[PDC] problemi ad agganciare i client XP-PRO

4 risposte [Ultimo messaggio]
Ritratto di nirovi
nirovi
(Junior)
Offline
Junior
Iscritto: 16/02/2007
Messaggi: 18

Il mio smb.conf è il seguente (nota riesco a vedere le risorse di rete correttamente e con i diritti, ho inserito la macchina come riportato nei manuali di samba ma ricevo l'errore domain controller non trovato dopo aver inserito utente e password)

**************************************************
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-11-27
[global]
workgroup = nirowork
netbios name = linux-suse
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf

#Definisce la posizione della directory profiles (per client WinNT/2k/XP) in \\nomeserver\profiles\nomeutente
logon path = \\%L\profiles\%U

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

#(Solo su Samba 3) Aggiunge automaticamente al sistema l'account di una nuova macchina che entra nel dominio
#add machine script = /usr/sbin/useradd -d /dev/null -g machines -s /bin/false -M %u
add machine script = /usr/sbin/useradd -d /var/lib/nobody -g machines -s /bin/false %m$

#Permette ai client Windows di loggarsi sul dominio autenticandosi con il server Samba
domain logons = yes

#La riga che indica a Samba di operare com PDC
domain master = no

# Impone di autenticare gli utenti localmente. E' necessario su un PDC Samba
security = user

#Gestione dei log

#Definisce la posizione dei log e indica di creare log diversi on i nomi delle rispettive macchine client
log file = /var/log/samba/log.%m

#Imposta a 2 il livello di logging, visualizzando tutti i file letti e scritti
log level = 2

#Imposta a 50 Kb la dimensione massima dei file di log
max log size = 50

wins support = Yes

[homes]
comment = Home Directories Singolo utente
valid users = %S, %D%w%S
#Ogni utente deve poter scrivere nella sua home
writeable = yes
#E' bene non rendere pubblicamente visibile le home dei singoli utenti
browseable = No
read only = No
inherit acls = Yes
[profiles]

#Share speciale dove vengono scritti i file di profilo per i gli utenti roaming. Ad ogni login e logout il suo contenuto viene #sincronizzato con la cartella dei documenti sul computer locale (C:/Documenti/NomeUtente.dominio)
comment = Network Profiles Service

path = %H
read only = No
store dos attributes = Yes

#La maschera con cui vengono creati i file: Pieni permessi all'owner, nessun permesso per gli altri utenti
create mask = 0600

#La maschera con cui vengono create le directory: per l'owner devono essere anche eseguibili
directory mask = 0700

[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775

## Share disabled by YaST
# [netlogon]

[dati condivisi]
# Area di scambio informazioni
browseable = Yes
comment = Dati condivisi
guest ok = Yes
inherit acls = Yes
path = /Server/
read only = Yes
force group = users
[allusers]
comment = All Users
path = /Server/PUBLIC
force group = users
create mask = 0660
directory mask = 0771
writable = yes

**************************************************:

Ritratto di ferdybassi
ferdybassi
(Guru)
Offline
Guru
Iscritto: 11/09/2005
Messaggi: 2668

Ti posto smb.conf di un mio cliente.
Una domanda: hai applicato ai client XP la patch per il registro di sistema? Senza quella (o senza modificare a mano tre policies di sicurezza di XP) non riusciranno a fare logon.
Nel smb.conf qui sotto ignora pure tutta la sezione che fa riferimento a LDAP: in quel PDC viene usato un database LDAP per immagazzinare le informazioni degli utenti.
Controlla anche le voci socket options. Spesso sono quelle a bloccare il logon.

[global]
workgroup = SCUOLA
server string = Debian LAN Server %v
wins support = yes
; wins server = x.y.w.z
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
; include = /etc/samba/dhcp.conf
dns proxy = no
; name resolve order = lmhosts host wins bcast
unix charset = ISO8859-1
; character set = ISO8859-1

### Ogni macchina ha il suo file di log ###
log file = /var/log/samba/log.%m
max log size = 1000
; syslog only = no
syslog = 0

panic action = /usr/share/samba/panic-action %d

### Autenticazione ###
security = user
encrypt passwords = true
; passdb backend = tdbsam guest
passdb backend = ldapsam:ldap://127.0.0.1
obey pam restrictions = yes
; guest account = nobody
invalid users = root
;unix password sync = no

# passwd program = /usr/bin/passwd %u
# passwd chat = *Enter\snew\sLinux\spassword:* %n\n *Retype\snew\sLinux\spassword:* %n\n .

; pam password change = no

##### LDAP Configuration #####

ldap admin dn = cn=admin,dc=scuola
ldap suffix = dc=scuola
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap passwd sync = Yes

passwd program = /usr/sbin/smbldp-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated*

add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

##### Samba PDC #####

os level = 255
domain master = yes
domain logons = yes
preferred master = yes
time server = yes
logon home =
logon path =

##### Printing #####

; load printers = yes
; printing = bsd
; printcap name = /etc/printcap
; printing = cups
; printcap name = cups
; printer admin = @ntadmin

##### File sharing #####

; preserve case = yes
; short preserve case = yes

##### Misc #####

; include = /home/samba/etc/smb.conf.%m
socket options = TCP_NODELAY

; idmap uid = 10000-20000
; idmap gid = 10000-20000
; template shell = /bin/bash

##### Share definitions #####

[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0700
directory mask = 0700

[netlogon]
comment = Network Logon Services
path = /scuola/samba/netlogon
guest ok = yes
writable = no
share modes = no

[profiles]
path = /scuola/samba/profiles
read only = no
create mask = 0600
directory mask = 0700

[VolShare]
comment = Documenti della Rete
path = /scuola/VolShare
browsable = yes
read only = no
public = yes
create mask = 0755

Amministratore di
www.it-opensuse.org

Ritratto di nirovi
nirovi
(Junior)
Offline
Junior
Iscritto: 16/02/2007
Messaggi: 18

Quali sono le patch da mettere a XP?

Windows XP
La procedura con Windows XP è più complessa (lamentele a Microsoft che usa cambiare le specifiche e le implementazioni dei suoi protocolli anche per rendere più complicata l'interoperabilità con soluzioni alternative). Notare che solo XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based).

1. Aprire l'editor delle policy di Sicurezza Locale (Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione)
2. Disabilitare la voce "Domain member: Digitally encrypt or sign secure channel (always)" (Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre) )
3. Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
4. Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
5. Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
6. A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.

Ritratto di nirovi
nirovi
(Junior)
Offline
Junior
Iscritto: 16/02/2007
Messaggi: 18

Ho eseguito il seguente comando:

smbclient -L localhost -U Administrator

ed il risultato sembra corretto.

Ma non riesco ad agganciare una macchina windows, dopo il popup e l'ineserimento dell'account "root" mi risponde che non trova il dominio....

Ritratto di Ricca
Ricca
(Junior)
Offline
Junior
Iscritto: 08/08/2005
Messaggi: 36

Prova ad aggiungere

encrypt passwords = yes

nel tuo smb.conf. Credo che anche domain master debba essere abilitato ma non ne sono sicuro...

Ciao