CIFS

[Владимир Семиколенных]

Удалить кэшированный пароль этого юзера в виндах?

[Павел aka GOLD]

Еще должна быть создана политика паролей, которая разрешила бы использование UP. + назначена для OU. После этого можно руками задать UP через iManager.

[Ravil]

в CIFS Simpl passw нужен судя по доке

[v13]

Я не думаю что у когото из читающих этот форум заявленная тобой комбинация работает. Мне в голову не приходило поднимать simple password без universal password. Это же жутко не удобно.
Попробуй поднять UP возможно это решит твою проблему и убьешь двух зайцев сразу. Хотя не факт
В твоей ситуации помоему нужно просто прописать политику для UP и всё заработает.

[Андрей Тр. aka RH]

Я не думаю что у когото из читающих этот форум заявленная тобой комбинация работает. Мне в голову не приходило поднимать simple password без universal password. Это же жутко не удобно.

Мне приходило, года два назад Неохота было включать UP ( а то вдруг убьёшь каких-нибудь не тех зайцев ). Это и вправду жутко неудобно, хотя тогда работало без проблем - правда, недолго, т.к. вскоре UP все же включил ( см. про жутко неудобно ).

[Иван Левшин aka Ivan L.]

Т.е. UP и SP совместно работают? Надо освежить моск...

[v13]

Для существования simple password обязательно необходим nmas?

Simple password, Universal password - работают именно через NMAS. Базовый функционал eDirectory - NCP и классический пароль. Который еще от времен NDS идет

Это то понятно. Но что мешает в дереве иметь атрибут простого пароля без nmas. расширил схему и все дела.
Нмас в моём понимании в основном синхронизатор паролей по политике.

[v13]

Покажи ещё содержимое etc/cifs.cfg
и вывод консоли при старте cifsstrt.

[Иван Левшин aka Ivan L.]

Для существования simple password обязательно необходим nmas?

Simple password, Universal password - работают именно через NMAS. Базовый функционал eDirectory - NCP и классический пароль. Который еще от времен NDS идет

Это то понятно. Но что мешает в дереве иметь атрибут простого пароля без nmas. расширил схему и все дела.
Нмас в моём понимании в основном синхронизатор паролей по политике.

В моем понимании за счет NMAS расширяется состав методов аутентификации и авторизации. Т.е. это не только расширение схемы, но еще и некий код, без наличия которого ничо работать не будет

[Ravil]

Вот содержимое cifs.cfg

-SERVERNAME 'ISP_SRV-W'
-COMMENT ''
-UNICODE OFF
-AUTHENT local
-WORKGROUP 'workgroup'


### The configuration for CIFS was moved to NDS.
### Please do not modify this file, because it will be ignored.

но он то не играет роли, игра с настройками CIFS через iManager внем не отражается

вот то что пишет cifsstrt

Loading Module CIFS.NLM [ OK ]
CIFSNLM: Compile date and time is Jan 03 2005, 16:10:56
CIFSNLM Operating Parameters:
Server - "1C-SHARE"
Comment - ""
Authentication - "Local"
Workgroup - "WORKGROUP"
Oplocks - Enabled
DFS - Disabled
Unicode - Enabled
Domain Add-on - Disabled
Share point - "1c-folder"
Share point - "rrr"
Loading Module CIFSPROX.NLM [ OK ]
Auto-Loading Module LDAPX.NLM [ OK ]
Loading Module NFAP4NRM.NLM [ OK ]



что касается Universal password

вчера вечером сделал согласно
http://www.novell.com/documentation/pas ... lq21t.html


sdidiag.nlm все без ошибок

не работает блин , где что что то упускаю видимо

[v13]

вот то что пишет cifsstrt

Server - "1C-SHARE"
Comment - ""
Authentication - "Local"
Workgroup - "WORKGROUP"
Oplocks - Enabled
DFS - Disabled
Unicode - Enabled
Domain Add-on - Disabled
Share point - "1c-folder"

Чето ничего не вижу про шифрование паролей.
У меня подозрение что у тебя настолько старый cifs, что его не поддерживает.
должно быть так:

NW1:cifsstrt
Loading Module CIFS.NLM
CIFSNLM: Compile date and time is Sep 14 2007, 02:31:48
CIFSNLM Operating Parameters:
Server - "NW1-W"
Comment - ""
Authentication - "Local"
Workgroup - "WORKGROUP"
Oplocks - Disabled
DFS - Disabled
Unicode - Enabled
Domain Add-on - Disabled
SMB Signatures - Optional
Share point - "Export All mounted Volumes"
Loading Module CIFSPROX.NLM
Auto-Loading Module SETMD4.NLM
Auto-Loading Module LDAPX.NLM
Loading Module NFAP4NRM.NLM

Проверить это можно настроив венду чтоб ломилась с нешифрованным паролем(гдето в реестре крутится)
или обновив cifs

Предложение:
найди на сайте novell последний cifs, и обнови его. IMHO сервер даже перегружать не придётся.

[Ravil]

да блин CIFS со времен SP3 датируется 2005 г

сейчас посмотрел обновления, нет ничего подходящего (только для SP6)

видимио если только саму NW обновлять

[Андрей Тр. aka RH]

Вопрос по CIFS к собаководам. Есть CIFS шара на NW6.5, и есть сервер Win 2003 с AD. И в еДире, и в AD есть юзеры, с разными именами ( ну и паролями тоже ). И вот требуется дать доступ к CIFS шаре тем, что есть в домене .. ну то есть в AD. Я глянул в настройки Third Party Domain, где еще прописывается адрес PDC ( Вин сервер за роутером, в другой сети ). Но пока не понял, чего именно делать с юзерами - в доке упоминается, что их надо "импортировать" в NFAP в NRM ?? из Винды в еДир ? Но ведь юзеры приходят и уходят, их что ли потом регулярно импортировать .. и вообще, если придется дублировать аккаунты с паролями в еДир из Винды, на кой тогда аутентификация в домене ?

Собсно, как рулить правами на ФС в этой шаре, если юзеры аутентифицируются из Винды ?

[Владимир Горяев]

Вопрос по CIFS к собаководам. Есть CIFS шара на NW6.5, и есть сервер Win 2003 с AD. И в еДире, и в AD есть юзеры, с разными именами ( ну и паролями тоже ). И вот требуется дать доступ к CIFS шаре тем, что есть в домене .. ну то есть в AD. Я глянул в настройки Third Party Domain, где еще прописывается адрес PDC ( Вин сервер за роутером, в другой сети ). Но пока не понял, чего именно делать с юзерами - в доке упоминается, что их надо "импортировать" в NFAP в NRM ?? из Винды в еДир ? Но ведь юзеры приходят и уходят, их что ли потом регулярно импортировать .. и вообще, если придется дублировать аккаунты с паролями в еДир из Винды, на кой тогда аутентификация в домене ?

Собсно, как рулить правами на ФС в этой шаре, если юзеры аутентифицируются из Винды ?

Рассказываю.
1. Нужно настроить UP и определить политики для контейнеров.
2. Настроить cifs:
2.1
в иманагере указать
- адрес wins (вендовый сервак);
- режим - домен;
- имя группы - имя домена;
- основной контроллер домена имя и ИП адрес;
- определить шары;
2.2
в cifsctxs.cfg прописать в каких котейнерах искать пользователей, типа:
O=serv
O=etc
inform.etc
min.etc
UNIT.etc
2.3
Имя пользователя и пароль в дереве и домене должны совпадать. Хотите делайте ето вручную, а чтоб не парится с синхро пользователей, паролей и пр., я рекомендую пользовать Identity Manager Bundle_Edition в девичестве dirxml startpack, которые бесплатны, достаточно зарегить и активировать драйвер eDir<->AD.

Права на шары CIFS будут такими как назначены в NW.

Как я понял Аутентификация происходит так:
- пользователь посылает имя с паролем;
- они пересылаются в AD;
- если прошли, то в дереве ищется пользователь в контейнерах поиска, проверяются;
- если все гуд, имей доступ к шарам.

Вроде так, если ничего не забыл.

PS Нашел у себя докум

Domains, NetWare, CIFS, and eDirectory
Novell Cool Solutions Question & Answer
Posted: 23 Nov 2004

Q:
Can a NetWare 6.x server join a domain as a NT type server? If so, how?

A:
NetWare 6.x joining a domain is not really an eDirectory feature. It's a CIFS feature that is part of NFAP (Native File Access Protocols). When configuring CIFS, you can decide whether to authenticate against an NT domain or against the NDS.

A new feature in NW6.5 SP2 is the domain emulation. With this feature, NetWare itself can behave as a domain controller and you can make your Windows workstations join the domain.

And you can put eDirectory on a 2000/2003 server giving you the ability of having one DS holding user accounts for all servers whether those servers are NT, NW, or Linux. As for integrating eDirectory and Windows domains/active directory, you need the additional Identity Manager product. What NetWare 6.5 includes out of the box is a limited version of DirXML which lets you to some degree synchronize eDirectory and Windowsservers.

[Андрей Тр. aka RH]

Имя пользователя и пароль в дереве и домене должны совпадать. Хотите делайте ето вручную, а чтоб не парится с синхро пользователей, паролей и пр., я рекомендую пользовать Identity Manager Bundle_Edition

Про IDM это все понятно, и с ним все было бы просто ( проще , но ставить его ( драйвер АД ) на тот виндозный сервер в мои планы пока не входит.

Насколько я понял, единственным преимуществом такой аутентификации через домен ( при наличии в едире юзеров - близнецов ) является возможность доступа к этой шаре с машин без новельного клиента, и которые при этому уже залогинены в домен.