Forum Debian Users Gang

ptaszol · 2014-09-23 15:18:38

Witam,

Próbuje uruchomić mobilne profile dla użytkowników systemów Windows XP orz Windows 7, którzy są podłączeni do domeny AD na samba 4 (4.1.12)
Problem jest w tym, ze jako administrator nie widzę udziałów na serwerze domeny, a zgodnie z opisami jakie znalazłem, muszę jako administrator wejść na taki udział i dodać w zakładce zabezpieczenia grupę Domain User z odpowiednimi uprawnieniami. Przy próbie wejść na serwer domeny pyta mi się o użytkownika i hasło. Podając użytkownika i hasło administratora okienko się pojawia ponownie z logowaniem i tak bez końca.

Czy może ktoś z was miał taki problem i może mi doradzić co jest nie tak w mojej konfiguracji??

Pozdrawiam

milyges · 2014-09-23 15:42:13

Stacja z której wchodzisz wpięta do domeny?

Jako login podajesz <NAZWA_DOMENY>\Administrator?

ptaszol · 2014-09-23 15:49:09

Witam,

1. Stacja wpięta do domeny
2. Jak się loguje to wpisuje <DOMENA>\Administrator loguje mi się do profilu jednak wpisując w Uruchom \\nazwę serwera domeny\ nie pojawiają mi się żadne udziały
3. jakie uprawnienia powinien mieć katalog /home/profiles - może tam jest problem??

pozdrawiam

fervi · 2014-09-23 15:53:12

w Uruchom \\Nazwa serwera\
To po prostu udostępnianie plików i każdy ma własne konto

Wklej:
- konfig Samby
- Czy dodałeś konta SAMBY poszczególnych użytkowników ? (smbpasswd -a <nazwa użytkownika>)
- Czy Root ma hasło nadane?

Fervi

milyges · 2014-09-23 16:46:02

Czy w konfiguracji samby nie masz browseable = No ?
Do tego czy udział nie kończy się dolarem.

Proponuję skonfigurować winbinda na sambie, co spowoduje pojawienie się domenowych kont w systemie. U mnie wygląda to tak:
-> Konfig samby:

Kod:

# Global parameters
[global]
        workgroup = DOMENA
        realm = DOMENA.LOCAL
        netbios name = SAMBA
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes
        template shell = /bin/bash

        winbind separator = /
        winbind cache time = 10
        winbind enum users = yes
        winbind enum groups = yes
        obey pam restrictions = no
        winbind nested groups = yes
        winbind use default domain = yes
        template shell = /bin/bash

[netlogon]
        path = /var/lib/samba/sysvol/domena.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[profiles]
        path = /home/profiles
        read only = No

-> /etc/nsswitch.conf

Kod:

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Oczywiście musisz doinstalowac paczki:

Kod:

root@samba:~# dpkg -l | grep winbind
ii  libnss-winbind:amd64               2:4.1.6+dfsg-1                amd64        Samba nameservice integration plugins
ii  libpam-winbind:amd64               2:4.1.6+dfsg-1                amd64        Windows domain authentication integration plugin
ii  libwbclient0:amd64                 2:4.1.6+dfsg-1                amd64        Samba winbind client library
ii  winbind                            2:4.1.6+dfsg-1                amd64        service to resolve user and group information from Windows NT servers
root@samba:~#

Po wykonaniu tych zabiegów będziesz mógł operować na domenowych kontach jak w windowsie czyli:

Kod:

chown 'DOMENA\Domain Admins:DOMENA\Domain Users' /home/profiles
chmod 0755 /home/profiles

Cały kod zakładania nowego konta + profilu mobilnego można wtedy ładnie oskrypcić.

Trochę chaotycznie mi to wyszło ;)

PS.: Pokaż jeszcze wynik: testparm

//EDIT: netlogon i sysvol też Ci się nie pokazuje? Jak tak to coś więcej masz skopane. Sprawdź jeszcze synchronizację czasu między kontrolerem a serwerem bo to tez może blokować możliwość autoryzacji w domenie.

Ostatnio edytowany przez milyges (2014-09-23 16:49:29)

ptaszol · 2014-09-24 08:49:32

Witam,

Moi drodzy z tego co mi się udało ustalić to mam problem z DNS, ponieważ jeżeli w konfiguracji podaje adres IP zamiast nazwy DNS serwera wtedy:

1. pojawia mi się zakładka zabezpieczenia do katalogu profiles i mogę dodać do niej grupę Domain User z odpowiednimi uprawnieniami.
2. w konfiguracji użytkownika, też muszę wpisać adres IP w profilu na a nie nazwę serwera, ponieważ gdy w konfiguracji użytkownika podam nazwę serwera, użytkownik nie ma uprawnień do katalogu profiles (widzi go ale nie może na niego wejść).
3. tak samo dzieje się na użytkowniku Administrator.

Jeżeli macie jakieś propozycje co może zrobić w tym temacie proszę o podpowiedź..

Pozdrawiam

milyges · 2014-09-24 09:24:39

Masz binda czy wewnętrzy DNS samby?

ptaszol · 2014-09-24 09:27:54

Mam binda, w konfiguracji podawałem BIND9_DLZ...

Kamil2685 · 2014-09-24 14:02:44

Powiedz czy pingujesz na serwerze i kliencie swoją domenę?
Pomocne podczas diagnozowania problemu są logi z samby i /var/log/syslog,
sprawdz co pokazują podczas próby logowania.

Forum Debian Users Gang

Ogłoszenie

#1 2014-09-23 15:18:38

ptaszol - Użytkownik

Profile mobilne samba 4 AD

#2 2014-09-23 15:42:13

milyges - inż.

Re: Profile mobilne samba 4 AD

#3 2014-09-23 15:49:09

ptaszol - Użytkownik

Re: Profile mobilne samba 4 AD

#4 2014-09-23 15:53:12

fervi - Użytkownik

Re: Profile mobilne samba 4 AD

#5 2014-09-23 16:46:02

milyges - inż.

Re: Profile mobilne samba 4 AD

Kod:

Kod:

Kod:

Kod:

#6 2014-09-24 08:49:32

ptaszol - Użytkownik

Re: Profile mobilne samba 4 AD

#7 2014-09-24 09:24:39

milyges - inż.

Re: Profile mobilne samba 4 AD

#8 2014-09-24 09:27:54

ptaszol - Użytkownik

Re: Profile mobilne samba 4 AD

#9 2014-09-24 14:02:44

Kamil2685 - Użytkownik

Re: Profile mobilne samba 4 AD

Stopka forum