[Sysadmins] samba в домене vs юзеры не в домене

Evgeny Sinelnikov sin на altlinux.org
Вт Июн 23 15:10:59 MSK 2020 

Здравствуйте,

вт, 23 июн. 2020 г. в 12:54, Alexei Mezin <alexei.mezin на gmail.com>:
>
> Имеется домен AD на Win, имеется server 9, который подключен в домен
> "способом по умолчанию" через альтератор, и на котором samba. Для
> доменных пользователей все работает: от входа на самба-шары до логина на
> сервер через ssh.
>
> Но! В сети есть компьютеры, которые не введены в домен, и врядли будут
> (например, ЧПУ-стойки и компы, приставленные к оборудованию). Как с них
> попасть на самба-шары? Не пускает никак, ввод логин/пароля (просто
> логин, домен\логин, логин@домен) не помогает. Может есть какая-то хитрость?
>
> Добавил серверу еще один интерфейс, поднял на нем еще один экземпляр
> smbd, security=user -- все равно не работает. При том, что идентичный
> конфиг на этом же сервере ДО подключения к домену работал. Точнее,
> работает с соседней машины под линукс через smbclient, но не работает ни
> с одной виндовз-машины.
>

Трудно сказать, нужно больше подробностей.
У меня никак не увязываются фразы "экземпляр smbd, security=user" и
"идентичный конфиг на этом же сервере ДО подключения к домену
работал". Опишите конфигурацию по-подробнее. Проблему нужно увидеть, а
для этого нужно воспроизвести.

Кроме конфигурации есть задача, которая тоже не очень понятна. "В сети
есть компьютеры, которые не введены в домен". Требуется для этих
компьютеров проверка прав доступа или достаточно гостевого доступа?
Нужен доступ на запись? Какой клиент установлен на этих узлах (версия
samba, если libsmbclient, или версия ядра, если это монтирование через
cifs)?

В целом, оно может работать:

_______________________________________________

sin на xpi getalt $ ping 10.64.171.10
PING 10.64.171.10 (10.64.171.10) 56(84) bytes of data.
64 bytes from 10.64.171.10: icmp_seq=1 ttl=63 time=0.663 ms
^C
--- 10.64.171.10 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.663/0.663/0.663/0.000 ms
sin на xpi getalt $ smbclient -L //10.64.171.10
Enter administrator на DOMAIN.ALT's password:
Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.11.9)
SMB1 disabled -- no workgroup available
sin на xpi getalt $ smbclient -L //10.64.171.10/sysvol -U Administrator
Enter MYGROUP\Administrator's password:
sin на xpi getalt $ smbclient -L //10.64.171.10/sysvol -U Administrator -W DOMAIN
Enter DOMAIN\Administrator's password:

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service (Samba 4.11.9)
SMB1 disabled -- no workgroup available
sin на xpi getalt $ smbclient //10.64.171.10/sysvol -U Administrator -W DOMAIN
Enter DOMAIN\Administrator's password:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                   D        0  Wed Jun  3 14:28:30 2020
  ..                                  D        0  Mon Jun 22 20:09:26 2020
  domain.alt                          D        0  Wed May  6 03:11:33 2020
  456                                 A        0  Sun May 17 04:54:14 2020
  123                                 A        0  Sun May 17 04:53:35 2020
  domain                              D        0  Wed May  6 03:11:29 2020
  admintemplates_x64_5017-1000_en-us.exe      N 12370976  Tue Jun  2
23:23:50 2020
  admintemplates_x86_5017-1000_en-us.exe      N 12115848  Tue Jun  2
23:23:55 2020
  Win7-2008R2-admx.msi                N 22063616  Wed Jun  3 14:23:01 2020
  WindowsServer2016_TP5_ADMX.msi      N  9910784  Wed Jun  3 14:25:02 2020

                10254612 blocks of size 1024. 4816568 blocks available
smb: \> ^C
sin на xpi getalt $ rpm -qf /usr/bin/smbclient
samba-client-4.11.8-alt1.x86_64

_______________________________________________

10.64.171.10, в данном случае - это контроллер домена. Клиент - моя
рабочая станция на p9. Моё подозрение - в "ЧПУ-стойках и компах, на
приставленном к оборудовании" установлены старые клиентские
библиотеки. Для подключения к новому серверу требуется разрешить на
нём устаревший протокол SMB1. В новых сборках Samba этот протокол
отключен.

Но, если "идентичный конфиг на этом же сервере ДО подключения к домену
работал", то хотелось бы понять в чём отличие? Сервер был введён в
домен, как член домена, после этого перестаёт работать доступ?

-- 
Sin (Sinelnikov Evgeny)

Подробная информация о списке рассылки Sysadmins