security = domain模式的問題

火星人 @ 2014-03-04 , reply:0


security = domain模式的問題

現在我想用一台NT伺服器替代samba服務做用戶的驗證, 所以使用了domain的方式。smb.conf的配置如下:


        workgroup = DOMAIN
        server string = Samba Server Version %v
        netbios name = SMB
        security = domain
        encrypt passwords = yes
        passdb backend = tdbsam
        password server = NT


        comment = Home Directories
        browseable = no
        writable = yes
        valid users = %S
        valid users = MYDOMAIN\%S


        comment = All Printers
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes


        path = /tmp
        valid users = test
        writable = yes
        browseable = yes

SMB伺服器名為SMB,域名為DOMAIN,主域控制器(PDC)名為NT。用passwd和smbpasswd分別增加用戶test, 設置相應的密碼。

用一台WINDOWS NT4.0作為PDC, 在「伺服器管理器」添加SMB服務的計算機名(SMB), 在「域用戶管理器」中添加用戶test.
然後重啟SMB服務進行測試。

錯誤信息如下:

未能從域控制讀取配置信息,或者因為機器不可使用,或者是訪問拒絕。

抓包發現在「Session Setup AndX」時,返回「STATUS_CANT_ACCESS_DOMAIN」錯誤。

設置有什麼問題呢? 盼解答。
《解決方案》

samba使用的版本為:samba-3.3.0
測試客戶端為windows xp

將samba所在的機器加入到NT域:

net rpc join -S DOMAIN -UAdministrator

顯示加入NT域成功
Enter Administrator's password:
Joined domain DOMAIN.

測試時仍然報錯,錯誤如下 :
\\192.168.1.100無法訪問,你可能沒有許可權使用網路資源。目前沒有可用的登錄伺服器處理登錄請求。
抓包發現狀態報告變為STATUS_NO_LOGON_SERVERS

[ 本帖最後由 nbaloverme 於 2009-3-12 16:42 編輯 ]
《解決方案》

測試的windows XP機器也需要加入域
在「我的電腦」--「屬性」--「計算機名」--「更改」--「隸屬於」--「域」寫上 域伺服器的Netbios名
將XP的首選DNS設置為PDC的ip
再試
《解決方案》

回復 #3 balloon123 的帖子

按操作執行,在「隸屬於」---「域」中輸入netbios名NT時報錯如下:
不能聯繫域NT的控制器。請確認域名輸入正確。

如果輸入域名DOMAIN時,提示輸入用戶名和密碼,輸入前面在域管理器中建立的用戶名和密碼后,報錯信息如下:
加入域「DOMAIN」時出現了以下錯誤:用戶首次登錄之前必須更改密碼。
將NT伺服器上「域用戶管理器」中用戶test對應的選項「用戶下次登錄時必須更改密碼」取消,報錯如下:拒絕訪問

這是怎麼回事呢,謝謝你的解答。

[ 本帖最後由 nbaloverme 於 2009-3-13 10:35 編輯 ]
《解決方案》

WINDOWS NT系統中主域控制器名(PDC)是不是就是netbios名呢?
《解決方案》

回復 #4 nbaloverme 的帖子

DOMAIN就是域的netbios名,讓你改密碼是因為你在PDC添加用戶的時候,勾上了「第一次登陸必須改變密碼」的選項,那就改一下密碼就可以
或者,在PDC上另外建一個用戶,注意選上「密碼永不過期」
《解決方案》

原帖由 balloon123 於 2009-3-13 10:29 發表 http://bbs2.chinaunix.net/images/common/back.gif
DOMAIN就是域的netbios名,讓你改密碼是因為你在PDC添加用戶的時候,勾上了「第一次登陸必須改變密碼」的選項,那就改一下密碼就可以
或者,在PDC上另外建一個用戶,注意選上「密碼永不過期」


嗯,發現這個問題了,已改正。 仍然報錯如下: 拒絕訪問
《解決方案》

回復 #7 nbaloverme 的帖子

確保滿足以下條件:
1)Samba伺服器和XP客戶端都已經成功加入域(XP客戶端加入域后需要重啟)
2)Samba服務已經開啟(包括smbd nmbd winbindd)
3)登陸Samba服務的用戶已經分別在PDC和Samba伺服器上添加
4)用戶可以訪問的共享對應的目錄的Linux系統許可權夠大(先變成777試下)
《解決方案》

原帖由 balloon123 於 2009-3-13 10:47 發表 http://bbs2.chinaunix.net/images/common/back.gif
確保滿足以下條件:
1)Samba伺服器和XP客戶端都已經成功加入域(XP客戶端加入域后需要重啟)
2)Samba服務已經開啟(包括smbd nmbd winbindd)
3)登陸Samba服務的用戶已經分別在PDC和Samba伺服器上添加
4 ...


1) samba伺服器已成功的加入域,在NT伺服器的網上鄰居可以看到以samba的netbios命名的圖標,xp客戶端加入域沒成功,如上所示,錯誤信息「拒絕訪問」
2)服務都以開啟
3) 登擊的用戶在PDC和SAMBA伺服器上都已添加
4)許可權應該不會有什麼問題,設置成user模式可以直接訪問共享出來的目錄。
《解決方案》

回復 #9 nbaloverme 的帖子

如果是XP加入域失敗,那做以下三點:
1)確定你的XP可以ping通PDC
2)確定你的XP的DNS指向了PDC
3)確定你給的用戶名和密碼有加入域的許可權,實在不行就用administrator賬號加



[火星人 via ] security = domain模式的問題已經有76次圍觀

http://www.coctec.com/docs/service/show-post-23902.html