Samba 3.0.4-debian windows 2000 toegang geweigerd. - Linux en overige clients

donderdag 24 juni 2004 19:48

Acties:

Verwijderd

Topicstarter

Beste dames en heren,

Voor de verandering kom ik eens met een samba probleem.

Ik heb samba op een debian machine geinstalleerd:

code:

1	apt-get install samba

en een configfile van gathering.tweakers.net gecopieerd (uit de pdc thread die op slot zit, maar toch bedankt voor de conf)

Maargoed, windows xp machines kunnen zonder problemen zich aanmelden bij het domein, en ook zonder problemen bij de shares/homedir.
Windows 2000 computers (sp3) kunnen daarintegen niet verbinden met de shares, en krijg ik de foutmelding

code:

1 2	<share> is niet toegankelijk. Toegang geweigerd.

Ik heb vrolijk de rechten allemaal staan aanpassen etc. maar dat werkt dus ook niet. Het hele vage nu is; de profielen staan ook in de homedirs, en die worden wel gewoon geladen. Machine, user en smbuser zijn allemaal aangemaakt...

De printer (er staat er nu maar 1 in) kan ik wel zien, dus die dir kan ik in...

RaRa Hoe kan dit? (dit is niet een vraag waarbij ik zo het antwoord post

)

Bijvoorbaat dank voor het lezen en nakijken van dit ozo verdrietige verhaaltje.

de smb.conf:

code:

[global]
      workgroup = STAMYACHTING
      netbios NAME = Stamserver2
      server string = De Nieuwe Server
      interfaces = eth1 10.0.0.1
      bind interfaces only = Yes
      encrypt passwords = Yes
      passwd program = /usr/bin/passwd %u
      passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
      username map = /etc/samba/smbusers
      unix password sync = Yes
      syslog = 0
      log file = /var/log/smb.%m
      lock dir = /var/lock/samba
      max log size = 50
      time server = Yes
      socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=4096 SO_RCVBUF=4096
      domain admin group = root @adm
      add user script = /usr/sbin/useradd -g machines -c machines -d /dev/null -s /bin/false %m$
      logon script = scripts\%U.bat
      logon drive = h:
      domain logons = Yes
      os level = 65
      preferred master = True
      domain master = True
      dns proxy = No
      create mask = 0740
      directory mask = 0750

[homes]
      comment = Home Directories
      read only = No
      create mask = 0700
      directory mask = 0700
      browseable = No
      locking = No
      oplocks = No
      nt acl support = no


[netlogon]
      path = /home/netlogon

[printers]
      comment = All Printers
      path = /tmp
      create mask = 0700
      printable = Yes
      browseable = No

edit:

en de logs

/var/log/smb.ria

code:

[2004/06/24 19:34:47, 1] smbd/service.c:make_connection_snum(619)
  ria (10.0.0.68) connect to service netlogon initially as user ria (uid=1011, gid=1011) (pid 3534
)
[2004/06/24 19:35:00, 1] smbd/service.c:make_connection_snum(619)
  ria (10.0.0.68) connect to service ria initially as user ria (uid=1011, gid=1011) (pid 3534)
[2004/06/24 19:35:47, 1] smbd/service.c:close_cnum(801)
  ria (10.0.0.68) closed connection to service ria
[2004/06/24 19:35:47, 1] smbd/service.c:close_cnum(801)
  ria (10.0.0.68) closed connection to service netlogon
[2004/06/24 19:35:47, 1] smbd/service.c:close_cnum(801)
  ria (10.0.0.68) closed connection to service ria
[2004/06/24 19:38:31, 1] smbd/service.c:make_connection_snum(619)
  ria (10.0.0.68) connect to service netlogon initially as user ria (uid=1011, gid=1011) (pid 3534
)
[2004/06/24 19:38:33, 1] smbd/service.c:make_connection_snum(619)
  ria (10.0.0.68) connect to service ria initially as user ria (uid=1011, gid=1011) (pid 3534)
[2004/06/24 19:38:36, 0] smbd/service.c:make_connection(771)
  ria (10.0.0.68) couldn't find service ::{2227a280-3aea-1069-a2de-08002b30309d}
[2004/06/24 20:15:57, 1] smbd/service.c:close_cnum(801)
  ria (10.0.0.68) closed connection to service ria
[2004/06/24 20:15:57, 1] smbd/service.c:close_cnum(801)
  ria (10.0.0.68) closed connection to service netlogon
[2004/06/24 20:15:57, 1] smbd/service.c:close_cnum(801)
  ria (10.0.0.68) closed connection to service ria

of bijvoorbeeld:

/var/log/samba/log.smbd

code:

[2004/06/24 19:34:18, 0] smbd/server.c:main(757)
  smbd version 3.0.4-Debian started.
  Copyright Andrew Tridgell and the Samba Team 1992-2004
[2004/06/24 19:34:18, 0] param/loadparm.c:map_parameter(2428)
  Unknown parameter encountered: "domain admin group"
[2004/06/24 19:34:18, 0] param/loadparm.c:lp_do_parameter(3118)
  Ignoring unknown parameter "domain admin group"
[2004/06/24 20:16:00, 0] smbd/server.c:main(757)
  smbd version 3.0.4-Debian started.
  Copyright Andrew Tridgell and the Samba Team 1992-2004
[2004/06/24 20:16:00, 0] param/loadparm.c:map_parameter(2428)
  Unknown parameter encountered: "domain admin group"
[2004/06/24 20:16:00, 0] param/loadparm.c:lp_do_parameter(3118)
  Ignoring unknown parameter "domain admin group"
[2004/06/24 20:17:05, 0] smbd/server.c:main(757)
  smbd version 3.0.4-Debian started.
  Copyright Andrew Tridgell and the Samba Team 1992-2004

die unknown parameter is bij de laatste restart (20:17:05) eruit gegaan (het bekende # voor een regel)

[ Voor 36% gewijzigd door Verwijderd op 24-06-2004 20:21 ]

donderdag 24 juni 2004 20:09

Acties:

Dim

Post eens de error messages die je in smbd.log en/of nmbd.log krijgt als je met Windows 2000 probeert toegang te krijgen?

Ik vermoed overigens dat je nooit smbpasswd gedraaid hebt, en aangezien je encrypted passwords hebt aanstaan, kan je dan problemen krijgen. Heb je smbpasswd al gerund?

My other computer is your windows box.

donderdag 24 juni 2004 20:18

Acties:

Verwijderd

Topicstarter

Post eens de error messages die je in smbd.log en/of nmbd.log krijgt als je
met Windows 2000 probeert toegang te krijgen?

done, zie ook het vorige bericht

Ik vermoed overigens dat je nooit smbpasswd gedraaid hebt, en aangezien je encrypted passwords hebt aanstaan, kan je dan problemen krijgen. Heb je smbpasswd al gerund?

Ik voeg mensen toe met smbpasswd -a <username>
Ik neem dus aan (uhoh) dat dat toch goed is.

edit:

Na uitloggen en weer inloggen op de windows machine (de vorige 1239812981951 keer mochten niet baten) kan ik er nu wel in.

riiiight

maargoed, deze mag op slot, en toch nog bedankt voor het antwoord...

[ Voor 23% gewijzigd door Verwijderd op 24-06-2004 20:43 ]

maandag 28 juni 2004 11:33

Acties:

Verwijderd

Topicstarter

Het volgende is gebeurd.

op het moment dat mensen lokale administrator zijn, kunnen ze niet bij de samba netwerk shares.
Als ze daarintegen een gebruiker zijn met minder rechten kan je wel bij de shares.

Veel debieler kan het niet geloof ik.

maargoed, weet iemand hoe ik een lokale administrator kan zijn, EN hoe ik ook
nog op de shares kan komen?

EDIT:

Het kan nog debieler (jaja)

Ik kan wel onderliggende mappen gebruiken!
oftewel:

\\server\share kan niet (vanwege dat administrator niet op shares mag

)
\\server\share\mapinshare kan wel omdat, nou, ehh, daarom!

zucht

ik ben op dit moment in staat om een ticket te boeken naar redmond, en daar mensen in de fik te steken. (het zogenaamde flamen).

huil.

help?

edit:

Ik kan als ik in windows inlog als niet administrator een share mounten als gebruiker administrator (verbinding maken via een andere gebruikersnaam).

log.smbd:

code:

1
2
3

[2004/06/30 15:48:23, 1] smbd/service.c:make_connection_snum(619)
  henk (10.0.0.69) connect to service Administrator initially as user Administrator 
(uid=1001, gid=100) (pid 1251)

de nmbd en winbindd logs zijn niet echt van toepassing, aangezien die de afgelopen 4 uur niet veranderd zijn, en ik hier nog niet aanwezig was de tijd daarvoor...

mijn huidige smb.conf, voor een bdc:

code:

[global]
        workgroup       = stam
        netbios name    = STAMSERVER
        security        = user
        passdb backend  = tdbsam
        printcap name   = cups
        add user script         = /usr/sbin/useradd -m %u
        delete user script      = /usr/sbin/userdel -r %u
        add group script        = /usr/sbin/groupadd %g
        delete group script     = /usr/sbin/groupdel %g
        add user to group script = /usr/sbin/usermod -G %g %u
        add machine script      = /usr/sbin/useradd -s /bin/false \
         -d /dev/null %u
        logon script    = scripts\logon.bat
        logon path      = \\%L\Profiles\%U
        logon drive     = X:
        logon home      = \\%L\%U
        domain logons   = Yes
        os level        = 0
        preferred master = No
        domain master   = No
        idmap uid       = 15000-20000
        idmap gid       = 15000-20000
        printing        = cups


[homes]
        comment         = Home Directories
        valid users     = %S
        read only       = No
        browseable      = No

[printers]
        comment         = All Printers
        path            = /var/spool/samba
        printer admin   = root
        create mask     = 0600
        guest ok        = Yes
        printable       = Yes
        browseable      = No

[print$]
        comment         = Printer Drivers Share
        path            = /var/lib/samba/drivers
        write list      = root
        printer admin   = root



        # Needed to support domain logons

[netlogon]
        comment         = Network Logon Service
        path            = /var/lib/samba/netlogon
        admin users     = root
        guest ok        = Yes
        browseable      = No



# For profiles to work, create a user directory under the path
   # shown. i.e., mkdir -p /var/lib/samba/profiles/maryo

[Profiles]
        comment         = Roaming Profile Share
        path            = /home/samba/profiles
        read only       = No
        profile acls    = Yes

[share]

        comment         = Tijdelijke share
        path            = /home/samba/ouded
        writeable       = Yes
        read only       = No
        guest ok        = Yes
        browseables     = Yes

[ Voor 103% gewijzigd door Verwijderd op 30-06-2004 16:02 ]

woensdag 30 juni 2004 23:49

Acties:

Verwijderd

Topicstarter

kickje *schop*

edit:

okay, misschien ben ik er achter, maar ik weet het niet helemaal zeker (weet ik morgen om 08:30, hou me iig op de hoogte voor nieuwe iedeeeeeeen.

in smb.conf stond mijn groupadd script niet goed (en mn usermod script ook niet)
het zou dus kunnen zijn dat machines niet een goeie trust account hadden.

Met

code:

1	net rpc vampire -S STAMPDC -Uadministrator,<<CENCUUR>>

kreeg ik de foutmelding dat sommige groepen niet bestonden, en dat ik de foute syntax voor groupadd gebruikte.

nu keek ik in mijn smb.conf en daar stond:

code:

1
2
3

        add group script        = /usr/sbin/groupadd %g
        delete group script     = /usr/sbin/groupdel %g
        add user to group script = /usr/sbin/usermod -G %g %u

En die scriptjes werken wel, maar als je groepen hebt met meer dan 1 woord (zoals Domain Users) dan kan hij geen group aanmaken...

dit commando

code:

1	net groupmap modify ntgroup="Domain Users" unixgroup=users

had helaas geen nut.

de oplossing voor de groups ligt dus ook in smb.conf en daar moet je alleen maar een paar " tekens om %g neerzetten, zoals:

code:

1
2
3

        add group script        = /usr/sbin/groupadd "%g"
        delete group script     = /usr/sbin/groupdel "%g"
        add user to group script = /usr/sbin/usermod -G "%g" %u

dan kunnen er iig automagisch groups en users aan groups worden toegevoegd.

Alleen vind ik het dan nog steeds vaag dat alleen een local administrator user er niet bij kan, en de rest van de gebruikers wel. (je zou eerder andersom verwachten).

Ik ga het morgen proberen of ik er bij mag, en zo ja laat ik het meteen weten.
En mochten jullie nogmaals iets weten, dan lees ik dat graag.

(kickje trouwens met dank aan een mod

)

[ Voor 114% gewijzigd door Verwijderd op 01-07-2004 00:24 ]