Samba и AD

Samba и AD

Kellaoow

Новый участник

Сообщения: 1
Благодарности: 0

Изображения

	png.PNG
(89.9 Kb, 6 просмотров)

Всем привет. Надеюсь, что опытные линуксоиды смогут если уж не предоставить точное решение проблемы, то хотя бы подскажут, в какую сторону копать, ибо у меня уже совсем идей нет.

Суть такова: Samba на Centos 6.4 в Домене AD. Работала отлично, пользователей на шару по группам из LDAP пускала, файлы раздавала и вообще все было замечательно, пока в один момент без какой-либо явной причины перестала работать. Винбинд с керберосом и нтпд сыпят ошибками в логи, а при попытке зайти на саму самбу, запрашивается пароль. Вероятно, запрашивается он потому, что авторизоваться в домене Samba не может, вот и пытается запросить у пользователя локальные логин/пароль.

Соль в том, что на сервере никто ничего не трогал и не вносилось никаких изменений ни в конфиг ни в домен.

Скрины ошибок и их описание во вложении. Сложность в том, что, во-первых, сами ошибки не дают особого представления о том, где искать проблему: совершенно непонятно, как сервер может не найти хостнейм adc03, если из консоли он его прекрасно пингует как по имени, так и по адресу.
Совершенно непонятно, почему керберос не может авторизоваться, если доподлинно известно и перепроверено, что специально созданная и добавленная в нужные группы учётка для сервера есть в ldap и имеет те же самые учетные данные, с которыми сервер пытается авторизоваться.
Гуглить же по ошибе "preauthentication failed" бессмысленно, т.к. возникает она при попытке ввода сервера в домен, а не после этого (как в моём случае).

Вывод testparm:

Код:

[root@srv-centos ~]# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[share]"
Processing section "[public]"
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
	dos charset = cp866
	unix charset = utf8
	display charset = utf8
	workgroup = (domain)
	realm = (FQDN)
	server string = srv-centos
	security = ADS
	auth methods = winbind
	allow trusted domains = No
	password server = adc-02, adc-03
	load printers = No
	disable spoolss = Yes
	show add printer wizard = No
	domain master = No
	ldap ssl = no
	winbind cache time = 10
	winbind enum users = Yes
	winbind enum groups = Yes
	winbind use default domain = Yes
	winbind refresh tickets = Yes
	idmap config * : range = 10000-20000
	idmap config * : backend = tdb
	case sensitive = No

[share]
	path = /samba/share
	valid users = (ldap users)
	read list = (ldap users)
	write list = (ldap users)
	read only = No
	create mask = 0644

[public]
	path = /samba/public
	valid users = (ldap users)
	read list = (ldap users)
	write list = (ldap users)
	read only = No
	create mask = 0644
	guest ok = Yes

Подправил fqdn и домен, дабы не палить контору.

Ну и на закуску: по соседству, на таком же центосе, с абсолютно идентичными конфигами и абсолютно таком же Центосе совершенно спокойно и без каких-либо проблем работает другой сервер.
Всем заранее спасибо за помощь. Если нужны ещё какие-либо конфиги, пишите, честно говоря, лень за ними лезть и переправлять под конец рабочего дня.

Но если они необходимы - выложу. Хотя я уверен, что ничего интересного там найти не представляется возможным, ибо все перепроверено тысячу раз.

Отправлено: 19:10, 26-09-2013

Dimon

Ветеран

Сообщения: 551
Благодарности: 13

Профиль | Отправить PM | Цитировать

Так ругня идет на ненахождение сервера adc- контроллера домена. Похоже, что билетик кербероса истек ввиду ненахождения контроллера - вот и не пускает...
Смотри ДНС, а еще лучше - ручками в /etc/hosts прописать сервера-контроллеры.

И, желательно бы log level = 3 поставить или чуть выше и внимательно изучить что да как. И сюда нормальные логи выложить

-------
Патроны кончаются... Санитары близко... Всем пока

Отправлено: 00:03, 28-09-2013 | #2