=== mati75_ is now known as mati75 [10:28] Witam panowie. Pytalem juz na #ubuntu, ale tam cisza. Skonfigurowalem pod ubuntu sambe i udostepnilem pare share'ow z security type=user. Przy probie mapowania zasobu z win7 odrzuca moje poswiadczenia, a w logach samby wypluwa ze nie moze znalezc service'u (share'a), poniewaz z tego co widze ucina ostatnia litere. Spotkals sie ktos z podobnym problemem ? [10:53] smbpasswd było? [12:12] mnms: nie spotkałem [12:12] mnms: wrzuć gdzies konfigurację swojej samby [12:13] mnms: ja wole uzywac - security = share [12:37] Dread: smbpasswd bylo [12:38] mnms: pokash ten konfig i logi [12:38] Ogolnie to problem wystepowal jak bylem zalogowany na innego usera i probowalem zmapowac podajac dane innego usera [12:39] qermit: teraz jestem atakowany nastepnym komunikatem: string_to_sid: SID @serwis is not in a valid format. Juz wklejam [12:39] w sensie wrzuce gdzies te konfigi [12:47] qermit: http://pastebin.com/rq11CgSA [12:47] masz grupę serwis? [12:47] http://pastebin.com/rq11CgSA [12:47] fack [12:48] getent group serwis [12:48] o, bida firma [12:48] stworzylem grupe unixowa serwis [12:49] bry... [12:49] teraz? [12:49] qermit: byla stworzona na poczatku [12:49] mnms: podejrzewam problem z mapperem w takim razie [12:51] qermit: nie mapowalem w ogole group [12:51] wiem [12:51] ale samba musi to zmapować na SID [12:51] jakoś [12:51] idmap config * : backend = tdb <- czyli konfigurowałeś [12:51] myslalem ze po nazwie usera ktory podawany jest potrafi wyszukac do jakich grup nalzy [12:51] potrafi [12:52] to czemu katuje mnie tymi logami ? [12:52] mnms: btw - polecam tobie FreeIPA jeżeli chcesz się bawić w sambowanie [12:52] mnms: wklej trochę logów [12:53] qermit: ogolnie w logach w kolko przewija sie ten komunikat ../libcli/security/dom_sid.c:208(dom_sid_parse_endp) string_to_sid: SID @serwis is not in a valid format [12:54] tylko rozne grupy [12:54] a samba nie ma osobnych poswiadczen niz systemowe? /me dawno nie uzywal... [12:54] samba to samba [12:54] mnms: no coś masz nie tak z domeną [12:55] /msg *status /* BIG NOTE: this function only does SIDS where the identauth is not >= 2^32 */ [12:58] conv > UINT8_MAX) [12:58] drathir: jakie masz gidy? [12:58] mnms: jakie masz gidy? [12:59] UINT8 ? [12:59] takk niskie ? [12:59] http://code.metager.de/source/xref/samba/libcli/security/dom_sid.c [13:00] no juz patrze na kod... [13:01] czekaj, coś mnie tu nie pasi [13:01] rozumiem, ze sidstr to bedzie w tym przypadku @serwis [13:02] a nie, czekaj to są wersje rewizji [13:02] qermit: patrzysz ta funkcje [13:02] dom_sid_parse_endp ? [13:02] to jest parswoanie SIDA [13:02] tak [13:02] i tam ci się wywala [13:03] https://pl.wikipedia.org/wiki/Security_Identifier [13:03] no to zobacz co u mnie sie dzieje zamast dostac tego sida dostaje nazwe grupy [13:04] tak ja to widze, popraw mnie jesli zle mysle [13:04] no może tak być [13:04] tylko do cholery czemu.. [13:06] z tego co widze na samba learn koncowki maja konfigurowana domene do ktorej nelza i na sambie robione jest mapowanie [13:07] tylko chcielabym uniknac konfigurowanie koncowek i zostawienie tylko grupy roboczej - nie wiem czy tak to moze w ogole dzialac.. [13:15] mnms: a co próbujesz osiągnąć? [13:15] mnms: może lepiej postawić prawdziwego IDN [13:17] qermit: dostep do zasobow z ograniczeniem zapisu i odczytu dla grup uzytkownikow [13:17] w tej chwili samba jest w standalone mode [13:18] i to dziala ale czasami ktos nie moze dostac sie do zasobu z jakiegos powodu potem zaczyna to dzialac (pewnie po restarcie). No i te wpisy w logach z SIDami [13:18] w ogole nie moze przegladac zasobow, a nie dostac sie do jednego zasobu* [13:19] mnms: z doświadczenia wiem że najlepiej zacząć od secyrity = share [13:19] qermit: a to nie zostalo wycofane w sambie 4 ? [13:19] cos mi swita ze gdzies wizialem... [13:19] mnms: a, samba4 [13:19] po co tobie samba4? [13:20] no 4.1.6 ? :) [13:20] cos z nia nie tak [13:20] ? [13:20] pierwszy raz bawie sie z samba ;) [13:22] mnms: http://wklej.org/id/1844821/ [13:22] kermit@szenbor:~$ samba -V [13:22] Version 4.1.17-Ubuntu [13:22] zagubilem sie :) [13:24] mnms: podejrzewam że jeszcze do czegoś będziesz chciał używac kiedyś bazy użytkowników. Polecam FreeIPA (do trzymania danych o userach). Używam tego do zarządzania dostępem do linuxów głównie [13:24] zacznij od tego konfiga co ci podałem [13:25] phttp://www.freeipa.org/page/Howto/Integrating_a_Samba_File_Server_With_IPA [13:25] wkleiles mi mojego pastebina chyba [13:25] 14:22 < qermit> mnms: http://wklej.org/id/1844821/ [13:25] ok, sorrt [13:26] qermit: ale jestem w stanie ograniczyc zapis i odczyt dla grup uzytkownikow przy security share [13:27] ? [13:27] no jesteś [13:27] mnms: jest taki plus że część udziałów można wtedy używać bez żadnych poświadczeń [13:27] w porównaniu do security user [13:28] ale czytam smb.conf i nie ma tam w security opcji share [13:28] https://www.samba.org/samba/docs/man/manpages-3/smb.conf.5.html#SECURITY [13:29] mnms: różnica jest taka że przy user - całe połączenie jest robione jednym poświadczeniem , a share traktuje osobono każdy udział [13:30] https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/ServerType.html#id2559276 [13:30] mnms: ty patrzysz na sekcję [global] [13:31] olej to [13:32] no ale w Twoim konfigu security = share jest w globalu - sorry jesli mieszam, ale nie kumam tego.. [13:32] pczekaj, może coś pokręciłem [13:34] ok [13:34] WARNING: Ignoring invalid value 'share' for parameter 'security' [13:34] faktycznie zmieniło się od wersji 3 [13:35] dawno tego nie sprawdzałem [13:35] no mowie, user jest default teraz [13:35] hm [13:35] mnms: to poprostu zakomentuj :) [13:35] powinno działać [13:36] ale Twoj konfig nie ma write list i read list z grupami [13:36] muszę podłączyć swoją sambę do IPA [13:36] wiec nie wiadomo czy tez bedzie dzialal [13:36] mnms: zacznij od czegoś co działa [13:36] teoretycznie moze byc to samo bo duzo one sie nie roznia od siebie [13:36] potem spróbuj dodać grupę [13:38] qermit: z tego ludzie korzystaja juz.. druga sprawa ze moj blad to problem z SIDEM i grupami jesi wywale grupy, read listy i write listy, nie sadze zebybyl problem [13:39] a IPA zarzadza userami systemowymi przez web'a tak ? [13:39] ma moduł do zarządzania przez WWW [13:40] dosyć ładne wdrożenie kerberosa, ma tryb replikacji multimaster [13:42] pisze ze fedora i redhat [13:43] jest juz paczka czy trzeba kompilowac pod ubuntu [13:43] mnms: nie wiem, serwer postawiłem na CentOS 7.1 [13:43] mnms: odseparowany [13:43] mnms: w domu z kolei mam wirtualkę z CentOS 7.1 [13:43] qermit: ciezka sprawa z wdrozeniem tego [13:43] to fajnego w centosie? [13:44] firemark: ma pakiet FreeIPA serwer [13:44] mnms: na ubuntu są już od jakiegoś czasu moduły IPA do SSSD [13:44] qermit: wolalbym rozwiazac ten problem z samba, niz wchodzic w cos nowego raczej [13:45] możesz to zrobić samą sambą, ale rozsypie ci się konfig/bazka wewnętrzna i będziesz zakładał konta ludziom od nowa [13:45] 1GB ram spokojnie strcza na wirtualkę [13:48] qermit: w jakim sensie zrobic sama sambe ? [13:57] mnms: konfig który robisz wymaga dwuch rzeczy [13:57] mnms: wewnetrznej bazy użytkowników samby i bazy systemowej [13:57] takie trochę kijowe rozwiązanie [14:01] mnms: jest jeden plus użycia IPA - masz gotowe rozwiązanie do zarządzania kompami (linux) [14:02] nie trzeba się gimnastykować z synchronizacją haseł [14:03] qermit: caly czas mowisz o IPA, nie upieram sie ze to nie jest lepsze rozwiazanie po prostu chcialbym rozwiazac problem z samba, na ta chwile to dla mnie lepsze rozwiazanie [14:03] mialo byc caly czas mowiszo IPA ? [14:03] mnms: widzę że lepsze, pewnie działa :) [14:22] qermit: :)