SAMBA не пускает по именам компьютеров, а только по IP

[andreik99]

Добрый день

подскажите, где зарыта бяка в настройках, суть в том, что у меня в конфиге стоит:

(Нажмите, чтобы показать/скрыть)

hosts allow = 172.16.10.112 192.168.15.21 10.0.0.2 192.168.15.22
hosts deny = ALL

все компьютеры с данными IP адресами прекрасно авторизируется, но стоит мне в hosts allow вписать компьютер по имени (там динамический адрес) то именно этот компьютер не получает доступ.

где и что у меня неправильно? 

[fisher74]

А по именам-то распознаёт?

[andreik99]

да в лог файл пишется и IP адрес и имя

(Нажмите, чтобы показать/скрыть)

Oct 30 08:03:50 dx220 smbd[1127]: drcimt|172.17.10.76|ult7|172.17.10.76|open|ok|r|DISPOZITII

и в конфиг файле есть строка:

(Нажмите, чтобы показать/скрыть)

full_audit:prefix = %u|%I|%m|%M

[ntec]

где и что у меня неправильно? 

через запятую, регистр букв ?

[andreik99]

через запятую, регистр букв ?

Да через запятую, регистр букв брал из лог файла, но проверял с тем как записано имя компьютера в свойствах

[AnrDaemon]

А компьютер по этому имени пингуется?
С сервера
nmblookup имякомпа

[andreik99]

А компьютер по этому имени пингуется?
С сервера

часть пингуется, что в своей сети, а что идут в статическом маршруте (по умолчанию другой шлюз) пингуются только по IP, но тем не менее в лог файле самбы я вижу имена всех компьютеров

[AnrDaemon]

Протокол SMB не умеет передавать информацию о именах компьютеров через маршрутизаторы. Нужен промежуточный WINS сервер, и то не факт.

Если на минуту отвлечься от поставленной задачи... не вижу смысла её решать. Чем вам не угодил обычный доступ с авторизацией?

[andreik99]

Чем вам не угодил обычный доступ с авторизацией?

В аудит файле вижу очень много попыток подключения сторонних компьютеров, хочется резать не дожидаясь перетонита

[AnrDaemon]

fail2ban

[andreik99]

fail2ban

Этот вариант хорош, когда идет просто подбор пароля, а как быть в случае, когда сотрудник переходит из одного отдела в другой, и теперь ему этот доступ нужно перекрыть, а все сотрудники отдела к данному ресурсу подключаются по единому аккаунту.
Поэтому и хотелось открыть доступ только "своим компьютерам". Как вариант мы сейчас все эти компьютеры перевели с динамического на статический IP, но не исключена вероятность, что администратор домена может изменить настройки.
А объяснить администратору домена, что нам нужно иметь постоянные IP порой бывает "тяжелым случаем", особенно в крупных компаниях.

[AnrDaemon]

как быть в случае, когда сотрудник переходит из одного отдела в другой, и теперь ему этот доступ нужно перекрыть, а все сотрудники отдела к данному ресурсу подключаются по единому аккаунту.

Настроить нормальную авторизацию уже!
Хватит пользоваться общими презервативами, это негигиенично.

[andreik99]

Настроить нормальную авторизацию уже!
Хватит пользоваться общими презервативами, это негигиенично.

Согласен что негигиенично, надо будет убеждать переходить на индивидуальную авторизацию и все логины скинуть в одну группу.