Регистрация Войти
Рейтинг:0
dummzeuch avatar Server

Ошибка входа в Windows 10 у члена домена Samba NT

флаг cc
dummzeuch

У меня есть следующая установка:

  • Самба-сервер ПДК действует как основной контроллер домена домена NT МОЙ ДОМЕН (не Active Directory!)
  • ПК с Windows 10 профессиональный Win10 который также является членом этого домена
  • (новый) второй сервер Samba МС1 который должен быть членом этого домена. Он был добавлен в этот домен с помощью команды «/usr/bin/net join -U Administrator%Password», и ошибки не было.
  • Серверы Windows не задействованы.
  • Это не тестовая установка, а производственная среда в небольшой компании, поэтому есть доступ к другим ПК с Windows 10. ПДК и простое изменение конфигурации PDC не вариант. (Я работаю сетевым администратором в этой компании.)
  • Версия Samba на обоих серверах 4.7.6-Ubuntu.

С заданной учетной записью пользователя домена МОЙ ПОЛЬЗОВАТЕЛЬ Я могу войти в систему Win10. Оттуда я также могу получить доступ ко всем общим ресурсам ПДК.

Но проблема в том, что я не могу получить доступ к каким-либо ресурсам МС1.

Проводник Windows показывает диалоговое окно входа в систему для общего ресурса, и когда я указываю MYUSER и пароль (снова), он говорит: «Доступ запрещен».

В командной строке «net use \MS1\ShareName» появляется сообщение об ошибке «Недопустимый пароль для \MS1\ShareName», за которым следует запрос на ввод имени пользователя и пароля для МС1. Вход МОЙ ПОЛЬЗОВАТЕЛЬ и пароль приводит к «Произошла системная ошибка 5. Доступ запрещен».

В журнале МС1 для ИС Win10 Я нахожу следующую запись:

[2021/12/09 13:57:41.755023, 0] ../source3/auth/auth_util.c:1259(check_account)
  check_account: не удалось преобразовать SID S-1-5-21-2503006329-1497337827-313999797-1274
  на UID (dom_user[MYDOMAIN\MYUSER])

Google не нашел совпадений для этого сообщения об ошибке.

тестпара включена МС1 дает мне следующий вывод:

Загрузите файлы конфигурации smb из /etc/samba/smb.conf
rlimit_max: увеличение rlimit_max (1024) до минимального предела Windows (16384)
Раздел обработки "[принтеры]"
Обработка раздела "[дома]"
ПРИМЕЧАНИЕ. Сервисные центры помечены как недоступные.
Раздел обработки "[ShareName]"
Загруженный файл сервисов в порядке.
диапазон idmap не указан для домена '*'
ОШИБКА: Недопустимый диапазон idmap для домена *!

Роль сервера: ROLE_DOMAIN_MEMBER

Я попытался добавить запись для диапазона idmap, но это не имело никакого значения.

Я также пытался добавить МОЙ ПОЛЬЗОВАТЕЛЬ как пользователь Linux на MS1 с тем же паролем, что и в домене. Это не имело никакого значения.

Я в недоумении, как исследовать это дальше. Какие журналы просматривать и какие параметры конфигурации проверять.

Google выдал множество результатов, но все они относились к установке Active Directory. К сожалению, «простое» обновление до ADS в настоящее время невозможно, так как это может нарушить работу других служб.

543
0 + 0
Jiri B avatar
флаг tg
Jiri B
После аутентификации пользователя smbd необходимо сопоставить пользователя с локальным UID/GID, что является целью сопоставления удостоверений. Увеличьте «уровень отладки = 10» и проверьте подробности. grep `_Get_Pwnam` в журнале smb. Если вы видите, что в функции `check_account` происходит сбой, то, скорее всего, у вас не работает idmap, см. idmap_ справочная страница (например, 'rid', 'ad'...). См. пример сбоя idmap - https://gist.github.com/jirib/c5170a0ce75f28faef0943d481111375.
1
Ответить
Jiri B avatar
флаг tg
Jiri B
Еще вопрос: какой UID/GID должен быть у вашего MYDOMAIN\myuser? Автоматически сгенерированный, явно определенный UID/GID должен ли он быть сопоставлен с локальной учетной записью Linux?
0
Ответить
dummzeuch avatar
флаг cc
dummzeuch
@JiriB Первоначальная идея заключалась в том, чтобы автоматически реплицировать пользователей Linux и использовать те же идентификаторы. К сожалению, меня временно отстранили от этого проекта из-за работы с более высоким приоритетом, поэтому потребуется некоторое время, прежде чем я вернусь к этому вопросу. Я ценю ваш вклад, хотя. Это может стать спорным вопросом, потому что переход на AD теперь также стал вариантом. У меня есть тестовая установка (DC, SDC + MS) с запущенным AD, которая, кажется, работает для обслуживания файлов, но есть еще электронная почта, которую нужно учитывать.
0
Ответить
Jiri B avatar
флаг tg
Jiri B
Попробуйте проверить статью базы знаний SUSE о плюсах и минусах различных бэкендов idmap — https://www.suse.com/support/kb/doc/?id=000017458.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.