samba 3.0.хх в Active Directory

[vortex]

У кого самба в домене win2000/2003 с Active Directory живет?

У меня зайти на linux не получается с виндовой машины. Сама самба в домене живет нормально, т.к.

керберос (kinit, klist) - получает ключи с контроллера домена,

winbind (wbinfo -, wbinfo -g, getent passwd, getent group) показывает юзеров/группы домена.

smbclient //server/share -k на любые шары заходит с полученным от кербероса ключом.

Как я так понимаю дело в файлах аутентификации, т.е. самба не признает доменных юзеров. Поделитесь plz настройками

/etc/nsswitch.conf

/etc/pam.d/login

/etc/pam.d/samba

/etc/pam.d/system-auth-winbind

у кого в системе pam модули подключены. От smb.conf тоже бы не отказался. Особенно раздела с описанием шар. У меня уже гугл дымится от запросов...

Если надо, выложу свои конфиги, но по моему все дело в PAM. Используется fedora core 3 и самба последняя (3.0.14a)

Если что, стучитесь в аську 166830392. Очень хочется послушать умных людей.

[Master400]

http://www.linuxrsp.ru/artic/samba_win2003_auth.html

[vortex]

Я это видал на опеннете. Не работает по написанному. Там например не учтен нюанс, что если пароль админа после dcpromo.exe не менялся, то на контроллере домена вылезут ошибки кербероса и ничего не выйдет, и т.д.. Ну и прочее по мелочи.

Я вот чего подумал. Если в /etc/nsswitch.conf указано

passwd: files winbind

shadow: files

group: files winbind

то по идее линукс должен проверять сначала пользователя в /etc/passwd и /etc/group, а не найдя их обращаться к winbind, так?

Проверяю winbind:

[vortex@unix ~]$ wbinfo -u|grep sam

NN\sam

[vortex@unix ~]$ getent passwd|grep sam

NN\sam:x:10000:10005:sam:/home/NN/sam:/bin/bash

Т.е. доменного юзера он видит и знает.

Пытаюсь зайти доменным юзером:

login as: NN\sam

Password:

Login incorrect

В /var/log/messages

Aug 19 13:29:23 unix unix_chkpwd[10667]: check pass; user unknown

Aug 19 13:29:23 unix login(pam_unix)[10535]: authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost= user=NN\sam

Aug 19 13:29:25 unix login[10535]: FAILED LOGIN 1 FROM (null) FOR NN\sam, Authentication failure

Почему linux не проверяет юзера через winbind, а только через pam_unix?

[cerber_spb]

В /etc/pam.d/samba Че написано ?

[vortex]

[root@unix pam.d]# cat samba

#%PAM-1.0

auth required pam_securetty.so

auth required pam_nologin.so

auth sufficient pam_winbind.so

#auth required pam_stack.so service=system-auth

account required pam_winbind.so

#account required pam_stack.so service=system-auth

session required pam_stack.so service=system-auth

session required pam_mkhomedir.so skel=/etc/skel/ umask=0077

session required pam_console.so

password required pam_winbind.so

#password required pam_stack.so service=system-auth

p.s. я тут все таки добился того, чтобы доменные и локальные пользователи входили на linux машину через консоль. Надо было закомментировать строчки

auth required pam_stack.so service=system-auth

в /etc/pam.d/login

Но такой же фокус с /etc/pam.d/samba не прокатил

Попытки зайти через сетевое окружение на самбу обламываются со словами "сетевой путь не найден". А в логах ни на винде ни на самбе вообще ничего при этом не отображается.

Я вообще начинаю сомневаться что дело в PAM :/ Нашел вот такую фразу в samba=howto-collection

Samba always ignores PAM for authentication in the case of encrypt passwords = yes. The reason is that PAM modules cannot support the challenge/response authentication mechanism needed in the presence of SMB password encryption.

А для домена так и получается, что encrypt passwords = yes

Я уже не знаю в какую сторону и думать. То ли версию откатывать, то ли наоборот обновлять, то ли еще чего. Кто пользует самбу в домене win2000? Хелп

[vortex]

Каюсь, посыпаю голову пеплом!

Все банально блокировалось iptables

Зато узнаешь чертовски много интересного! )