Назад | Перейти на главную страницу

Ошибка аутентификации на сервере Samba с бэкэндом LDAP

Я пытаюсь настроить сервер Samba, чтобы просто использовать бэкэнд LDAP для аутентификации пользователей. Просто меня не интересуют PDC / BDC и т. Д.

Схема самбы присутствует в LDAP и в профиле пользователя. И этот сервер уже используется другим сервером Samba, который, вероятно, является PDC. Но у меня нет доступа на запись к LDAP или серверу samba. Я могу только читать записи LDAP.

Я могу войти через SSH на моем сервере Samba, используя учетную запись LDAP, поэтому я считаю, что NSS / PAM хороши.

Дело в том, что когда я пробую эту команду:

smbclient -d 2  //sandbox-samba.mydomain.com/MyShare  -U user.ldap

Я получаю это:

rlimit_max: увеличение rlimit_max (1024) до минимального лимита Windows

(16384) добавлен интерфейс eth0 ip = 10.X.X.19 bcast = 10.X.X.255

netmask = 255.255.255.0 Введите пароль user.ldap: настройка сеанса

не удалось: NT_STATUS_LOGON_FAILURE

А на стороне сервера самбы у меня в логах самбы есть:

[24.03.2015, 14: 55: 19.913036, 2] lib / smbldap.c: 1018 (smbldap_open_connection)

smbldap_open_connection: соединение открыто

[24.03.2015, 14: 55: 19.916244, 3] lib / smbldap.c: 1240 (smbldap_connect_system)

ldap_connect_system: успешное подключение к серверу LDAP

[2015/03/24 14: 55: 19.918237, 3] auth / auth.c: 219 (check_ntlm_password)

check_ntlm_password: Проверка пароля для несопоставленного пользователя [MYGROUP] [user.ldap] @ [CLIENT_WS] с новым интерфейсом пароля

[2015/03/24 14: 55: 19.918387, 3] auth / auth.c: 222 (check_ntlm_password)

check_ntlm_password: сопоставленный пользователь: [MYDOMAIN] [user.ldap] @ [CLIENT_WS]

[2015/03/24 14: 55: 19.939873, 2] passdb / pdb_ldap.c: 553 (init_sam_from_ldap)

init_sam_from_ldap: найдена запись для пользователя: user.ldap

[2015/03/24 14: 55: 20.025999, 2] passdb / pdb_ldap.c: 2427 (init_group_from_ldap)

init_group_from_ldap: найдена запись для группы: 1100

[2015/03/24 14: 55: 20.029060, 2] passdb / pdb_ldap.c: 2427 (init_group_from_ldap)

init_group_from_ldap: найдена запись для группы: 1100

[2015/03/24 14: 55: 20.029424, 3] ../libcli/auth/ntlm_check.c:309(ntlm_password_check)

ntlm_password_check: НЕТ пароля NT, сохраненного для пользователя user.ldap.

[2015/03/24 14: 55: 20.029667, 3] ../libcli/auth/ntlm_check.c:442(ntlm_password_check)

ntlm_password_check: пароли Lanman НЕ РАЗРЕШЕНЫ для пользователя user.ldap

[2015/03/24 14: 55: 20.030792, 2] passdb / pdb_ldap.c: 1180 (init_ldap_from_sam)

init_ldap_from_sam: Настройка записи для пользователя: user.ldap

[2015/03/24 14: 55: 20.030989, 3] auth / auth_winbind.c: 60 (check_winbind_security)

check_winbind_security: Не используется winbind, запрошенный домен [MYDOMAIN] был для этого SAM.

[2015/03/24 14: 55: 20.031126, 2] auth / auth.c: 330 (check_ntlm_password)

check_ntlm_password: Аутентификация для пользователя [user.ldap] -> [user.ldap] ВЫПОЛНЕНА с ошибкой NT_STATUS_WRONG_PASSWORD

[2015/03/24 14: 55: 20.031307, 3] smbd / error.c: 81 (error_packet_set)

пакет ошибок в smbd / sessionssetup.c (124) cmd = 115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

[2015/03/24 14: 55: 20.031968, 3] smbd / server_exit.c: 181 (exit_server_common)

Выход с сервера (не удалось получить smb-запрос)

Я не понимаю NT_STATUS_WRONG_PASSWORD ... Где я могу посмотреть, чтобы понять, что происходит?

Возможно ли просто иметь сервер самбы, который использует LDAP только для аутентификации?

Я получил тот же результат с клиентом Windows 7 с графическим интерфейсом.

Вот мой smb.conf, если он может помочь:

[Глобальный]

рабочая группа = MYDOMAIN

netbios name = имя машины

строка сервера =% h

строка сервера = ТЕСТ Версия сервера Samba% v

вход в домен = нет

хозяин домена = нет

файл журнала = /var/log/samba/log.%m

максимальный размер журнала = 50

объект vfs = full_audit

full_audit: prefix =% u |% I |% m |% S

full_audit: success = все

full_audit: failure = подключиться

full_audit: объект = local7

full_audit: priority = notice

шифровать пароли = да

безопасность = пользователь

passdb backend = ldapsam: ldap: //ldap.mydomain.com

ldap admin dn = "uid = administrator, ou = Users, o = mydomain, c = com"

суффикс ldap = o = mydomain, c = com

суффикс пользователя ldap = ou = Пользователи

суффикс машины ldap = ou = Компьютеры

суффикс группы ldap = ou = Группы

ldap idmap суффикс = ou = Idmap

ldap ssl = нет

ldap passwd sync = только

уровень журнала = 3

загрузить принтеры = нет

печать = bsd

printcap имя = / dev / null

отключить катушки = да

[MyShare]

comment = MyShare Stuff

путь = / SRV / доля

public = да

Writable = да

printable = нет

Спасибо за любую помощь, которую вы могли мне оказать!

Наилучшие пожелания

У вас есть «шифровать пароли = да». Из smb.conf (Samba 3):

... Для правильной работы зашифрованных паролей smbd (8) должен иметь доступ к локальному файлу smbpasswd (5) (см. Программу smbpasswd (8) для получения информации о том, как настроить и поддерживать этот файл), либо установить параметр security = [server | domain | ads], который заставляет smbd аутентифицироваться на другом сервере. ...

У вас также есть 'security = user' (т.е. ни один из [server | domain | ads]).