Kellaoow
26-09-2013, 19:10
Всем привет. Надеюсь, что опытные линуксоиды смогут если уж не предоставить точное решение проблемы, то хотя бы подскажут, в какую сторону копать, ибо у меня уже совсем идей нет.
Суть такова: Samba на Centos 6.4 в Домене AD. Работала отлично, пользователей на шару по группам из LDAP пускала, файлы раздавала и вообще все было замечательно, пока в один момент без какой-либо явной причины перестала работать. Винбинд с керберосом и нтпд сыпят ошибками в логи, а при попытке зайти на саму самбу, запрашивается пароль. Вероятно, запрашивается он потому, что авторизоваться в домене Samba не может, вот и пытается запросить у пользователя локальные логин/пароль.
Соль в том, что на сервере никто ничего не трогал и не вносилось никаких изменений ни в конфиг ни в домен.
Скрины ошибок и их описание во вложении. Сложность в том, что, во-первых, сами ошибки не дают особого представления о том, где искать проблему: совершенно непонятно, как сервер может не найти хостнейм adc03, если из консоли он его прекрасно пингует как по имени, так и по адресу.
Совершенно непонятно, почему керберос не может авторизоваться, если доподлинно известно и перепроверено, что специально созданная и добавленная в нужные группы учётка для сервера есть в ldap и имеет те же самые учетные данные, с которыми сервер пытается авторизоваться.
Гуглить же по ошибе "preauthentication failed" бессмысленно, т.к. возникает она при попытке ввода сервера в домен, а не после этого (как в моём случае).
Вывод testparm:
[root@srv-centos ~]# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[share]"
Processing section "[public]"
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
dos charset = cp866
unix charset = utf8
display charset = utf8
workgroup = (domain)
realm = (FQDN)
server string = srv-centos
security = ADS
auth methods = winbind
allow trusted domains = No
password server = adc-02, adc-03
load printers = No
disable spoolss = Yes
show add printer wizard = No
domain master = No
ldap ssl = no
winbind cache time = 10
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind refresh tickets = Yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
case sensitive = No
[share]
path = /samba/share
valid users = (ldap users)
read list = (ldap users)
write list = (ldap users)
read only = No
create mask = 0644
[public]
path = /samba/public
valid users = (ldap users)
read list = (ldap users)
write list = (ldap users)
read only = No
create mask = 0644
guest ok = Yes
Подправил fqdn и домен, дабы не палить контору.
Ну и на закуску: по соседству, на таком же центосе, с абсолютно идентичными конфигами и абсолютно таком же Центосе совершенно спокойно и без каких-либо проблем работает другой сервер.
Всем заранее спасибо за помощь. Если нужны ещё какие-либо конфиги, пишите, честно говоря, лень за ними лезть и переправлять под конец рабочего дня. :) Но если они необходимы - выложу. Хотя я уверен, что ничего интересного там найти не представляется возможным, ибо все перепроверено тысячу раз.
Суть такова: Samba на Centos 6.4 в Домене AD. Работала отлично, пользователей на шару по группам из LDAP пускала, файлы раздавала и вообще все было замечательно, пока в один момент без какой-либо явной причины перестала работать. Винбинд с керберосом и нтпд сыпят ошибками в логи, а при попытке зайти на саму самбу, запрашивается пароль. Вероятно, запрашивается он потому, что авторизоваться в домене Samba не может, вот и пытается запросить у пользователя локальные логин/пароль.
Соль в том, что на сервере никто ничего не трогал и не вносилось никаких изменений ни в конфиг ни в домен.
Скрины ошибок и их описание во вложении. Сложность в том, что, во-первых, сами ошибки не дают особого представления о том, где искать проблему: совершенно непонятно, как сервер может не найти хостнейм adc03, если из консоли он его прекрасно пингует как по имени, так и по адресу.
Совершенно непонятно, почему керберос не может авторизоваться, если доподлинно известно и перепроверено, что специально созданная и добавленная в нужные группы учётка для сервера есть в ldap и имеет те же самые учетные данные, с которыми сервер пытается авторизоваться.
Гуглить же по ошибе "preauthentication failed" бессмысленно, т.к. возникает она при попытке ввода сервера в домен, а не после этого (как в моём случае).
Вывод testparm:
[root@srv-centos ~]# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[share]"
Processing section "[public]"
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
dos charset = cp866
unix charset = utf8
display charset = utf8
workgroup = (domain)
realm = (FQDN)
server string = srv-centos
security = ADS
auth methods = winbind
allow trusted domains = No
password server = adc-02, adc-03
load printers = No
disable spoolss = Yes
show add printer wizard = No
domain master = No
ldap ssl = no
winbind cache time = 10
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind refresh tickets = Yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
case sensitive = No
[share]
path = /samba/share
valid users = (ldap users)
read list = (ldap users)
write list = (ldap users)
read only = No
create mask = 0644
[public]
path = /samba/public
valid users = (ldap users)
read list = (ldap users)
write list = (ldap users)
read only = No
create mask = 0644
guest ok = Yes
Подправил fqdn и домен, дабы не палить контору.
Ну и на закуску: по соседству, на таком же центосе, с абсолютно идентичными конфигами и абсолютно таком же Центосе совершенно спокойно и без каких-либо проблем работает другой сервер.
Всем заранее спасибо за помощь. Если нужны ещё какие-либо конфиги, пишите, честно говоря, лень за ними лезть и переправлять под конец рабочего дня. :) Но если они необходимы - выложу. Хотя я уверен, что ничего интересного там найти не представляется возможным, ибо все перепроверено тысячу раз.