Jak se v Linuxu prostřednictvím Samba clienta dostat na server s SBS Win 2003
Mám síť tvořenou quasiserverem, na kterém jsou nainstalovány Windows Small Business Server 2003 R2 (s pevnou síťovou adresou). Přistupuji na něj cca ze tří PC (s WinXP Home) a to jednak síťově a jednak přes FTP k nasdílenému adresáři, dále přes Terminal Services a konečně k jeho SQL serveru. Všechno mně pracuje bez problémů v režimu lokálním i vzdáleném a dostanu se na něj těmito metodami i přes PDA s WM5.
Teď jsem si nainstaloval na notebook Linux Puppy 3.01, ve kterém jsem rozchodil TS a SQL v obou režimech, FTP ale jenom v lokálním, což řeším na jiném threadu (http://pc.poradna.net/question/view/188595-neidenti fikovatelna-chyba-pri-pripojovani-prostrednictvim- f tp-clienta-v-linuxu).
Zcela zásadním problémem pro mě však je, že se z toho linuxového notebooku nemohu na qserver připojit přes klasickou síť (prostřednictvím Samba clienta), ač tak zkouším za použití na webu doporučovaných nastavení. Myslím si ale, že v těch nastaveních chyba nebude, protože ke všem ostatním "stanicím" s WinXP Home se připojím bez problému.
Z toho dovozuji, že mám něco blbě nastaveno na tom qserveru, ale absolutně nevím co. Samba client mě s qserverem spojí, nabídne mi jím anoncované prostředky, ale když kliknu na nasdílený adresář, vyhodí mi to chybovou hlášku s tím, že server odmítl požadavek na připojení anebo mám špatně login či heslo.
Tak by mě zajímalo, co jsem na tom nastavení qserveru zkonil a zda to byť i pro mne nepochopitelnou náhodou nějak nesouvisí i s tou nefunkčností přes FTP vzdáleně připojovaného serveru.
Tak jsem se teď na radu Vladimíra připojil přes TS na qserver a odtud získal následující informaci o svém připojení z toho nešťastného Linuxového klienta:
Prohlížeč události/Zabezpečení/TYP:Auditovat úspěšné provedení operaci/Kategorie:Přihlášení či odhlášení:
Úspěšné přihlášení k síti:
Uživatelské jméno: UserX
Doména: XXX
ID přihlášení: (0x0,0x12C91FE)
Typ přihlášení: 3
Přihlašovací proces: NtLmSsp
Ověřovací balíček: NTLM
Název pracovní stanice: PUPPYPC
Přihlašovací identifikátor GUID: -
Uživatelské jméno volajícího: -
Doména volajícího: -
ID přihlášení volajícího: -
ID procesu volajícího: -
Přenosové služby: -
Takže jestli vám to něco řekne........
//Edit: Tak to asi nemělo význam sem vkládat, protože těch událostí od dotyčné stanice v téže minutě je tam asi deset.
NTLM již není ve Win2003 standardně podporováno kvůli bezpečnosti.
Pokud se mlhavě pamatuju, tak Samba podporuje NTLMv2 od tuším verze 3.0 a dociluje se toho pomocí následujících direktiv v smb.conf (smbclient používá stejnou konfiguraci jako smbd a nmbd):
edit: zapomněl jsem připsat, že samozřejmě lze v doménových politikách NTLM zpětně povolit, nicméně to není zrovna bezpečné.
edit2: ještě jsem to výslovně upravil na NTLMv2
TW díky, tak jsem ty Tvoje řádky vetkl do samba.conf, ale bohužel stav se nezměnil. Ještě jsem zapomněl napsat, že při pokusu proniknout do sdíleného adresáře qserveru se mi sice na linuxové stanici vytvoří příslušný bod připojení, ale obdržím následující chybové hlášení:
SMB connection failed
cli_negprot: SMB signing is mandatory and we have disabled it.
3572: protocol negatiation failed,
přičemž to číslo v chybové hlášce při následném pokus nabývá rozdílné hodnoty.
Google říká: http://lists.samba.org/archive/samba/2003-October/0 75791.html
jinak, SMB podepisování jde na serveru vypnout, ale nejprv bych zkusil tohle.
Vladimíre, mohl bys mi prosím sdělit, jak se to podepisování SMB vypíná? Postup z Tebou doporučeného threadu jsem realizoval ještě před dotazem na Poradnu, ale bohužel bez výsledku.
Pro ilustraci Ti zasílám výpis relevantních položek z mého prozatímního samba.conf :
[global]
workgroup = XXX
server string = Samba Server
log file = /var/log.%m
max log size = 50
security = user
client use spnego = yes
client signing = yes
lanman auth = No
ntlm auth = Yes
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
wins support = yes
dns proxy = no
winbind uid = 10000-65000
winbind gid = 10000-65000
winbind template homedir = /home/%D/%U
winbind template shell = /bin/sh
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
[printers]
comment = All Printers
path = /usr/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
//EDIT: Zatím jsem nalezl toto:
Problém je v digitálním podepisování paketů.
Po instalaci DC se ve Win2003 nastaví implicitní hodnota na vždy
vyžadovat digitálně podepsané pakety na SMB protokolu.
Stačí tento parametr vypnout a z DOS i Win98 se znovu budete moci přihlásit.
Provádí se to takto:
V administrative tools vybrat Domain Controller Security Settings.
Dál do Local Policies a pak Security Options. Je tam údaj
Microsoft network server: Digitaly sign communications (always)
ten nastavit na Disabled.
Pak otevřit okno s příkazovým řádkem a napsat "gpupdate", tím se vyvolá
zrychlené provedení změn v group policy.
Popsaný popis je pro domain controller, máš ten SBS nastavený jako doménový řadiš nebo je to samostatný server?
Jestli je to samostatný server, tak můžeš udělat to samé, jen to není v Domain Controller s. s., ale v "Local Security Policy"
Jako samostatný server; už jsem to našel, nastavil a jdu zkoušet. Drž mi palce, když to nevyjde, končím a pokorně se vracím k XP Home....
Vladimíre, funguje to; problém byl skutečně v tom podepisování SMB.
Máš u mne panáka koncentrované lihoviny podle vlastního výběru, adresu znáš...