Samba3: NT_STATUS_NO_SUCH_USER

[Timo1979]

Приветствую.

Пытаюсь подключить самбу к Active directory. Задача - сделать файлопомойку с авторизацией в домене AD.

Читал вот это, делал практически все по шагам.

При попытке попасть на шару получаю в логах самбы сообщение:

[2010/08/26 11:13:53.082194,  2] auth/auth.c:314(check_ntlm_password)  check_ntlm_password:  Authentication for user [xxx] -> [xxx] FAILED with error NT_STATUS_NO_SUCH_USER

при этом kerberos вроде как работает (отрабатывает kinit), также wbinfo -u выдает список пользователей домена AD, и команда wbinfo -a DOMAIN\\user%pass сообщает об успехе.

Помогите, плиз.

ОС = debian 5.0.3

Самба 3.5.4, собрана руками с такими опциями:

./configure --with-ldap --with-ads --with-krb5 --with-pam --with-winbind --enable-dnssd --disable-fam --enable-avahi --prefix=/usr --sysconfdir=/etc/samba --localstatedir=/var

>cat smb.conf[global]load printers = no;winbind separator = +log file = /var/log/samba/log.%msocket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192null passwords = yeshosts allow = 192.168.200. 127.0.0.1encrypt passwords = yesidmap uid = 10000-20000idmap gid = 10000-20000;auth methods = winbindwinbind enum groups = yeswinbind enum users = yeswinbind use default domain = noname resolve order = hosts wins bcast lmhostscase sensitive = nodns proxy = nonetbios name = debian-testserver string = My Debian Linuxpassword server = server.domain.comrealm = DOMAIN.COMclient use spnego = yesclient signing = yeslocal master = nodomain master = nopreferred master = noworkgroup = DOMAINdebug level = 3security = adsdos charset = 866unix charset = UTF-8max log size = 50os level = 0[shareadmin]comment = shareadminpath = /shares/shareadminbrowseable = yeswriteable = yesdirectory mask = 0777create mask = 0666valid users = DOMAIN\xxx

[gogi]

Из выдаваемой ошибки непонятно, почему при явном указании в конфиге

security = ads

самба сервер пытается провести ntlm аутентификацию клиента, вместо kerberos.

При беглом просмотре конфига ошибок не нашел, разве что пугают имена сервера паролей и realm (Вы их изменили из соображений конспирации?).

Если

1. сервер правильно введен в домен

2. имя самба сервера разрешается в днс и в прямую и в обратную сторону

3. Время на клиенте, самбе и АДС сильно не различаются

То могу предположить, что у клиента в кэше сохранен нтлм пароль от предыдущей аутентификации и он пытается его подсунуть самба серверу вместо керберос билета.

Попробуйте на клиенте обнулить кэш или попросту создайте нового пользователя и попробуйте с ним.

[Timo1979]

Цитата:

При беглом просмотре конфига ошибок не нашел, разве что пугают имена сервера паролей и realm (Вы их изменили из соображений конспирации?).

Да, шифруюсь

Цитата:

Если

1. сервер правильно введен в домен

2. имя самба сервера разрешается в днс и в прямую и в обратную сторону

3. Время на клиенте, самбе и АДС сильно не различаются

1. сервер в домене:

> net ads testjoinJoin is OK

2. Добавил PTR-запись в обратную зону.

3. Время различается незначительно (несколько секунд)

Создал нового пользователя, попробовал зайти под ним, результат тот же.

[gogi]

В таком случае прежде всего проверьте kdc на контроллере домена на предмет:

1. Создан ли принципал для самба сервера cifs/днс_имя@РЕАЛМ (должен был по идее создаться при введении в домен)

2. Есть ли в логах записи для выдачи клиенту билетов для

1) самого пользователя (при логине его на ПК) 2) доступа к cifs службе на самба сервере (при обращении его к расшаренному рессурсу).

Сорри. Конкретнее подсказать не могу. У меня уже лет пять как нет АД. Юзаю MIT Kerberos. Но принцип тот же.

[Timo1979]

gogi писал(а) Thu, 26 August 2010 16:00

В таком случае прежде всего проверьте kdc на контроллере домена на предмет:

Это мне придется еще подучить матчасть. Отложу до завтра