Jump to content
Sign in to follow this  
Timo1979

Samba3: NT_STATUS_NO_SUCH_USER

Recommended Posts

Приветствую.

Пытаюсь подключить самбу к Active directory. Задача - сделать файлопомойку с авторизацией в домене AD.

Читал вот это, делал практически все по шагам.

При попытке попасть на шару получаю в логах самбы сообщение:

[2010/08/26 11:13:53.082194,  2] auth/auth.c:314(check_ntlm_password)  check_ntlm_password:  Authentication for user [xxx] -> [xxx] FAILED with error NT_STATUS_NO_SUCH_USER

при этом kerberos вроде как работает (отрабатывает kinit), также wbinfo -u выдает список пользователей домена AD, и команда wbinfo -a DOMAIN\\user%pass сообщает об успехе.

Помогите, плиз.

ОС = debian 5.0.3

Самба 3.5.4, собрана руками с такими опциями:

./configure --with-ldap --with-ads --with-krb5 --with-pam --with-winbind --enable-dnssd --disable-fam --enable-avahi --prefix=/usr --sysconfdir=/etc/samba --localstatedir=/var

>cat smb.conf[global]load printers = no;winbind separator = +log file = /var/log/samba/log.%msocket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192null passwords = yeshosts allow = 192.168.200. 127.0.0.1encrypt passwords = yesidmap uid = 10000-20000idmap gid = 10000-20000;auth methods = winbindwinbind enum groups = yeswinbind enum users = yeswinbind use default domain = noname resolve order = hosts wins bcast lmhostscase sensitive = nodns proxy = nonetbios name = debian-testserver string = My Debian Linuxpassword server = server.domain.comrealm = DOMAIN.COMclient use spnego = yesclient signing = yeslocal master = nodomain master = nopreferred master = noworkgroup = DOMAINdebug level = 3security = adsdos charset = 866unix charset = UTF-8max log size = 50os level = 0[shareadmin]comment = shareadminpath = /shares/shareadminbrowseable = yeswriteable = yesdirectory mask = 0777create mask = 0666valid users = DOMAIN\xxx

Share this post


Link to post
Share on other sites

Из выдаваемой ошибки непонятно, почему при явном указании в конфиге

security = ads

самба сервер пытается провести ntlm аутентификацию клиента, вместо kerberos.

При беглом просмотре конфига ошибок не нашел, разве что пугают имена сервера паролей и realm (Вы их изменили из соображений конспирации?).

Если

1. сервер правильно введен в домен

2. имя самба сервера разрешается в днс и в прямую и в обратную сторону

3. Время на клиенте, самбе и АДС сильно не различаются

То могу предположить, что у клиента в кэше сохранен нтлм пароль от предыдущей аутентификации и он пытается его подсунуть самба серверу вместо керберос билета.

Попробуйте на клиенте обнулить кэш или попросту создайте нового пользователя и попробуйте с ним.

Share this post


Link to post
Share on other sites

Цитата:

При беглом просмотре конфига ошибок не нашел, разве что пугают имена сервера паролей и realm (Вы их изменили из соображений конспирации?).

Да, шифруюсь

Цитата:

Если

1. сервер правильно введен в домен

2. имя самба сервера разрешается в днс и в прямую и в обратную сторону

3. Время на клиенте, самбе и АДС сильно не различаются

1. сервер в домене:

> net ads testjoinJoin is OK

2. Добавил PTR-запись в обратную зону.

3. Время различается незначительно (несколько секунд)

Создал нового пользователя, попробовал зайти под ним, результат тот же.

Share this post


Link to post
Share on other sites

В таком случае прежде всего проверьте kdc на контроллере домена на предмет:

1. Создан ли принципал для самба сервера cifs/днс_имя@РЕАЛМ (должен был по идее создаться при введении в домен)

2. Есть ли в логах записи для выдачи клиенту билетов для

1) самого пользователя (при логине его на ПК) 2) доступа к cifs службе на самба сервере (при обращении его к расшаренному рессурсу).

Сорри. Конкретнее подсказать не могу. У меня уже лет пять как нет АД. Юзаю MIT Kerberos. Но принцип тот же.

Share this post


Link to post
Share on other sites

gogi писал(а) Thu, 26 August 2010 16:00

В таком случае прежде всего проверьте kdc на контроллере домена на предмет:

Это мне придется еще подучить матчасть. Отложу до завтра

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...