Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Linux / openSUSE - podpięcie Windows 7 do domeny stworzonej na SAMBA

25 Cze 2014 21:37 1779 6
  • Poziom 12  
    Witam serdecznie, Mam problem z podpięciem klienta Windows 7 Enterprise 32-bit do domeny utworzonej na sambie.
    Wzorowałem się na tej instrukcji: Link

    Otworzyłem YaST2 - Samba Server > jako Domain name ustawiłem ‘ADMDOM’ > Samba Server Type: PDC (primary domain controller) > Ustawiałem SAMBA ROOT PASSWORD (123451), taki sam jak dla użytkownika root. > finish
    Wcześnie wyłączyłem usługę firewall (disebled)
    Następnie w terminalu po kolei:
    1. # groupadd domadm
    2. # net groupmap add ntgroup=”Domain Admins” unixgroup=domadm rid=512 type=d
    komunikat: Successfully added group Domain Admis to the mapping db as a domain group
    3. # net groupmap add ntgroup=”Domain Users” unixgroup=users rid=513 type=d
    komunikat: Successfully added group Domain Admis to the mapping db as a domain group

    Na kliencie dodałem do rejestru dwa DWORD:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
    “DomainCompatibilityMode”=dword:00000001
    “DNSNameResolutionRequired”=dword:00000000

    To powinno wystarczyć, jednak nie bardzo pomogło.

    Kiedy próbuje podpiąć klienta Windows 7 Ent do domeny, jest ona ‘wykryta’ wpisuje login: administrator oraz hasło, jednak pojawia się komunikat:
    “The join operation was not successful. This could be because an
    existing computer account having the name “MACHINENAME” was previously
    created using a different set of credentials. Use a different computer
    name, or contact your administrator to remove any stale conflicting
    account. The error was: Access is denied.”

    Przeszperałem internet i znalazłem chociażby taką sugestie, by użyć komendy:
    # net sam rights grant [your admin account name] SeMachineAccountPrivilege
    w moim przypadku:
    # net sam rights grant root SeMachineAccountPrivilege

    Wciąż to samo.

    Szperałem dalej, znalazłem sugestie, żeby dodać jeszcze 2 klucze w rejestrze:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
    “RequireSignOnSeal”=dword:00000000
    “RequireStrongKey”=dword:00000000
    A także zmienić opcje:
    o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabezpieczeń -> Zabezpieczenia Sieci: poziom uwierzytelniania LAN Manager i opcja: Wyślij odpowiedzi LM i NTLM
    o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabez¬pieczeń -> Zabezpieczenia Sieci:minimalne zabezpieczenie sesji dla klientów opartych na NTLM SSP i odznaczyć opcję: Wymagaj szyfrowania 128-bitowego
    o Panel Sterowanie \ Narzędzia administracyjne \ Zasady Zabezpieczeń Lokalnych i następnie: Zasady Lokalne -> Opcje Zabezpieczeń -> Zabezpieczenia Sieci:minimalne zabezpieczenie sesji dla serwerów opartych na NTLM SSP i odznaczyć opcję: Wymagaj szyfrowania 128-bitowego

    Wciąż nic. Następnie upewniłem się czy konto root w sambie jest stworzone i aktywne:
    # smbpasswd -a root
    # smbpasswd –e root
    Informacje o systemie:
    System Linux: openSUSE 13.1
    Samaba v. 4.1
    Klient: Windows 7 Enterprise 32-bit (ale także Windows 8 Pro 32-bit, ten sam efekt)


    Zawartość pliku smb.conf:
    Code:

    # smb.conf is the main Samba configuration file. You find a full commented
    # version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
    # samba-doc package is installed.
    [global]
        workgroup = ADMDOM
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = P:
        usershare allow guests = No
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        domain logons = Yes
        domain master = Yes
        local master = Yes
        os level = 65
        preferred master = Yes
        security = user
        wins server =
        wins support = No
    [homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes
    [profiles]
        comment = Network Profiles Service
        path = %H
        read only = No
        store dos attributes = Yes
        create mask = 0600
        directory mask = 0700
    [users]
        comment = All users
        path = /home
        read only = No
        inherit acls = Yes
        veto files = /aquota.user/groups/shares/
    [groups]
        comment = All groups
        path = /home/groups
        read only = No
        inherit acls = Yes
    [printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No
    [print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @ntadmin root
        force group = ntadmin
        create mask = 0664
        directory mask = 0775

    [netlogon]
        comment = Network Logon Service
        path = /var/lib/samba/netlogon
        write list = root


    W pliku /var/log/samba/log.smbd pojawia się taki komentarz:
    Code:
    [2014/06/25 21:07:20.905837,  0] ../source3/passdb/pdb_interface.c:488(pdb_default_create_user)
    
      _samr_create_user: Running the command `/usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false win7ent-pc$' gave 83


    Nie ma już więcej pomysłów a nie wiem co zrobiłem źle. Siedzę już kilka dni na przeszukiwaniu internetu i nic. Bardzo chciałbym trochę zagłębić się w administrację Linuksa, jednak w pierwszej kolejności zależ mi na stworzeniu małej domeny. A tutaj nie da rady przeskoczyć tego problemu.
  • Poziom 43  
    Korzystanie z root do tego nie jest dobrym pomysłem. Załóż sobie jakieś konto testowe i dodaj użytkownika test do Windows 7 i Linuxa (hasło wszędzie musi być identyczne), a także do udziałów w smb.conf.

    Kod: bash
    Zaloguj się, aby zobaczyć kod
    Ostatnie polecenie sprawdzi konfigurację. Dodtakowo dostęp do udziałów możesz sprawdzać z Linuxa np.
    Kod: bash
    Zaloguj się, aby zobaczyć kod
  • Poziom 12  
    Niestety z user'em 'test' sytuacja identyczna. Więcej sugestii?
  • Poziom 43  
    Zamieszczaj komunikaty błędów. I pokaż jak edytowałeś smb.conf, co zwraca testparm.
  • Poziom 12  
    Komunikat błędu nie zmienił się:
    “The join operation was not successful. This could be because an
    existing computer account having the name “MACHINENAME” was previously
    created using a different set of credentials. Use a different computer
    name, or contact your administrator to remove any stale conflicting
    account. The error was: Access is denied.”

    Testparm wyrzuca poniższy tekst:
    Code:
    Load smb config files from /etc/samba/smb.conf
    
    rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
    Can't find include file /etc/samba/dhcp.conf
    Processing section "[homes]"
    Processing section "[profiles]"
    Processing section "[users]"
    Processing section "[groups]"
    Processing section "[printers]"
    Processing section "[print$]"
    Processing section "[netlogon]"
    Loaded services file OK.
    Server role: ROLE_DOMAIN_PDC
    Press enter to see a dump of your service definitions


    Właściwie nie edytowałem pliku smb.conf, został utworzony w takiej formie poprzez YaST - samba server setup.

    Wybacz niefachowa nomenklaturę, ale dopiero startuje z Linuxem.
  • Poziom 43  
    Pawell_88 napisał:
    Press enter to see a dump of your service definitions
    Jak tu dasz ENTER to wyświetli aktualną konfiguracja smb.conf.
  • Poziom 12  
    Wygląda to następująco:
    Code:
    [global]
    
            workgroup = ADMDOM
            map to guest = Bad User
            printcap name = cups
            add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
            logon path = \\%L\profiles\.msprofile
            logon drive = P:
            logon home = \\%L\%U\.9xprofile
            domain logons = Yes
            os level = 65
            preferred master = Yes
            domain master = Yes
            usershare allow guests = Yes
            usershare max shares = 100
            idmap config * : backend = tdb
            cups options = raw

    [homes]
            comment = Home Directories
            valid users = %S, %D%w%S
            read only = No
            inherit acls = Yes
            browseable = No

    [profiles]
            comment = Network Profiles Service
            path = %H
            read only = No
            create mask = 0600
            directory mask = 0700
            store dos attributes = Yes

    [users]
            comment = All users
            path = /home
            read only = No
            inherit acls = Yes
            veto files = /aquota.user/groups/shares/

    [groups]
            comment = All groups
            path = /home/groups
            read only = No
            inherit acls = Yes

    [printers]
            comment = All Printers
            path = /var/tmp
            create mask = 0600
            printable = Yes
            print ok = Yes
            browseable = No

    [print$]
            comment = Printer Drivers
            path = /var/lib/samba/drivers
            write list = @ntadmin, root
            force group = ntadmin
            create mask = 0664
            directory mask = 0775

    [netlogon]
            comment = Network Logon Service
            path = /var/lib/samba/netlogon
            write list = root