[10:28] <mnms> Witam panowie. Pytalem juz na #ubuntu, ale tam cisza. Skonfigurowalem pod ubuntu sambe i udostepnilem pare share'ow z security type=user. Przy probie mapowania zasobu z win7 odrzuca moje poswiadczenia, a w logach samby wypluwa ze nie moze znalezc service'u (share'a), poniewaz z tego co widze ucina ostatnia litere. Spotkals sie ktos z podobnym problemem ?
[10:53] <Dread> smbpasswd było?
[12:12] <qermit> mnms: nie spotkałem
[12:12] <qermit> mnms: wrzuć gdzies konfigurację swojej samby
[12:13] <qermit> mnms: ja wole uzywac - security = share
[12:37] <mnms> Dread: smbpasswd bylo
[12:38] <qermit> mnms: pokash ten konfig i logi
[12:38] <mnms> Ogolnie to problem wystepowal jak bylem zalogowany na innego usera i probowalem zmapowac podajac dane innego usera
[12:39] <mnms> qermit: teraz jestem atakowany nastepnym komunikatem: string_to_sid: SID @serwis is not in a valid format. Juz wklejam
[12:39] <mnms> w sensie wrzuce gdzies te konfigi
[12:47] <mnms> qermit: http://pastebin.com/rq11CgSA
[12:47] <qermit> masz grupę serwis?
[12:47] <qermit> http://pastebin.com/rq11CgSA
[12:47] <qermit> fack
[12:48] <qermit> getent group serwis
[12:48] <qermit> o, bida firma
[12:48] <mnms> stworzylem grupe unixowa serwis
[12:49] <drathir> bry...
[12:49] <qermit> teraz?
[12:49] <mnms> qermit: byla stworzona na poczatku
[12:49] <qermit> mnms: podejrzewam problem z mapperem w takim razie
[12:51] <mnms> qermit: nie mapowalem w ogole group
[12:51] <qermit> wiem
[12:51] <qermit> ale samba musi to zmapować na SID
[12:51] <qermit> jakoś
[12:51] <qermit> idmap config * : backend = tdb <- czyli konfigurowałeś
[12:51] <mnms> myslalem ze po nazwie usera ktory podawany jest potrafi wyszukac do jakich grup nalzy
[12:51] <qermit> potrafi
[12:52] <mnms> to czemu katuje mnie tymi logami ?
[12:52] <qermit> mnms: btw - polecam tobie FreeIPA jeżeli chcesz się bawić w sambowanie
[12:52] <qermit> mnms: wklej trochę logów
[12:53] <mnms> qermit: ogolnie w logach w kolko przewija sie ten komunikat ../libcli/security/dom_sid.c:208(dom_sid_parse_endp) string_to_sid: SID @serwis is not in a valid format
[12:54] <mnms> tylko rozne grupy
[12:54] <drathir> a samba nie ma osobnych poswiadczen niz systemowe? /me dawno nie uzywal...
[12:54] <qermit> samba to samba
[12:54] <qermit> mnms: no coś masz nie tak z domeną
[12:55] <qermit>  /msg *status /* BIG NOTE: this function only does SIDS where the identauth is not >= 2^32 */
[12:58] <qermit>  conv > UINT8_MAX)
[12:58] <qermit> drathir: jakie masz gidy?
[12:58] <qermit> mnms: jakie masz gidy?
[12:59] <mnms> UINT8 ?
[12:59] <mnms> takk niskie ?
[12:59] <qermit> http://code.metager.de/source/xref/samba/libcli/security/dom_sid.c
[13:00] <mnms> no juz patrze na kod...
[13:01] <qermit> czekaj, coś mnie tu nie pasi
[13:01] <mnms> rozumiem, ze sidstr to bedzie w tym przypadku @serwis
[13:02] <qermit> a nie, czekaj to są wersje rewizji
[13:02] <mnms> qermit: patrzysz ta funkcje
[13:02] <mnms> dom_sid_parse_endp ?
[13:02] <mnms> to jest parswoanie SIDA
[13:02] <qermit> tak
[13:02] <qermit> i tam ci się wywala
[13:03] <qermit> https://pl.wikipedia.org/wiki/Security_Identifier
[13:03] <mnms> no to zobacz co u mnie sie dzieje zamast dostac tego sida dostaje nazwe grupy
[13:04] <mnms> tak ja to widze, popraw mnie jesli zle mysle
[13:04] <qermit> no może tak być
[13:04] <mnms> tylko do cholery czemu..
[13:06] <mnms> z tego co widze na samba learn koncowki maja konfigurowana domene do ktorej nelza i na sambie robione jest mapowanie
[13:07] <mnms> tylko chcielabym uniknac konfigurowanie koncowek i zostawienie tylko grupy roboczej - nie wiem czy tak to moze w ogole dzialac..
[13:15] <qermit> mnms:  a co próbujesz osiągnąć?
[13:15] <qermit> mnms: może lepiej postawić prawdziwego IDN
[13:17] <mnms> qermit: dostep do zasobow z ograniczeniem zapisu i odczytu dla grup uzytkownikow
[13:17] <mnms> w tej chwili samba jest w standalone mode
[13:18] <mnms> i to dziala ale czasami ktos nie moze dostac sie do zasobu z jakiegos powodu potem zaczyna to dzialac (pewnie po restarcie). No i te wpisy w logach z SIDami
[13:18] <mnms> w ogole nie moze przegladac zasobow, a nie dostac sie do jednego zasobu*
[13:19] <qermit> mnms: z doświadczenia wiem że najlepiej zacząć od secyrity = share
[13:19] <mnms> qermit: a to nie zostalo wycofane w sambie 4 ?
[13:19] <mnms> cos mi swita ze gdzies wizialem...
[13:19] <qermit> mnms: a, samba4
[13:19] <qermit> po co tobie samba4?
[13:20] <mnms> no 4.1.6 ? :)
[13:20] <mnms> cos z nia nie tak
[13:20] <mnms> ?
[13:20] <mnms> pierwszy raz bawie sie z samba ;)
[13:22] <qermit> mnms: http://wklej.org/id/1844821/
[13:22] <qermit> kermit@szenbor:~$ samba -V
[13:22] <qermit> Version 4.1.17-Ubuntu
[13:22] <mnms> zagubilem sie :)
[13:24] <qermit> mnms: podejrzewam że jeszcze do czegoś będziesz chciał używac kiedyś bazy użytkowników. Polecam FreeIPA (do trzymania danych o userach). Używam tego do zarządzania dostępem do linuxów głównie
[13:24] <qermit> zacznij od tego konfiga co ci podałem
[13:25] <qermit> phttp://www.freeipa.org/page/Howto/Integrating_a_Samba_File_Server_With_IPA
[13:25] <mnms> wkleiles mi mojego pastebina chyba
[13:25] <qermit> 14:22 < qermit> mnms: http://wklej.org/id/1844821/
[13:25] <mnms> ok, sorrt
[13:26] <mnms> qermit: ale jestem w stanie ograniczyc zapis i odczyt dla grup uzytkownikow przy security share
[13:27] <mnms> ?
[13:27] <qermit> no jesteś
[13:27] <qermit> mnms: jest taki plus że część udziałów można wtedy używać bez żadnych poświadczeń
[13:27] <qermit> w porównaniu do security user
[13:28] <mnms> ale czytam smb.conf i nie ma tam w security opcji share
[13:28] <mnms> https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html#SECURITY
[13:29] <qermit> mnms: różnica jest taka że przy user - całe połączenie jest robione jednym poświadczeniem , a share traktuje osobono każdy udział
[13:30] <qermit> https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id2559276
[13:30] <qermit> mnms: ty patrzysz na sekcję [global]
[13:31] <qermit> olej to
[13:32] <mnms> no ale w Twoim konfigu security = share jest w globalu - sorry jesli mieszam, ale nie kumam tego..
[13:32] <qermit> pczekaj, może coś pokręciłem
[13:34] <mnms> ok
[13:34] <qermit>   WARNING: Ignoring invalid value 'share' for parameter 'security'
[13:34] <qermit> faktycznie zmieniło się od wersji 3
[13:35] <qermit> dawno tego nie sprawdzałem
[13:35] <mnms> no mowie, user jest default teraz
[13:35] <mnms> hm
[13:35] <qermit> mnms: to poprostu zakomentuj :)
[13:35] <qermit> powinno działać
[13:36] <mnms> ale Twoj konfig nie ma write list i read list z grupami
[13:36] <qermit> muszę podłączyć swoją sambę do IPA
[13:36] <mnms> wiec nie wiadomo czy tez bedzie dzialal
[13:36] <qermit> mnms: zacznij od czegoś co działa
[13:36] <mnms> teoretycznie moze byc to samo bo duzo one sie nie roznia od siebie
[13:36] <qermit> potem spróbuj dodać grupę
[13:38] <mnms> qermit: z tego ludzie korzystaja juz.. druga sprawa ze moj blad to problem z SIDEM i grupami jesi wywale grupy, read listy i write listy, nie sadze zebybyl problem
[13:39] <mnms> a IPA zarzadza userami systemowymi przez web'a tak ?
[13:39] <qermit> ma moduł do zarządzania przez WWW
[13:40] <qermit> dosyć ładne wdrożenie kerberosa, ma tryb replikacji multimaster
[13:42] <mnms> pisze ze fedora i redhat
[13:43] <mnms> jest juz paczka czy trzeba kompilowac pod ubuntu
[13:43] <qermit> mnms: nie wiem, serwer postawiłem na CentOS 7.1
[13:43] <qermit> mnms: odseparowany
[13:43] <qermit> mnms: w domu z kolei mam wirtualkę z CentOS 7.1
[13:43] <mnms> qermit: ciezka sprawa z wdrozeniem tego
[13:43] <firemark> to fajnego w centosie?
[13:44] <qermit> firemark: ma pakiet FreeIPA serwer
[13:44] <qermit> mnms: na ubuntu są już od jakiegoś czasu moduły IPA do SSSD
[13:44] <mnms> qermit: wolalbym rozwiazac ten problem z samba, niz wchodzic w cos nowego raczej
[13:45] <qermit> możesz to zrobić samą sambą, ale rozsypie ci się konfig/bazka wewnętrzna i będziesz zakładał konta ludziom od nowa
[13:45] <qermit> 1GB ram spokojnie strcza na wirtualkę
[13:48] <mnms> qermit: w jakim sensie zrobic sama sambe ?
[13:57] <qermit> mnms: konfig który robisz wymaga dwuch rzeczy
[13:57] <qermit> mnms: wewnetrznej bazy użytkowników samby i bazy systemowej
[13:57] <qermit> takie trochę kijowe rozwiązanie
[14:01] <qermit> mnms: jest jeden plus użycia IPA - masz gotowe rozwiązanie do zarządzania kompami (linux)
[14:02] <qermit> nie trzeba się gimnastykować z synchronizacją haseł
[14:03] <mnms> qermit: caly czas mowisz o IPA, nie upieram sie ze to nie jest lepsze rozwiazanie po prostu chcialbym rozwiazac problem z samba, na ta chwile to dla mnie lepsze rozwiazanie
[14:03] <mnms> mialo byc caly czas mowiszo IPA ?
[14:03] <qermit> mnms: widzę że lepsze, pewnie działa :)
[14:22] <mnms> qermit: :)