Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Unix-подобные системы

Samba-ресурс недоступен из других подсетей.

На чтение 5 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Анализ проблемы
  4. Важные детали конфигурации
  5. Рекомендации по устранению
  6. Заключение

Вопрос или проблема

Спасибо, что обратили внимание на мою проблему и думаете вместе со мной о решении.
У меня есть сервер Samba в подсети 172.23.3.55/23 (2.0 –> 3.255), и в этой подсети я могу без проблем получить доступ к серверу.
Также подсеть 172.23.4.0/23, которая находится на том же Core Switch, может без проблем получить доступ к серверу.
Даже наша офисная подсеть 129.228.114.0/23 может получить доступ к системе через брандмауэр без проблем. Но когда я подключаюсь к нашей VPN-сети 172.23.45.0/24 или когда я прихожу из другого офиса с совершенно другими диапазонами, я не могу получить доступ к серверу. Сервер отвечает, и мне нужно войти в систему, но всегда происходит отказ в доступе.

Вот мой раздел [global] и [share] в smb.conf

        workgroup = localdomain.nmc
        netbios name = AMS-QTGW02
        server string = %h server (Samba %v)
#        hosts allow = 172.23.202.0/24 172.23.45.0/24 129.228.114.0/23 
129.228.70.0/24 129.228.109.42 129.228.109.83
        force user = nobody
        force group = nobody
        force create mode = 0666
        force directory mode = 0777
        create mode = 0666
        directory mode = 0777
        guest account = vimn

        security = user
        passdb backend = tdbsam
        ntlm auth = yes

        log file = /var/log/samba/log.%m
        log level = 2 passdb:5 auth:5
        max log size = 50M

        #Настройка производительности:
        use sendfile = true
        kernel oplocks = no
        strict locking = no

        # файлы macOS
        veto files = /.DS_Store/.AppleDesktop/.AppleDB/.AppleDouble/.Temporary Items/
        delete veto files = yes

        printing = cups
        printcap name = cups
        load printers = no
        cups options = raw

[AMS-HATCH]
        comment = HATCH Storage Share (Автоудаление через 30 дней)
        path = /quantum/AMS-HATCH
        browseable = yes
        writable = yes
        guest ok = yes
        force user = nobody
        force group = nobody
        valid users = @LinuxAdmins, vimn, mll

Как видите, я закомментировал строку “hosts allow”, чтобы все IP могли получить доступ к серверу. Позже, когда все будет работать, я хотел бы ограничить доступ через это (или “hosts deny”).

Учётные данные многократно проверялись, и они введены правильно.
Я читал о том, что samba-winbond для недоменных серверов нужно отключить, но я его не устанавливал, есть ли настройка, о которой я не знаю или которую я не использую?

В файле журнала этой сессии у меня есть следующее:

[2018/02/19 11:21:07.724423,  5] 
../source3/auth/server_info_sam.c:122(make_server_info_sam)
  make_server_info_sam: создана информация сервера для пользователя vimn -> vimn
[2018/02/19 11:21:07.724461,  3] 
../source3/auth/auth.c:249(auth_check_ntlm_password)
  check_ntlm_password: аутентификация через sam для пользователя [vimn] успешна
[2018/02/19 11:21:07.724516,  5] 
../source3/auth/auth.c:292(auth_check_ntlm_password)
  check_ntlm_password: учетная запись PAM для пользователя [vimn] успешна
[2018/02/19 11:21:07.724537,  2] 
../source3/auth/auth.c:305(auth_check_ntlm_password)
  check_ntlm_password: аутентификация для пользователя [vimn] -> [vimn] -> [vimn] успешна
[2018/02/19 11:21:07.725216,  5] 
../source3/passdb/pdb_interface.c:1749(lookup_global_sam_rid)
  lookup_global_sam_rid: поиск RID 513.
[2018/02/19 11:21:07.725264,  5] 
../source3/passdb/pdb_tdb.c:658(tdbsam_getsampwrid)
  pdb_getsampwrid (TDB): ошибка при поиске RID 513 по ключу RID_00000201.
[2018/02/19 11:21:07.725300,  5] 
../source3/passdb/pdb_interface.c:1825(lookup_global_sam_rid)
  Не удается найти Unix ID для немапированной группы
[2018/02/19 11:21:07.725317,  5] 
../source3/passdb/pdb_interface.c:1535(pdb_default_sid_to_id)
  SID S-1-5-21-3363938291-73671434-3978610123-513 принадлежит нашему домену, но в базе данных нет соответствующего объекта.

Пароль аутентифицирован корректно, но связь все равно разрывается.

Большое спасибо всем.

редактирование: добавлен раздел журнала.

Никто не предложил решения, но проблема больше не повторяется.

Ответ или решение

Проблема с доступом к Samba-серверу из разных подсетей может быть связана с рядом факторов, влияющих на сетевую конфигурацию и настройку доступа. Давайте разберем возможные решения и аспекты, которые следует учесть для устранения этой проблемы.

Анализ проблемы

Вы описали ситуацию, когда Samba-сервер, находящийся в подсети 172.23.3.55/23, доступен из нескольких подсетей, но недоступен при подключении через VPN из сети 172.23.45.0/24 или из других офисов. Несмотря на успешную аутентификацию в журналах, подключение отклоняется.

Важные детали конфигурации

  1. Samba конфигурация: Ваша конфигурация предусматривает отключенную директиву hosts allow. Это значит, что доступ должен быть открыт для всех IP-адресов, если только другие элементы конфигурации или ограничения сетевого оборудования не препятствуют этому.

  2. Аутентификация и управление доступом: Согласно логам, аутентификация пользователя проходит успешно, что указывает на корректность введенных учетных данных. Однако последующие шаги могут содержать ошибку или конфликт в привязке пользователя или группы.

  3. Логические ошибки в системе: Логи сообщают об ошибках, связанских с привязкой RID к UNIX ID. Это может указывать на неполноценное соответствие учетных записей пользователей и групп между системами.

Рекомендации по устранению

  1. Проверка маршрутизации и межсетевых экранов:

    • Убедитесь, что все необходимые маршруты установлены правильно и что на межсетевых экранах (firewall) разрешены необходимые порты и адреса.
    • VPN может иметь ограничения, которые препятствуют установлению соединения; проверьте настройки политики безопасности.

  2. Настройка Samba:

    • Разверните директиву log level, чтобы получить больше информации о проблеме в журналах. Повышенный уровень логирования может дать дополнительные подсказки.
    • Убедитесь, что каждое идентифицированное в логах SID или RID имеет соответствие в вашей базе данных пользователей и групп.

  3. Тестирование сети:

    • Используйте инструменты, такие как ping и traceroute, чтобы проверить доступность сервера из проблемных подсетей.
    • Используйте smbclient для диагностики подключения, это может помочь понять, что происходит в процессе соединения.

  4. Анализ сетевой политики безопасности:

    • Некоторые сетевые политики могут блокировать или ограничивать трафик между подсетями. Проверьте, чтобы у всех необходимых подсетей были привилегии доступа.

  5. Обновление:

    • Если проблема исчезла, это может указывать на временную ошибку в системе или сети. Тем не менее, продолжайте мониторинг, чтобы избежать повторения.

Заключение

Для комплексного решения проблемы с недоступностью Samba-сервера анализ каждого уровня сетевой инфраструктуры и настройки программного обеспечения является жизненно необходимым. Надеюсь, описанные выше шаги помогут вам в диагностике и устранении этой проблемы. Если ошибка возникнет снова, комплексный подход с учетом всех элементов сети и сервера должен помочь выявить и устранить эту проблему.

centos linux samba subnets
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности