kccevent
         ......................... DCRESERVE passed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0x0000165B
            Time Generated: 08/29/2011   09:58:27
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x000016AD
            Time Generated: 08/29/2011   10:00:35
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x0000165B
            Time Generated: 08/29/2011   10:05:51
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x000016AD
            Time Generated: 08/29/2011   10:08:10
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x0000165B
            Time Generated: 08/29/2011   10:20:54
            (Event String could not be retrieved)
         An Error Event occured.  EventID: 0x000016AD
            Time Generated: 08/29/2011   10:23:13
            (Event String could not be retrieved)
         ......................... DCRESERVE failed test systemlog
      Starting test: VerifyReferences
         ......................... DCRESERVE passed test VerifyReferences
   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom
   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
   Running partition tests on : amanbank
      Starting test: CrossRefValidation
         ......................... amanbank passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... amanbank passed test CheckSDRefDom
   Running enterprise tests on : domen.local
      Starting test: Intersite
         ......................... domen.local passed test Intersite
      Starting test: FsmoCheck
         ......................... domen.local passed test FsmoCheck
C:\Documents and Settings\admin>
вобще на выходных были проблеммы с питанием, возможно какой-то контроллер был недоступен некоторое время, но не точно. Как восстановить репликацию между ними? Помогите
сообщить модератору +/– ответить

выставить одинаковое время и всезачем сюда писать есть же форумы по винде, там , orestych (ok), 09:15 , 29-Авг-11 (2)
>> репликации, поскольку разница в показаниях часов превышает 30 мин. "
выставить одинаковое время и все
зачем сюда писать?
есть же форумы по винде, там и ответят быстрее
сообщить модератору +/– ответить

Синхронизируте время от одного источника, user (??), 09:19 , 29-Авг-11 (3)
> помогите советом, как решить эту проблему:
> есть два контроллера домена win2003, в событиях пишет что произошла ошибка реплекации
> файлов.
> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
> репликации, поскольку разница в показаниях часов превышает 30 мин. "
> Код 13548
> что нужно сделать на контроллерах чтобы восстановить репликацию.
> если нужно могу выложить dcdiag и netdiag
Синхронизируте время от одного источника
сообщить модератору +/– ответить
во-первых, вы не на тот форум обратились во-вторых, в вашей ситуации я бы на ваш, Aquarius (ok), 09:19 , 29-Авг-11 (4)
> помогите советом, как решить эту проблему:
> есть два контроллера домена win2003, в событиях пишет что произошла ошибка реплекации
> файлов.
> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
> репликации, поскольку разница в показаниях часов превышает 30 мин. "
> Код 13548
> что нужно сделать на контроллерах чтобы восстановить репликацию.
> если нужно могу выложить dcdiag и netdiag
во-первых, вы не на тот форум обратились;
во-вторых, в вашей ситуации я бы на вашем месте в первую очередь сверил часы, и, по всей видимости, вообще не пришлось бы обращаться на форум
сообщить модератору +/– ответить

gt оверквотинг удален время на контроллерах одинаковое, неужели я бы не провер, alexkg1 (??), 10:08 , 29-Авг-11 (5)
>[оверквотинг удален]
>> файлов.
>> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
>> репликации, поскольку разница в показаниях часов превышает 30 мин. "
>> Код 13548
>> что нужно сделать на контроллерах чтобы восстановить репликацию.
>> если нужно могу выложить dcdiag и netdiag
> во-первых, вы не на тот форум обратились;
> во-вторых, в вашей ситуации я бы на вашем месте в первую очередь
> сверил часы, и, по всей видимости, вообще не пришлось бы обращаться
> на форум
время на контроллерах одинаковое, неужели я бы не проверил это!!!
ошибка в том что в логах пишется время отличное от системного на втором контроллере...
как синхронизировать время с первым? я просто сверил через дату время оно одинаковое!
сообщить модератору +/– ответить

gt оверквотинг удален А часовой пояс , Сергей (??), 11:42 , 29-Авг-11 (7)
>[оверквотинг удален]
>>> если нужно могу выложить dcdiag и netdiag
>> во-первых, вы не на тот форум обратились;
>> во-вторых, в вашей ситуации я бы на вашем месте в первую очередь
>> сверил часы, и, по всей видимости, вообще не пришлось бы обращаться
>> на форум
> время на контроллерах одинаковое, неужели я бы не проверил это!!!
> ошибка в том что в логах пишется время отличное от системного на
> втором контроллере...
> как синхронизировать время с первым? я просто сверил через дату время оно
> одинаковое!
А часовой пояс...
сообщить модератору +/– ответить

А чой это вы со своими закрытыми вендами лезете в форум по опен-сорс Обратитесь, Аноним (-), 10:23 , 29-Авг-11 (6)
> помогите советом, как решить эту проблему:
> есть два контроллера домена win2003, в событиях пишет что произошла ошибка реплекации
> файлов.
> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
> репликации, поскольку разница в показаниях часов превышает 30 мин. "
> Код 13548
> что нужно сделать на контроллерах чтобы восстановить репликацию.
> если нужно могу выложить dcdiag и netdiag
А чой это вы со своими закрытыми вендами лезете в форум по опен-сорс? Обратитесь к производителю ваших контроллеров домена, они обязаны вам предоставить суппорт
сообщить модератору +/– ответить

gt оверквотинг удален извиняюсь, думал здесь про винду , alexkg1 (??), 11:44 , 29-Авг-11 (8)
>[оверквотинг удален]
>> есть два контроллера домена win2003, в событиях пишет что произошла ошибка реплекации
>> файлов.
>> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
>> репликации, поскольку разница в показаниях часов превышает 30 мин. "
>> Код 13548
>> что нужно сделать на контроллерах чтобы восстановить репликацию.
>> если нужно могу выложить dcdiag и netdiag
> А чой это вы со своими закрытыми вендами лезете в форум по
> опен-сорс? Обратитесь к производителю ваших контроллеров домена, они обязаны вам предоставить
> суппорт
извиняюсь, думал здесь про винду )
сообщить модератору +/– ответить

gt оверквотинг удален Лол, аффтар жжот , Медвед (??), 07:37 , 10-Фев-17 (9)
>[оверквотинг удален]
>>> файлов.
>>> " Службе репликации файлов не удалось выполнить репликацию с компьютером, являющимся партнером
>>> репликации, поскольку разница в показаниях часов превышает 30 мин. "
>>> Код 13548
>>> что нужно сделать на контроллерах чтобы восстановить репликацию.
>>> если нужно могу выложить dcdiag и netdiag
>> А чой это вы со своими закрытыми вендами лезете в форум по
>> опен-сорс? Обратитесь к производителю ваших контроллеров домена, они обязаны вам предоставить
>> суппорт
> извиняюсь, думал здесь про винду )
Лол, аффтар жжот.
сообщить модератору +/– ответить
Иди в винду , Led (ok), 23:42 , 10-Фев-17 (10)
Иди в винду.
сообщить модератору +/– ответить

hosts allow по диапазону,

Ape, (ACL, блокировки и ограничения) 29-Янв-17, 14:56 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Раскидать по подсетям и прописать 171 адрес маска 187 Или же тупо перечисли, XAnder (ok), 12:50 , 30-Янв-17 (1)
> Как разрешить или запретить диапазон адресов для доступа к серверу?
> Например: 192.168.0.1 - 192.168.0.100 разрешить, 192.168.0.101 - 192.168.0.254 запретить.
Раскидать по подсетям и прописать «адрес/маска». Или же тупо перечислить адреса. Можно комбинировать эти варианты.
сообщить модератору +/– ответить

smbd/process.c:construct_reply(1041) при коннекте к Samba,

Saoton, (Samba) 18-Янв-17, 19:57 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вендузятник должен страдать , Led (ok), 02:15 , 19-Янв-17 (1) –1
Вендузятник должен страдать.
сообщить модератору –1 +/– ответить
Какой-то у вас неправильный гугл , PavelR (??), 09:46 , 19-Янв-17 (2)
> в гугле ничего подобного не нашел.
Какой-то у вас неправильный гугл.
сообщить модератору +/– ответить

конкретно с ошибкой size 112, только две выдачи и без решения проблемы, Saoton (?), 10:58 , 19-Янв-17 (3)
>> в гугле ничего подобного не нашел.
> Какой-то у вас неправильный гугл.
конкретно с ошибкой size 112, только две выдачи и без решения проблемы
сообщить модератору +/– ответить

в настройках компонентах винды просто нужно было включить поддержку общего досту, Saoton (?), 01:05 , 20-Янв-17 (4)
>>> в гугле ничего подобного не нашел.
>> Какой-то у вас неправильный гугл.
> конкретно с ошибкой size 112, только две выдачи и без решения проблемы
в настройках компонентах винды просто нужно было включить поддержку общего доступа к файлам smb
сообщить модератору +/– ответить

FreeIPA 4x и ОС AstraLinux релиз Орел ,

Сергей, (Разное) 08-Дек-16, 09:28 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

из исходников собрать религия W тов майор не разрешает , олхнтп (?), 22:49 , 09-Дек-16 (1)
> Добрый день!
> Коллеги, кто-нибудь пробовал ставить freeipa-client под Астру.
> Т.к дистрибутив Astra берет начало от Debian
> Wheezy, попробовал прикрутить unstable репу где есть этот пакет. Но к
> сожалению установить не дает т.к постоянно проблемы с зависимостями.
из исходников собрать религия^W тов. майор не разрешает?
сообщить модератору +/– ответить
Клиента freeipa можно не ставить Он лишь нужен для разовой настройки конфигов и, alexminder (?), 15:03 , 13-Дек-16 (2)
> Добрый день!
> Коллеги, кто-нибудь пробовал ставить freeipa-client под Астру.
> Т.к дистрибутив Astra берет начало от Debian
> Wheezy, попробовал прикрутить unstable репу где есть этот пакет. Но к
> сожалению установить не дает т.к постоянно проблемы с зависимостями.
Клиента freeipa можно не ставить. Он лишь нужен для разовой настройки конфигов и создания хоста на стороне сервера. К сожалению, не для всех дистрибутивов есть freeipa-client и не для всех ОС. Достаточно пакетов sssd, kerberos.
Хост создать на IPA сервере. На клиенте получить keytab и положить его куда нужно (/etc/krb5.keytab). Настроить sssd.conf (например, по аналогии с RHEL/CentOS/Ubuntu клиента). И опционально pam для создания домашних директорий.
Пример как все это сделать есть на сайте freeipa.org для альтернативных ОС (FreeBSD/AIX/..)
сообщить модератору +/– ответить

Samba 4 ads, ldap, krb, не работают права по группам,

iltmpz, (Samba) 08-Дек-16, 13:10 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Есть подозрение, что что-то недокрутил с маппингом SFU, но понятия не имею, что ,

iltmpz (ok), 12:53 , 12-Дек-16 (1)

Есть подозрение, что что-то недокрутил с маппингом SFU, но понятия не имею, что докручивать.
Хотя getent passwd и getent group показывают правильные uid и gid.
Но в старой успешно работающей самбе конфиг такой:
pam_login_attribute sAMAccountName
pam_lookup_policy       yes
pam_password ad
pam_password    crypt
nss_initgroups_ignoreusers      root,ldap
nss_schema      rfc2307bis
nss_map_attribute       uniqueMember member
nss_map_objectclass posixAccount User
nss_map_objectclass shadowAccount User
nss_map_attribute uid msSFU30Name
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute userPassword unixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_objectclass posixGroup Group
pam_login_attribute msSFU30Name
pam_filter objectclass=User
pam_password ad
nss_map_attribute uidNumber uidNumber
nss_map_attribute gidNumber gidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute gecos name
nss_map_attribute loginShell loginShell
ssl off
Я попробовал добавить на проблемный сервер:
map    group  gidNumber        gidNumber
или
map    group  gidNumber        gid
- ничего не изменилось, как не работало, так и не работает авторизация по группам. Куда еще смотреть?

сообщить модератору +/–

ответить

Samba4 as Active Directory - делимся опытом,

Dorlas, (Контроллер домена (PDC) и samba) 12-Ноя-16, 18:36 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Самба это тупиковая ветвь развития У разработчиков самбы никогда не было цели с, DeerFriend (?), 00:06 , 13-Ноя-16 (1)
Самба это тупиковая ветвь развития. У разработчиков самбы никогда не было цели сделать продукт, качественно отличающийся от других. Они всегда плелись позади паровоза, молясь на подачки в виде свежих спецификаций для взаимодействия с микрософтовыми клиентами.
Хотите централизованную систему для управления пользователями/политиками и пр. - смотрите в сторону FreeIPA.
сообщить модератору +/– ответить

Может и так, но тем не менее Samba живет и развивается уже 24 года если считать, Dorlas (ok), 10:38 , 13-Ноя-16 (2)
> Самба это тупиковая ветвь развития. У разработчиков самбы никогда не было цели
> сделать продукт, качественно отличающийся от других. Они всегда плелись позади паровоза,
> молясь на подачки в виде свежих спецификаций для взаимодействия с микрософтовыми
> клиентами.
> Хотите централизованную систему для управления пользователями/политиками и пр. - смотрите
> в сторону FreeIPA.
Может и так, но тем не менее Samba живет и развивается уже 24 года (если считать первую версию в 1992-м году). И думается мне, будет дальше жить и развиваться...как минимум еще лет 10 ). Для определенных задач отличный продукт - не найдете *nix-оида, который бы ее не использовал.
Почитал http://www.freeipa.org/page/About - не нашел описания, что FreeIPA делает и умеет групповые политики (а это именно то, что нужно мне от Samba4, кроме аутентификации естественно).
Собственно задача в глобальном варианте смотрится так - есть ряд заказчиков, которые готовы отдать некоторую сумму денег, чтобы окончательно спрыгнуть с контрактов с Microsoft. Полностью от MS уйти конечно не выйдет, но оставить какие то точечные приобретения. Поэтому рассматриваются разные варианты (например отказ от Exchange в пользу Opensource, отказ от Skype for Business в пользу FreePBX/Jabber, отказ от AD в пользу Samba4 и т.д.). Для каждого варианта планируются сделать расчеты как цены софта, так и цены владения (на 3 года например).
Также обучение на курсах (в нашем же УЦ) и поддержка на первые полгода-год.
сообщить модератору +/– ответить

Слишком громко Если цель сэкономить - от пиратских десктопов избавляйтесь тоже , DeerFriend (?), 10:55 , 13-Ноя-16 (3)
> не найдете *nix-оида, который бы ее не использовал.
Слишком громко.

Если цель сэкономить - от пиратских десктопов избавляйтесь тоже. Для тех целей, где в софте нет "импортозамещаторов", можно наплодить виртуальных десктопов в другой стране.
А если цель уйти от микрософта - ну так зачем на полушаге останавливаться?
сообщить модератору +/– ответить

К сожалению винда на десктопе - это реальность, а вот рулить ими несколькими го, Сергей (??), 16:52 , 15-Ноя-16 (4)
К сожалению винда на десктопе - это реальность, а вот рулить ими несколькими гораздо проще если есть микрософтовский домен и это тоже реальность. Мы же не на луне живем...
сообщить модератору +/– ответить

Для старых пердунов может и реальность, а молодым уже не важно, где браузер запу, DeerFriend (?), 13:08 , 16-Ноя-16 (5)
> К сожалению винда на десктопе - это реальность
Для старых пердунов может и реальность, а молодым уже не важно, где браузер запускать.
сообщить модератору +/– ответить
Согласен - для 95 администраторов Windows-десктопов привычны и удобны 1 Группо, Dorlas (??), 08:26 , 25-Ноя-16 (6)
> К сожалению винда на десктопе - это реальность, а вот рулить
> ими несколькими гораздо проще если есть микрософтовский домен и это тоже
> реальность. Мы же не на луне живем...
Согласен - для 95% администраторов Windows-десктопов привычны и удобны:
1) Групповые политики, ADMX-template - все это дает простую и гибкую возможность рулить настройками любого программного обеспечения под Windows (лишь бы у них были настройки в реестре либо в виде каких-то .ini-файлов)
2) Kerberos и прозрачная аутентификация и авторизация при доступе к ресурсам
3) Интегрированность всего что есть в серверах в AD (DNS, DHCP, DFS и т.д.)
Для Linux-десктопов пока все только еще развивается....
Поставил в понедельник FreeIPA, ковыряю.
С одной стороны идея отличная и потенциальных возможностей куча:
1) Ввел несколько разных Linux-ов в домен, построенный на FreeIPA
2) Получил единую точку аутентификации (пользователи, права)
3) Получил автоматическую выписку и выдачу kerberos билетов (TGT) на входящих пользователей
4) Можно интегрировать по Kerberos большинство основных сервисов (HTTP, Mail (pop3/imap4/smtp), VPN
Но блин...дочего же пока все неоднобразно:
1) в Debian freeipa-клиент только в SID. Попробовал поставить - в итоге SegFault ))) купим bugzilla
2) Ubuntu 16.04 единственный, кто без особых проблем в FreeIPA вошел и работает
3) Fedora 25 - в домен вошла, но аутентификация не работает - снова курим, ищем
4) еще парочка дистров - тоже грабли....
Вот и получается - что где то технология уже вылизана (с 2002-2003), а где то еще это сделать предстоит...
PS: Но все равно - с FreeIPA действительно ознакомиться стоит и иметь ввиду ее тоже...продукт зачетный.
сообщить модератору +/– ответить

На Linux всё уже давно доработано в качестве сетевой структуры, даже круче в раз, constantine (?), 12:36 , 06-Дек-16 (7)
На Linux всё уже давно доработано в качестве сетевой структуры, даже круче в разы чем на винде!!!! Главное прямые руки и знания
сообщить модератору +/– ответить

Это щас че такое было Смахивает на лозунги , Dorlas (??), 12:51 , 06-Дек-16 (8)
> На Linux всё уже давно доработано в качестве сетевой структуры, даже круче
> в разы чем на винде!!!! Главное прямые руки и знания
Это щас че такое было? )))
Смахивает на лозунги )))
сообщить модератору +/– ответить

https en opensuse org Portal FreeIPA Installation, togusak (??), 17:48 , 06-Дек-16 (9)

> Но блин...дочего же пока все неоднобразно:
https://en.opensuse.org/Portal:FreeIPA/Installation
сообщить модератору +/– ответить

Рад за любителей OpenSuse SLES SLED , Dorlas (??), 20:29 , 06-Дек-16 (10)
>> Но блин...дочего же пока все неоднобразно:
> https://en.opensuse.org/Portal:FreeIPA/Installation
Рад за любителей OpenSuse/SLES/SLED...
сообщить модератору +/– ответить

Перестал запускаться winbindd (samba 4 в роли AD member),

OK7, (Контроллер домена (PDC) и samba) 10-Ноя-16, 14:03 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Может он хочет wins server 1 2 3 4 Это при security , ПавелС (ok), 16:03 , 11-Ноя-16 (1)
>[оверквотинг удален]
>  #8 /lib64/libtevent.so.0(_tevent_loop_once+0x8d) [0x7f911473936d]
>  #9 winbindd(main+0xb14) [0x7f911c011c54]
>  #10 /lib64/libc.so.6(__libc_start_main+0xf5) [0x7f9114141b15]
>  #11 winbindd(+0x2536d) [0x7f911c01236d]
> dumping core in /var/log/samba/cores/winbindd
> Аварийный останов (core dumped)
> На сервере AD (windows 2012) компьютер smbserver прописывается если удалить и снова
> подключить, в DNS присутствует. Ошибка "PANIC (pid 8230): Could not find
> our domain" не гуглится почему-то совсем. Подскажите, пожалуйста, в какую сторону
> смотреть.
Может он хочет wins server = 1.2.3.4. Это при security = domain. А так можно поменять security = ADS (если в resolv.conf прописан KDC).
сообщить модератору +/– ответить

Авто монтирование виндовых шар,

kamerad, (Samba) 26-Окт-16, 17:19 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

gt оверквотинг удален Имя пользователя и пароль в fstab пропишите в поле опци, ПавелС (ok), 13:40 , 28-Окт-16 (1)
>[оверквотинг удален]
> password=$$15f6e647b2629441c
> При попытке смонтировать вижу вот это
> root@BSD:~ # mount -a
> mount_smbfs: can't get server address `//administrator@sv-vd16/key':
> Unknown host
> mount_smbfs: can't get server address: syserr = Network is down
> В hosts
> 192.168.0.10
> sv-vd16
> Подскажите где собака порылась...
Имя пользователя и пароль в fstab пропишите в поле "опции монтирования", а не в UNC.
сообщить модератору +/– ответить

Samba4 и траблы с гостевым доступом,

CHIM, (Аутентификация) 26-Окт-16, 20:01 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Сам задал вопрос - сам пишу ответ Уже 4й день весь интернет перерываю и не мог н, CHIM (ok), 11:18 , 27-Окт-16 (1)
Сам задал вопрос - сам пишу ответ!
Уже 4й день весь интернет перерываю и не мог наткнутся на эту статью раньше: https://www.howtoforge.com/samba-server-installation-and-con...
Все источники которые ранее я открывал опускали один момент, а именно :
"chcon -t samba_share_t anonymous/" и у них почему то всё работало, возможно эти "писцы" отключали SELinux сразу после установки дистра и по этому у них не было таких проблем.
Вот после этой строчки у меня всё заработало как нужно!
Оказывается нужно было крутить SELinux, а не samba, но кто же знал, когда в логах всё чисто.
сообщить модератору +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру