[samba] Доступ к шаре из домена

Alexander Bokovoy ab на samba.org
Вт Ноя 7 18:44:41 MSK 2006 

Grigory Batalov wrote:
> On Tue, 07 Nov 2006 17:52:28 +0300 Alexander Bokovoy <ab на samba.org> 
> wrote:
> 
>>> У нас есть домен Windows NT и Linux-сервер с Самбой. Можно ли 
>>> дать доступ к шаре на Линуксе только определённой группе из 
>>> домена NT? Попробовал с помощью valid users:
>>> 
>>> [tmp] valid users = @"DOMAIN\Domain Users"
>>> 
>>> Не получилось. Сдаётся мне, что это работает только для домена на
>>>  той же Самбе.
>>> 
>>> Есть ли ещё какие-нибудь варианты?
>>> 
>> 1) Добавить Самбу в тот же домен, далее -- valid users
> 
> Добавил, конечно же.
> 
> $ smbclient //bigblue/tmp Password: Domain=[TEPKOM] OS=[Unix] 
> Server=[Samba 3.0.14a-Debian] tree connect failed: 
> NT_STATUS_ACCESS_DENIED
> 
> В логе появляется запись: ... [2006/11/07 18:08:15, 10] 
> lib/username.c:user_in_list(533) user_in_list: checking user |bga| 
> against |nobody| [2006/11/07 18:08:15, 10] 
> lib/username.c:user_in_list(529) user_in_list: checking user bga in 
> list [2006/11/07 18:08:15, 10] lib/username.c:user_in_list(533) 
> user_in_list: checking user |bga| against |@TEPKOM\Domain Users| 
> [2006/11/07 18:08:15, 5] lib/username.c:user_in_netgroup_list(315) 
> Unable to get default yp domain [2006/11/07 18:08:15, 2] 
> smbd/service.c:make_connection_snum(321) user 'bga' (from session 
> setup) not permitted to access this share (tmp) [2006/11/07 18:08:15,
>  3] smbd/error.c:error_packet(129) error packet at smbd/reply.c(415) 
> cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED ...
> 
> В группу Domain Users я включен:
> 
> $ net rpc user -S master info bga Password: ххх Domain Users
На сервере с Samba что говорит
net groupmap list verbose "ntgroup=Domain Users"
?

Пользователь bga на сервере с Samba во что маппится? Входит ли он в
юниксовую группу, которая соответствует Domain Users?

Проще всего этого добиться, если импортировать всех этих пользователей
через nss_winbind.

Не забывайте, что тройка sid/name/uid должна разрешаться по любому из
компонентов однозначно (пришло имя -- можно найти sid и uid, и
наоборот). Если это не выполняется -- ничего работать не будет.
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Подробная информация о списке рассылки Samba