Jak se v Linuxu prostřednictvím Samba clienta dostat na server s SBS Win 2003
Mám síť tvořenou quasiserverem, na kterém jsou nainstalovány Windows Small Business Server 2003 R2 (s pevnou síťovou adresou). Přistupuji na něj cca ze tří PC (s WinXP Home) a to jednak síťově a jednak přes FTP k nasdílenému adresáři, dále přes Terminal Services a konečně k jeho SQL serveru. Všechno mně pracuje bez problémů v režimu lokálním i vzdáleném a dostanu se na něj těmito metodami i přes PDA s WM5.
Teď jsem si nainstaloval na notebook Linux Puppy 3.01, ve kterém jsem rozchodil TS a SQL v obou režimech, FTP ale jenom v lokálním, což řeším na jiném threadu (http://pc.poradna.net/question/view/188595-neidenti fikovatelna-chyba-pri-pripojovani-prostrednictvim- f tp-clienta-v-linuxu).
Zcela zásadním problémem pro mě však je, že se z toho linuxového notebooku nemohu na qserver připojit přes klasickou síť (prostřednictvím Samba clienta), ač tak zkouším za použití na webu doporučovaných nastavení. Myslím si ale, že v těch nastaveních chyba nebude, protože ke všem ostatním "stanicím" s WinXP Home se připojím bez problému.
Z toho dovozuji, že mám něco blbě nastaveno na tom qserveru, ale absolutně nevím co. Samba client mě s qserverem spojí, nabídne mi jím anoncované prostředky, ale když kliknu na nasdílený adresář, vyhodí mi to chybovou hlášku s tím, že server odmítl požadavek na připojení anebo mám špatně login či heslo.
Tak by mě zajímalo, co jsem na tom nastavení qserveru zkonil a zda to byť i pro mne nepochopitelnou náhodou nějak nesouvisí i s tou nefunkčností přes FTP vzdáleně připojovaného serveru.
no, a jaký login a heslo máš? Zkontroluj si, jestli zaslané jméno a heslo které posíláš ze smb klienta na NT server existuje. Pokud máš zapnutý login audit na serveru, můžeš se taky podívat do bezpečnostního logu událostí, co se děje.
edit ps:
Tohle neznamená nic, jak píše s oblibou brtník, home do sítě nepatří. (Používá se login guest, je o tom v mém článku o NT ověřování).
Dík, až se zítra dostanu k tomu notebooku, tak to zkusím.
Jestli tomu dobře rozumím, tak Ty máš podezření, že Samba client nějak toho logina či heslo znetvoří....
No, spíš mám podezření že žádný login a heslo neposíláš, nebo se neshoduje s tím co existuje na serveru, nebo nemá login právo na nasdílenou složku, nebo se posílá prázdné heslo. Prostě a zkrátka, ten samba client odněkud vezme heslo a login a pošle ho serveru, a ten řekne, jestli má nárok nebo nemá. Neznám ten grafický klient co používáš, znám toto http://www.netadmintools.com/html/1smbclient.man.ht ml a tam se heslo zadává jako parametr.
U Home je to, jak jsem řekl, úplně jedno, proto to funguje.
No, to se mi nezdá, protože ten qserver zareaguje na zadání loginu, hesla a domény tím, že mi nabídne svoji strukturu. Bez zadání těchto hodnot bych se k oné struktuře nedostal. Ke kolapsu dojde až v okamžiku, kdy se chci dostat ke konkrétnímu nasdílenému adresáři (v tu chvíli je po mně ale heslo s loginem požadováno znovu).
pravda, v tom případě nemůže být pravda toto
??
... teď jsem nějak nepochopil.
Nevím ale, jestli jsem se předtím srozumitelně vyjádřil. Stejným loginem a heslem se dostanu v Sambě clientovi k nabízené struktuře serveru, ale když chci vniknout do konkrétního nasdíleného adresáře a za tím účelem zadám identické heslo a login, tak jsem odmítnut.
u samby-serveru se volí zda má vyžadovat heslo zašifrované nebo ne, ten klient může být postižen stejně.
a mlhavě tuším ještě jednu věc: pro změnu windows server si může určit jak restriktivní může být při pokusu o přihlášení, nevím jestli tomu říkají úroveň kompatibility (problémy třeba můžou mít starší win nt4 nebo i w2000) - pokusil bych se ráno v práci něco najít.
ale toto je dotaz pro windows/server administrátory, já tu jen tak bruslím.
testovat připojení na xp home ti fak neřekne nic, tam o žádném ověření uživatele nejde mluvit.
Máš na mysli restrikci v tom směru, že winserver mi řekne např. 3 x a dost, nebo že zjišťuje nějaké další údaje? Přiznám se ale, že vůbec nevím, kde takové nastavení hledat.
Jinak ještě než půjdu spát, chtěl bych se podívat do nějaké literatury. Mám ale jenom knihy o Windows 2003; myslíš, že ty zásady nastavování sítě platí ve stejném rozsahu jako u SBS ?
myslel jsem něco takového: Changing LAN Manager Authentication on Windows NT
píšou tam sice o NT, ale nastavení v registrech znají i vyšší verze, nevím jak win server 2003
toto je spíš nastavení pro home (normální win budou mít hodnotu 1):
Restrict Anonymous User Access
kolezi níže píšou že se ntlm u w2003 nepoužívá, tak asi tápu na špatném hrobě - zvlášť pokud je samba nastavena jak píše touchwood
Tak jsem se teď na radu Vladimíra připojil přes TS na qserver a odtud získal následující informaci o svém připojení z toho nešťastného Linuxového klienta:
Prohlížeč události/Zabezpečení/TYP:Auditovat úspěšné provedení operaci/Kategorie:Přihlášení či odhlášení:
Úspěšné přihlášení k síti:
Uživatelské jméno: UserX
Doména: XXX
ID přihlášení: (0x0,0x12C91FE)
Typ přihlášení: 3
Přihlašovací proces: NtLmSsp
Ověřovací balíček: NTLM
Název pracovní stanice: PUPPYPC
Přihlašovací identifikátor GUID: -
Uživatelské jméno volajícího: -
Doména volajícího: -
ID přihlášení volajícího: -
ID procesu volajícího: -
Přenosové služby: -
Takže jestli vám to něco řekne........
//Edit: Tak to asi nemělo význam sem vkládat, protože těch událostí od dotyčné stanice v téže minutě je tam asi deset.
NTLM již není ve Win2003 standardně podporováno kvůli bezpečnosti.
Pokud se mlhavě pamatuju, tak Samba podporuje NTLMv2 od tuším verze 3.0 a dociluje se toho pomocí následujících direktiv v smb.conf (smbclient používá stejnou konfiguraci jako smbd a nmbd):
edit: zapomněl jsem připsat, že samozřejmě lze v doménových politikách NTLM zpětně povolit, nicméně to není zrovna bezpečné.
edit2: ještě jsem to výslovně upravil na NTLMv2
TW díky, tak jsem ty Tvoje řádky vetkl do samba.conf, ale bohužel stav se nezměnil. Ještě jsem zapomněl napsat, že při pokusu proniknout do sdíleného adresáře qserveru se mi sice na linuxové stanici vytvoří příslušný bod připojení, ale obdržím následující chybové hlášení:
SMB connection failed
cli_negprot: SMB signing is mandatory and we have disabled it.
3572: protocol negatiation failed,
přičemž to číslo v chybové hlášce při následném pokus nabývá rozdílné hodnoty.
Google říká: http://lists.samba.org/archive/samba/2003-October/0 75791.html
jinak, SMB podepisování jde na serveru vypnout, ale nejprv bych zkusil tohle.
Vladimíre, mohl bys mi prosím sdělit, jak se to podepisování SMB vypíná? Postup z Tebou doporučeného threadu jsem realizoval ještě před dotazem na Poradnu, ale bohužel bez výsledku.
Pro ilustraci Ti zasílám výpis relevantních položek z mého prozatímního samba.conf :
[global]
workgroup = XXX
server string = Samba Server
log file = /var/log.%m
max log size = 50
security = user
client use spnego = yes
client signing = yes
lanman auth = No
ntlm auth = Yes
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
wins support = yes
dns proxy = no
winbind uid = 10000-65000
winbind gid = 10000-65000
winbind template homedir = /home/%D/%U
winbind template shell = /bin/sh
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
[printers]
comment = All Printers
path = /usr/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
//EDIT: Zatím jsem nalezl toto:
Problém je v digitálním podepisování paketů.
Po instalaci DC se ve Win2003 nastaví implicitní hodnota na vždy
vyžadovat digitálně podepsané pakety na SMB protokolu.
Stačí tento parametr vypnout a z DOS i Win98 se znovu budete moci přihlásit.
Provádí se to takto:
V administrative tools vybrat Domain Controller Security Settings.
Dál do Local Policies a pak Security Options. Je tam údaj
Microsoft network server: Digitaly sign communications (always)
ten nastavit na Disabled.
Pak otevřit okno s příkazovým řádkem a napsat "gpupdate", tím se vyvolá
zrychlené provedení změn v group policy.
Popsaný popis je pro domain controller, máš ten SBS nastavený jako doménový řadiš nebo je to samostatný server?
Jestli je to samostatný server, tak můžeš udělat to samé, jen to není v Domain Controller s. s., ale v "Local Security Policy"
Jako samostatný server; už jsem to našel, nastavil a jdu zkoušet. Drž mi palce, když to nevyjde, končím a pokorně se vracím k XP Home....
Vladimíre, funguje to; problém byl skutečně v tom podepisování SMB.
Máš u mne panáka koncentrované lihoviny podle vlastního výběru, adresu znáš...