FreeNAS 9.3 + AD Windows Server2008 R2

[mik_kovrov]

Всем доброго времени суток, пытаюсь подружить фринас и контроллер домена. Насторойку делал как вот в этой статье https://forums.freenas.org/index.ph...directory-folder-file-user-permissions.20610/ В домен удалось вродебы его ввести но появилось две проблемы:
1) После перезагрузки автоматом не стартует служба CIFS и приходится вводить пароль учетной записи в домене и ставить галочку "включено", только после этого шары начинают быть доступны пользователям, как бы сделать так чтоб после ребута и служба стартовала и авторизация в домене сохранялась?
2) Как задать разрешения на шару определенным пользователям? я подключаюсь к фринасу с сервака с помощью оснастки "Управление компьютером" там видны все шары на фринасе, выставляю разрешения нужным пользователям или группам применяю, все применяется, но доступ как был у всех к этой шаре так у всех и остается, в вебморде фринаса ненашел функции чтоб можно было конкретным пользователям как в Windows разрешения выставить, может кто выложит скин как это сделать?

 

[mik_kovrov]

И еще хоте спросить для чего нужна служба "Контроллер домена " в 9.3 и надо ли делать там какие-нибудь настройки , я прописал доменные настройке на вкладке"Служба каталогов" и как бы фринас ввелся в домен , или фрина теперь сам может быть контроллером домена? для чего эта служба?

 

[mav@]

FreeNAS 9.3 сам может быть контроллером домера.

 

[mik_kovrov]

А как быть с сохранением настроек может где в конфиге в каком их руками прописать?

 

[mav@]

А как быть с сохранением настроек может где в конфиге в каком их руками прописать?

Настройки домена сохраняются на системный датасет на одном из пулов, по выбору. На сколько я знаю руками они не пишутся, а настраиваются удаленно с винды.

 

[mik_kovrov]

Прошу прощения я новичек в unix системах, можно что называется на пальцах по пунктам что где нужно прописывать, я делал так:
1) сначала как в сатье выше, создаю на контроллере пользователя freenasadmin кидаю его в группу администраторы домена
2) создаю комп FRENAS, создаю для него запись в DNS, в свойствах кома даю разрешение присоединить его к домену пользоватю freenasadmin этому же пользователь полные права на этот комп
3) ну во фринасе прописываю статический адрес, шлюз и сервера днс, иду в пункт Служба каталогов на вкладку AD, там прописываю пользователя freenasadmin ну соответственно пароль, сам домен, пароль пользователя и ставлю галку включено, жму сохранить, все круто, пишет данные ад успешно обновлены, я в домене.
4) иду в пункт хранилище, создаю из двух жеских райд,( стрип) , в настройках разрешений на него указываю владельца группу (выбираю группу пользователи дормена) и просто владельца ( выбираю созданого для фринаса пользователя freenasadmin)
5) создаю набор данных Backup для windows, владельца и группу указываю такие же как для райда
6) дальше иду в настройку CIFS там пишу нетбиос имя FREENAS, рабочую группу по имени домена, запускаю службу
7) дальше иду в общие ресурсы, Windows создаю новый ресурс Backup указываю путь к одноименному набору данных, с этого момента в сетевом окружении виден FREENAS, и видна общаяя папка Backup , пускает туда всех кто в домене.
8) дальше иду на контроллер с помощью осанстки "Управление компьютером" подключаюсь к FREENAS вижу там свою шару Backup захожу в свойства, разрешения для общего ресурса, убираю там "все" ставлю доменных пользователей котороые надо открыть доступ в данном случае только сервакам, сохраняю а ему пофиг, как был у всех доступ к шаре так он у всех и остался.
9) перезагружаю фринас и все, при обращении к нему из сети простит логин и пароль, лезу в службы CIFS не запущена, запускаю ее, лезу в Служба каталогов там имя домена осталось имя пользователя осталось, а вот пароль не сохранен и галочка включено убрана, ввожу пароль ставлю галочку жму сохранить и все доступ снова есть к этой паке но опять же у всех кто в домне а не только у тех кого я указал через оснастку.
ПОМОГИТЕ плиз, в каком пункте что не так настроил?

 

[zoid009]

У меня похожая ситуация, после обновления до 9.3 перестал ходить в ActiveDirectory, в разделе Каталог - ActiveDirectory, ввожу имя домена, логин\пароль администратора домена + галка Включено. Жду сохранить и в итоге "Службу не удалось перезапустить." Пользователей не видит и соответственно прав на шару назначить не могу.


В лог пишет:

Code:

Feb 9 17:57:11 NAS adtool: [common.pipesubr:58] Popen()ing: klist
Feb 9 17:57:11 NAS adtool: [common.pipesubr:58] Popen()ing: /usr/bin/kinit --renewable --password-file=/tmp/tmpDPm_1U administrator@DOMAIN.LOCAL
Feb 9 17:57:17 NAS ActiveDirectory: /usr/local/bin/python /usr/local/www/freenasUI/middleware/notifier.py stop cifs
Feb 9 17:57:20 NAS notifier: winbindd not running? (check /var/run/samba/winbindd.pid).
Feb 9 17:57:20 NAS notifier: smbd not running? (check /var/run/samba/smbd.pid).
Feb 9 17:57:20 NAS notifier: nmbd not running? (check /var/run/samba/nmbd.pid).
Feb 9 17:57:21 NAS ActiveDirectory: /usr/sbin/service ix-kerberos quietstart
Feb 9 17:57:23 NAS ActiveDirectory: /usr/sbin/service ix-nsswitch quietstart
Feb 9 17:57:25 NAS ActiveDirectory: /usr/sbin/service ix-kinit quietstart
Feb 9 17:57:39 NAS ActiveDirectory: /usr/sbin/service ix-kinit status

Если не ставить галку Enable\Включить, то статус "Active Directory successfully updated." Но ничего не происходит и пользователей из ADэ не высасывает((

Чо за прикол?

 

[zoid009]

Не понял каким образом и после каких действий, но подключился к АДэ.
НО в свойствах хранилища, в выпадающем меню не отображается список пользователей из АДэ, когда захожу туда появяютя записи:

Code:

Feb 10 00:17:03 NAS manage.py: [common.pipesubr:58] Popen()ing: klist
Feb 10 00:17:05 NAS winbindd[26918]: [2015/02/10 00:17:05.270534, 0] ../libcli/nbt/lmhosts.c:93(getlmhostsent)
Feb 10 00:17:05 NAS winbindd[26918]: getlmhostsent: Ill formed hosts line [10.0.0.1 ]
Feb 10 00:17:05 NAS manage.py: [common.pipesubr:58] Popen()ing: klist
Feb 10 00:17:05 NAS manage.py: [common.pipesubr:58] Popen()ing: klist

При запросах wbinfo -u и wbinfo -g результат есть.
Поставил AD timeout = 60 но всё равно не помогает.

Как решить проблему? Что я делаю не так?

 

[zoid009]

Вот так получается

Code:

[root@NAS] ~# sqlite3 /data/freenas-v1.db "update directoryservice_activedirectory set ad_enable=1;"
[root@NAS] ~# echo $?
0
[root@NAS] ~# service ix-kerberos start
[root@NAS] ~# service ix-nsswitch start
[root@NAS] ~# service ix-kinit start
[root@NAS] ~# service ix-kinit status
[root@NAS] ~# echo $?
0
[root@NAS] ~# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@DOMAIN.LOCAL

  Issued           Expires          Principal
Feb 10 00:30:01  Feb 10 10:30:01  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
[root@NAS] ~#
[root@NAS] ~# service ix-sssd start
[root@NAS] ~# service sssd start
Will not 'start' sssd because sssd_enable is NO.
[root@NAS] ~#
[root@NAS] ~# python /usr/local/www/freenasUI/middleware/notifier.py start cifs
True
[root@NAS] ~# service ix-activedirectory start
getlmhostsent: Ill formed hosts line [10.0.0.1  ]
Using short domain name -- DOMAIN
Joined 'NAS' to dns domain 'domain.local'
False
getlmhostsent: Ill formed hosts line [10.0.0.1  ]
Deleted account for 'NAS' in realm 'DOMAIN.LOCAL'
winbindd not running? (check /var/run/samba/winbindd.pid).
smbd not running? (check /var/run/samba/smbd.pid).
nmbd not running? (check /var/run/samba/nmbd.pid).
True
[root@NAS] ~# service ix-activedirectory status
[root@NAS] ~# echo $?
1
[root@NAS] ~#
[root@NAS] ~# python /usr/local/www/freenasUI/middleware/notifier.py restart cifs
True
[root@NAS] ~# service ix-pam start
[root@NAS] ~# service ix-cache start &
[2] 46078
[root@NAS] ~#
[2]    Done                          service ix-cache start
[root@NAS] ~#
[root@NAS] ~#

 

[zoid009]

Теперь вот так:

Code:

[root@NAS] ~# python /usr/local/www/freenasUI/middleware/notifier.py start cifs
True
[root@NAS] ~# service ix-activedirectory start
Using short domain name -- DOMAIN
Joined 'NAS' to dns domain 'domain.local'
[root@NAS] ~# service ix-activedirectory status
[root@NAS] ~# echo $?
0
[root@NAS] ~# python /usr/local/www/freenasUI/middleware/notifier.py restart cifs
True
[root@NAS] ~# service ix-pam start
[root@NAS] ~# service ix-cache start &
[2] 53769
[root@NAS] ~#
[root@NAS] ~#
[2]    Done                          service ix-cache start
[root@NAS] ~#

Но в логе всё равно:

Code:

Feb 10 01:28:34 NAS cachetool.py: [common.pipesubr:58] Popen()ing: klist
Feb 10 01:28:36 NAS manage.py: [common.pipesubr:58] Popen()ing: klist
Feb 10 01:28:36 NAS manage.py: [common.pipesubr:58] Popen()ing: klist
Feb 10 01:28:39 NAS manage.py: [common.pipesubr:58] Popen()ing: klist
Feb 10 01:28:39 NAS manage.py: [common.pipesubr:58] Popen()ing: klist

Но в выпадающем списке хранилища нет пользователей\групп для разрешения доступа.

Что ж не так?

 

[RegularJoe]

Hi ALl,

It seems that AD Integration is still broken, even in the latest stable update. Not sure why. I am running a Windows 2003 schema domain with 1 2003r2 DC, and 3 Windows Server 2008r2 domain controllers. I have a ticket open with tech support. I wonder if all this mess is fixed in TrueNAS?

Thanks,
Joe

 

[zoid009]

Hi ALl,

It seems that AD Integration is still broken, even in the latest stable update. Not sure why. I am running a Windows 2003 schema domain with 1 2003r2 DC, and 3 Windows Server 2008r2 domain controllers. I have a ticket open with tech support. I wonder if all this mess is fixed in TrueNAS?

Thanks,
Joe

Joe,
How will the response from the support, let me know.

 

[zoid009]

Проблема решена!
Установил обратно 9.2.1.7 :)

 

[pechkin000]

I had the same problem, this is what solved it for me: went into advanced settings and deleted domain controller IP. Dont ask me why it worked, but it did, after I banged my head against the wall on this for like 2 hours.
Back to basic settings, domain name/password, enabled and all of a sudden life is good!

 

[RegularJoe]

I can now get a list of domain users and groups, but I cannot seem to apply any of that to the CIFS share I have created and then edit the NTFS permissions from a Windows Server like this article from last year says to do :

https://forums.freenas.org/index.ph...directory-folder-file-user-permissions.20610/

 

[jianmoto]

Is there any solution for this problem?I don't understand what you said without English.

 

[ivan.gukov]

Services -> CIFS
1. ‘NetBIOS Name’ as you entered in Network Global Config (ex: freenas)
2. ‘Workgroup’ is Domain NETBIOS name in ALL CAPS (ex: DOMAIN)
3. UNCHECK ‘Local Master’
4. UNCHECK ‘Time Server for Domain’
5. Write following in ‘Auxillary Parameters’:

workgroup = DOMAIN
preferred master = no
domain master = no
realm =domain.com
security = ads

6. UNCHECK ‘Zeroconf share discovery’
7. ‘Server maximum protocol’ should be SMB2