[Sysadmins] samba в домене vs юзеры не в домене

Alexei Mezin alexei.mezin на gmail.com
Вт Июн 23 18:32:56 MSK 2020 

23.06.2020 17:42, Evgeny Sinelnikov пишет:

> - версия клиентских библиотек samba;

Вин10, Вин7, неизвестно-какой-линукс в стойках ЧПУ Сименс ит.п.

Еще раз попробую описать ситуацию:
есть организация, в ней работают люди, у них есть обычные рабочие места 
с обычными компьютерами, в основном под вин10, но есть и макось и 7ка. 
Есть домен, все рабочие места заведены в домен, всему персоналу сделаны 
учетные записи.

Есть самба-сервер с файлами. Введен в домен. Все сотрудники на него 
попадают со своих рабочих мест без проблем.

Но еще в организации есть различное оборудование, например станок с ЧПУ, 
который не факт что вообще может быть введен в домен. И тем более на нем 
непросто запустить smbclient. Но он умеет ходить по самбе на сервер, 
чтоб брать там программы, которые технолог со своего рабочего места 
выкладывает на сетевой диск. Там есть возможность ввести логин/пароль, и 
по сути логин/пароль технолога был бы уместен.

Или какая-нить установка ионного травления, к которой приставлен 
компьютер, где под локальным пользователем при пусконаладке настроено 
куча параметров в разном софте, и переносить все это на аккаунт 
доменного не факт что получится без проблем.

Сотрудники работают не только на своих "офисных" компьютерах, но и на 
установках с их компьютерами не в домене. Но при этом надо как-то 
обмениваться файлами, например с результатами работы. Не носить же их на 
дискетке!

Разумной видится ситуация, когда человек идет работать на установку с 
компьютером не в домене, и если ему нужен доступ к общим файлам, то он 
обращается к серверу, вводит свои доменные логин-пароль, и получает 
доступ с уровнем своего доменного пользователя.


Для примера: вот как выглядит попытка от _локального_ пользователя с 
самба-сервера зайти на сетевой диск с указанием имени доменного 
пользователя:

$ smbclient -U mezinav //10.17.203.251/incoming
Enter CTM\mezinav's password:
session setup failed: NT_STATUS_NO_LOGON_SERVERS

Имя домена автоматом подставлено правильно, DNS берется с контроллера 
домена.


kinit тоже не срабатывает:
$ kinit mezinav на domain
Password for mezinav на domain:
kinit: KDC reply did not match expectations while getting initial 
credentials

Подробная информация о списке рассылки Sysadmins