[SMB] Access denied, ook bij SWAT - Linux en overige clients

maandag 9 februari 2004 14:19

Acties:

Dunno

Topicstarter

Ben nu de hele dag al op inet aan het zoeken naar info over dit probleem, maar kan nergens antwoorden vinden, dus mijn laatste hoop ligt hier

Ik heb Samba 3.0.1 gecompiled op standaard Fedora Core 1 systeem.
- Users aangemaakt in Linux
- Users toegevoegd aan de SMB-db met smbpasswd
- Met smbclient local ingelogd, en lists opgevraagd
- Script voor swat aan xinet.d toegevoegd
- Config file voor Samba gemaakt, en door testparm gehaald
- De daemons smbd en nmbd gedraait

Bovenstaande gaat allemaal goed, en Samba lijkt vanaf de Linux kant dus ook te werken, maar zodra ik met Win2k toegang wil zoeken krijg ik de overbekende melding: 'Access denied'.
Vanaf de linux kant werkt alles zoals het hoort, de juiste shares worden bij de juiste users gedeelt enzo, dus het kan niet aan de usernames/passwords liggen. Maar wat dan wel?

Verder kan ik met geen mogelijkheid op SWAT komen. Wat ik ook probeer, elke keer als ik de ebin van swat wil runnen gebeurt er niets behalve dat de volgende regels in de log.swat komen:

code:

[root@dummy var]# more ./log.smbd
[2004/02/09 14:08:56, 0] smbd/server.c:main(747)
  smbd version 3.0.1 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2003
[2004/02/09 14:09:21, 0] lib/access.c:check_access(328)
  Denied connection from  (192.168.1.31)
[2004/02/09 14:09:21, 1] smbd/process.c:process_smb(883)
  Connection denied from 192.168.1.31

Firewall staat open, 901 is toegevoegd aan services, e.d. en toch wil swat niet runnen...

It's what it is...

maandag 9 februari 2004 14:24

Acties:

Spider.007

* Tetragrammaton

wat staat er in je smbd.conf onder [globa] > hosts allow?

En kun je je debug level omhoogschroeven?

http://samba.org/doxygen/samba/access_8c-source.html

[ Voor 51% gewijzigd door Spider.007 op 09-02-2004 14:26 ]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 9 februari 2004 14:26

Acties:

mylar

heb je machine accounts gemaakt?

zoniet --> google

maandag 9 februari 2004 14:35

Acties:

Spider.007

* Tetragrammaton

mylar schreef op 09 februari 2004 @ 14:26:
heb je machine accounts gemaakt?

zoniet --> google

Acropia schreef op 09 februari 2004 @ 14:19:
[...]
- Users aangemaakt in Linux
- Users toegevoegd aan de SMB-db met smbpasswd
- Met smbclient local ingelogd, en lists opgevraagd
[...]

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 9 februari 2004 14:36

Acties:

Acropia

Dunno

Topicstarter

Spider.007 schreef op 09 februari 2004 @ 14:24:
wat staat er in je smbd.conf onder [globa] > hosts allow?

daar heb ik 192.168.1. staan... en dat zou moeten werken want dat doet het bij mij thuis ook

It's what it is...

maandag 9 februari 2004 14:38

Acties:

Acropia

Dunno

Topicstarter

mylar schreef op 09 februari 2004 @ 14:26:
heb je machine accounts gemaakt?

zoniet --> google

nu je het zegt... kan ik me herinneren dat ik dat thuis ook gedaan had... maar heb daar heir op me werk iig niets aangedaan... thx voor de tip zal ff uitzoeken of dat wat opbrengt...

It's what it is...

maandag 9 februari 2004 15:20

Acties:

nwagenaar

God, root. What's the differen

Volgens mij maakt swat een verbinding met je localhost (127.0.0.1) dus ik zou dit even toevoegen aan je hosts allow van samba onder het kopje GLOBAL.

Zo wie zo zou je vanuit win2k een verbinding moeten kunnen maken met een share, Win2k komt dan met een popup scherm waar jij je gebruikersnaam en wachtwoord (eventueel) kan invullen.

Misschien een idee om je gehele netwerk segment toe te voegen aan de hosts allow. Volgens mij laat je nu alleen mensen toe die op ip-adres 192.168.1.1 draaien (je server lijkt me). Volgens mij moet 192.168.1. voldoende zijn (of check even de manual van je smb.conf -> man smb.conf).

Mijn Neo Geo MVS collectie

maandag 9 februari 2004 16:31

Acties:

Acropia

Dunno

Topicstarter

nwagenaar schreef op 09 februari 2004 @ 15:20:
Misschien een idee om je gehele netwerk segment toe te voegen aan de hosts allow. Volgens mij laat je nu alleen mensen toe die op ip-adres 192.168.1.1 draaien (je server lijkt me). Volgens mij moet 192.168.1. voldoende zijn

Zie 2 berichten eerder... daar heb ik dit zelf al gezegd...

Heb inmiddels dat hosts allow stukje er helemaal uitgehaald, en nu kan win2k ook de shares gebruiken...

Rest mij nog SWAT

It's what it is...

maandag 9 februari 2004 20:12

Acties:

Pyrowired

SWAT werkt standaard via localhost. Je kan het aanpassen, maar dan moet je je xinetd configuratie aanpassen met het ip adres wat je wilt gebruiken
(onder SuSE 8.2 onder /etc/xinetd.d/samba andere distro's zou ik t niet zo snel weten)

Zolang de zon schijnt, blijf ik binnen.

maandag 9 februari 2004 21:52

Acties:

Tachyon

pop the glock

Spider.007 schreef op 09 februari 2004 @ 14:35:
[...]
- Users aangemaakt in Linux
- Users toegevoegd aan de SMB-db met smbpasswd
- Met smbclient local ingelogd, en lists opgevraagd

[...]

Machineaccounts is toch wat anders dan useraccounts? Niet dat het uitmaakt, want machineaccounts heb je volgens mij alleen maar nodig als je Samba als PDC wilt draaien, toch? Of zit ik er nu helemaal naast?

If we do not change our direction, we will likely end up where we are heading.

maandag 9 februari 2004 23:13

Acties:

Spider.007

* Tetragrammaton

Tachyon schreef op 09 februari 2004 @ 21:52:
[...]

Machineaccounts is toch wat anders dan useraccounts? Niet dat het uitmaakt, want machineaccounts heb je volgens mij alleen maar nodig als je Samba als PDC wilt draaien, toch? Of zit ik er nu helemaal naast?

Wat zou een machine account moeten zijn dan? Volgens mij hebben we te maken met twee typen accounts; 1 op het OS (de zgn useraccounts) en 1 bij samba (aan te maken met `smbpassword`. Ik heb het idee dat TS beiden heeft gedaan

Verder zou een useraccount niet gerelateerd moeten zijn met het denyen van een connectie op basis van IP address

Zie ook de sourcecode van access.c zoals eerder door mij gegeven:

quote: http://samba.org/doxygen/samba/access_8c-source.html

00300 /* return true if access should be allowed to a service for a socket */
00301 BOOL check_access(int sock, const char **allow_list, const char **deny_list)
00302 {
00303  BOOL ret = False;
00304  BOOL only_ip = False;
00305  
00306  if ((!deny_list || *deny_list==0) && (!allow_list || *allow_list==0))
00307   ret = True;
00308 
00309  if (!ret) {
00310   /* bypass gethostbyaddr() calls if the lists only contain IP addrs */
00311   if (only_ipaddrs_in_list(allow_list) && only_ipaddrs_in_list(deny_list)) {
00312    only_ip = True;
00313    DEBUG (3, ("check_access: no hostnames in host allow/deny list.\n"));
00314    ret = allow_access(deny_list,allow_list, "", get_peer_addr(sock));
00315   } else {
00316    DEBUG (3, ("check_access: hostnames in host allow/deny list.\n"));
00317    ret = allow_access(deny_list,allow_list, get_peer_name(sock,True),
00318  get_peer_addr(sock));
00319   }
00320   
00321   if (ret) {
00322    DEBUG(2,("Allowed connection from %s (%s)\n",
00323      only_ip ? "" : get_peer_name(sock,True),
00324      get_peer_addr(sock)));
00325   } else {
00326    DEBUG(0,("Denied connection from %s (%s)\n",
00327      only_ip ? "" : get_peer_name(sock,True),
00328      get_peer_addr(sock)));
00329   }
00330  }
00331 
00332  return(ret);
00333 }

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 9 februari 2004 23:46

Acties:

Tachyon

pop the glock

Spider.007 schreef op 09 februari 2004 @ 23:13:
[...]

Wat zou een machine account moeten zijn dan? Volgens mij hebben we te maken met twee typen accounts; 1 op het OS (de zgn useraccounts) en 1 bij samba (aan te maken met `smbpassword`.

Meer heb je normaal gesproken ook niet nodig, maar wel als je Samba als domeincontroller wilt opzetten.

Machine-trust-accounts

Of anders:

[rml][ Samba] Configuratie stappenplan[/rml]

Is in dit topic dus niet van toepassing.

If we do not change our direction, we will likely end up where we are heading.

dinsdag 10 februari 2004 18:27

Acties: