Chinaunix

标题: samba AD 域用户无法登录 [打印本页]

作者: wutianshen 时间: 2010-01-29 13:21
标题: samba AD 域用户无法登录
win 2003 server + RHEL5 做 samba ads模式
已经成功加入域，winbind 启动，用winbind -u 能取得所有域用户
samba 设置共享目录

用window 客户端登录 samba服务，需要输入用户密码

，
遂输入一域用户名以及密码，登录不进，反复出现提示框。
在RHEL5 用getent passwd 输入之后没有域用户的账户和密码，getent groups也无果。
遂查看日志

请问各位大大们该如何解决！

[ 本帖最后由 wutianshen 于 2010-1-29 13:22 编辑 ]

作者: jerrywjl 时间: 2010-01-29 13:53
看日志：
你用wbinfo -g，也能获得用户组信息吗？

作者: wutianshen 时间: 2010-01-29 14:45
标题: 回复 #2 jerrywjl 的帖子
能获取的！
[root@RHEL5 samba]# wbinfo -g
Domain Computers
Domain Controllers
Schema Admins
Enterprise Admins
Domain Admins
Domain Users
Domain Guests
Group Policy Creator Owners
DnsUpdateProxy
品质部
技术部
中转库
人事部
供销
财务
总库
外贸
秘书
生产部
节能灯
采购部
[root@RHEL5 samba]#

作者: jerrywjl 时间: 2010-01-29 14:58
那好吧，这样就需要看看nsswitch.conf以及/etc/samba/smb.conf中的其他配置，尤其是winbind那一截和REALM方面的配置。

作者: wutianshen 时间: 2010-01-29 15:18

原帖由 jerrywjl 于 2010-1-29 14:58 发表
那好吧，这样就需要看看nsswitch.conf以及/etc/samba/smb.conf中的其他配置，尤其是winbind那一截和REALM方面的配置。

Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[home]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
      workgroup = XILIN
      realm = XILIN.COM
      server string = Samba Server
      security = ADS
      password server = server.xilin.com
      log file = /var/log/samba/%m.log
      max log size = 50
      dns proxy = No
      idmap uid = 10000 - 99999
      idmap gid = 10000 - 99999
      template shell = /sbin/nologin
      winbind separator = /
      winbind enum users = Yes
      winbind enum groups = Yes
      winbind use default domain = Yes
      cups options = raw

[printers]
      comment = All Printers
      path = /usr/spool/samba
      printable = Yes
      browseable = No

[home]
      path = /home/%D/%U
      valid users = %U
      read only = No
      create mask = 0664
      directory mask = 0775
      browseable = No
[root@RHEL5 samba]#

nsswitch的：
passwd: files winbind
shadow: files winbind
group: files winbind

#hosts:    db files nisplus nis dns
hosts:    files dns wins

# Example - obey only what nisplus tells us...
#services: nisplus [NOTFOUND=return] files
#networks: nisplus [NOTFOUND=return] files
#protocols:  nisplus [NOTFOUND=return] files
#rpc:       nisplus [NOTFOUND=return] files
#ethers:    nisplus [NOTFOUND=return] files
#netmasks: nisplus [NOTFOUND=return] files

bootparams: nisplus [NOTFOUND=return] files

ethers:    db files
netmasks: files
networks: files dns
protocols:  db files
rpc:       db files
services: db files

netgroup: nisplus

publickey:  nisplus

作者: jerrywjl 时间: 2010-01-29 15:36
netgroup: nisplus
改成：
netgroup: nisplus winbind

重启winbind；

然后把/etc/krb5.conf文件内容以及wbinfo -u的内容拿来看看。

作者: wutianshen 时间: 2010-01-29 16:10

原帖由 jerrywjl 于 2010-1-29 15:36 发表
netgroup: nisplus
改成：
netgroup: nisplus winbind

重启winbind；

然后把/etc/krb5.conf文件内容以及wbinfo -u的内容拿来看看。

krb5.conf:
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = XILIN.COM
dns_lookup_realm = false
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[realms]
XILIN.COM = {
  kdc = 192.168.0.1:88
  admin_server = XILIN.COM:749
  default_domain = XILIN.COM
}

[domain_realm]
.xilin.com = XILIN.COM
xilin.com = XILIN.COM

wbinfo -u
[root@RHEL5 samba]# wbinfo -u
Administrator
Guest
SUPPORT_388945a0
IUSR_SERVER
IWAM_SERVER
UF_OLAP_USER
krbtgt
lff
lfq
zq
cjl
kxf
zzy
scl
zcl
wjz
wll
sl
saj
lfz
hl
jhy
ccy
zqq
sjf
cjw
sjj
susan
cl
zyf
gl
dy
lxj
share
zyl
lydia
zaq
ps
carl
xzy
dong
eugene
jasonmars
zaq1
lfz1
zjh
pxs
plw
xilin
yang
zaq2
CJH
thq
sca
taorong
lyq
xcx
yfj
lj
fengx
zlj
zh
hong
huang
zyj
Angel
[root@RHEL5 samba]#

作者: wutianshen 时间: 2010-01-29 16:16
标题: 回复 #6 jerrywjl 的帖子
高人，刚把那个netgroup: nisplus winbind
修改，现在就可以了，不过我共享的 home目录为什么不显示
在/home 下面我mkdir一个 RHEL文件夹！

但是这个里面却没有显示耶！

作者: jerrywjl 时间: 2010-01-29 19:09
那当然了，你用的是WINDOWS AD的用户，在Linux下本来就没有家目录的啊？！也没有自己的shell环境，总之什么都没有。

作者: wutianshen 时间: 2010-01-29 19:20
标题: 回复 #9 jerrywjl 的帖子
那我要做想 windows 文件共享及权限分配那样的该如何设置

[ 本帖最后由 wutianshen 于 2010-1-29 19:41 编辑 ]

作者: jerrywjl 时间: 2010-01-29 19:22
你必须确保这个windows用户在linux上有他自己的主目录，以及在主目录中有他自己的profile文件，你可以到/etc/skel目录中去拷贝这些profile的模板。

作者: wutianshen 时间: 2010-01-29 19:50

原帖由 jerrywjl 于 2010-1-29 19:22 发表
你必须确保这个windows用户在linux上有他自己的主目录，以及在主目录中有他自己的profile文件，你可以到/etc/skel目录中去拷贝这些profile的模板。

有资料没，能实现像一个部门文件夹只能这个部门用户访问。。用户之间有的能写，有的只读！

作者: jerrywjl 时间: 2010-01-29 20:12
几乎所有的中文的资料，无非告诉你怎么从头到尾把命令敲一次。我建议你还是去看samba的官方文档吧。

作者: wutianshen 时间: 2010-01-29 20:29
标题: 回复 #13 jerrywjl 的帖子
谢谢

作者: lsdaniel 时间: 2011-10-20 09:48
http://bbs.chinaunix.net/viewthr ... ;extra=#pid21566040

按上面链接中的方法配置成功，可以将samba加入到域中，也可以进行域用户认证，在我这里存在3个问题：
1、提示DNS无法注册或更新失败；

2、使用mkhome.sh进行根目录创建时，在smb.conf中传过去的%G变量无效，创建出来的目录权限是：%U:root，通过域用户登录samba后，在其家目录下创建的文档为: %U:domain user，我想是不是因为在域中的用户缺省组是domain user,而中间又有一个空格，导致mkhome.sh获取的组是domain，而在getent -u 中又没有这个组，就用root组了。

3、在smb.conf中加入include = /etc/samba/GroupConf/%G.smb.conf，在进行testparm时，变量%G不改变；

4、这3个问题如何处理，查过了很多的samba资料，也没有看到相关的说明。

感谢支持！

作者: whliwenlong 时间: 2015-07-10 15:14
楼主，做过在AD域上面给samba共享配置权限的问题没？请教下

作者: whliwenlong 时间: 2015-07-10 15:30
前辈，AD域给samba共享目录设置权限一直都设置不了，这个怎么弄啊？回复 13# jerrywjl

作者: whliwenlong 时间: 2015-07-13 16:31

wutianshen 发表于 2010-01-29 19:20
那我要做想 windows 文件共享及权限分配那样的该如何设置

[ 本帖最后由 wutianshen 于 2010-1-29 19:41 编 ...

请问楼主，你的这个问题解决了吗？我现在也是要设置这个权限的问题，不知道怎么弄，都搞了好些天了

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)