Господа! Товарищи! Комрады! Помогите!

Проблема:

Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен (с аутентификацией в AD)

самбу ставил с ключами
./configure --with-winbind --with-winbind-auth-challenge --with-acl-support --prefix=/opt/samba --with-logfilebase=/var/samba/log --with-configdir=/etc/samba --with-privatedir=/etc/samba/private --with-ads --with-krb5=/usr/heimdal/ --with-pam --with-pam_smbpass

керберос клиент - heimdal

Самбу в домен ввел, пользователи из домена на самбе видны, всё пучком, на шары заходят. НО в логи сыпятся следующие сообщения:
                              [2005/10/31 18:54:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:53, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:54, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!

klist говорит что билеты не выдавались:
bash-2.05# /usr/heimdal/bin/klist
klist: No ticket file: /tmp/krb5cc_0

kinit ругается:
1) если ввести правильный пароль то он выдает:
bash-2.05# /usr/heimdal/bin/kinit -p administrator@tg.local
administrator@tg.local's Password:
kinit: Password incorrect

2) если ввести заведомо не правльный пароль, то
bash-2.05# /usr/heimdal/bin/kinit -p administrator@tg.local
administrator@tg.local's Password:
kinit: krb5_get_init_creds: Preauthentication failed

вот мой krb5.conf:
     [libdefaults]
             default_realm = TG.LOCAL
     [realms]
             TG.LOCAL = {
                     kdc = kdc.tg.local
                     admin_server = kdc.tg.local
             }
     [domain_realm]
             .tg.local = TG.LOCAL
             tg.local = TG.LOCAL

КУДА КОПАТЬ????????????

• Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!,Sergey Poleckiy, 12:25 , 01-Ноя-05
  • Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!,Boff, 12:51 , 01-Ноя-05
    • Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!,Varyag, 12:00 , 02-Ноя-05
      • Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!,Boff, 12:05 , 02-Ноя-05
        • Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!,Z0termaNN, 17:27 , 02-Ноя-05

>Господа! Товарищи! Комрады! Помогите!
>
>Проблема:
>
>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>(с аутентификацией в AD)

Может поможет?
http://linuxcenter.ru/lib/articles/networking/fileserver.phtml

>>Господа! Товарищи! Комрады! Помогите!
>>
>>Проблема:
>>
>>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>>(с аутентификацией в AD)
>
>Может поможет?
>http://linuxcenter.ru/lib/articles/networking/fileserver.phtml

прописал в /etc/krb5.conf (согласно статье)

bash-2.05# cat /etc/krb5.conf
         [libdefaults]
                default_realm = TG.LOCAL
                clockskew = 300
                v4_instance_resolve = false
                v4_name_convert = {
                        host = {
                                rcmd = host
                                ftp = ftp
                        }
                }
        [realms]
                TG.LOCAL = {
                        kdc = KDC.TG.LOCAL
                        admin_server = KDC.TG.LOCAL
                }
        [domain_realm]
                .tg.LOCAL = TG.LOCAL

при заходе на шары самбы в логи сыпется следующее:

[2005/11/01 12:41:16, 1] smbd/ipc.c:api_fd_reply(290)
  api_fd_reply: INVALID PIPE HANDLE: 76dc

klist по прежнему пустой:

bash-2.05# /usr/heimdal/bin/klist
klist: No ticket file: /tmp/krb5cc_0

НО, если дать команду

bash-2.05# /usr/heimdal/bin/kinit -p administrator
administrator@TG.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

и тут, о чудо!

bash-2.05# /usr/heimdal/bin/klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@TG.LOCAL

  Issued           Expires          Principal        
Nov  1 12:43:07  Nov  1 22:41:47  krbtgt/TG.LOCAL@TG.LOCAL

Почему же самба не хочет использовать керберос?????? Ведь конфигурировал её я с heimdal!!

>>>Господа! Товарищи! Комрады! Помогите!
>>>
>>>Проблема:
>>>
>>>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>>>(с аутентификацией в AD)
>>
>>Может поможет?
>>http://linuxcenter.ru/lib/articles/networking/fileserver.phtml
>
>
>прописал в /etc/krb5.conf (согласно статье)
>
>bash-2.05# cat /etc/krb5.conf
>         [libdefaults]
>            
>    default_realm = TG.LOCAL
>            
>    clockskew = 300
>            
>    v4_instance_resolve = false
>            
>    v4_name_convert = {
>            
>          
> host = {
>            
>          
>         rcmd =
>host
>            
>          
>         ftp =
>ftp
>            
>          
> }
>            
>    }
>        [realms]
>            
>    TG.LOCAL = {
>            
>          
> kdc = KDC.TG.LOCAL
>            
>          
> admin_server = KDC.TG.LOCAL
>            
>    }
>        [domain_realm]
>            
>    .tg.LOCAL = TG.LOCAL
>
>при заходе на шары самбы в логи сыпется следующее:
>
>[2005/11/01 12:41:16, 1] smbd/ipc.c:api_fd_reply(290)
>  api_fd_reply: INVALID PIPE HANDLE: 76dc
>
>klist по прежнему пустой:
>
>bash-2.05# /usr/heimdal/bin/klist
>klist: No ticket file: /tmp/krb5cc_0
>
>НО, если дать команду
>
>bash-2.05# /usr/heimdal/bin/kinit -p administrator
>administrator@TG.LOCAL's Password:
>kinit: NOTICE: ticket renewable lifetime is 1 week
>
>и тут, о чудо!
>
>bash-2.05# /usr/heimdal/bin/klist
>Credentials cache: FILE:/tmp/krb5cc_0
>        Principal: administrator@TG.LOCAL
>
>  Issued          
> Expires          
>Principal
>Nov  1 12:43:07  Nov  1 22:41:47  krbtgt/TG.LOCAL@TG.LOCAL
>
>
>Почему же самба не хочет использовать керберос?????? Ведь конфигурировал её я с
>heimdal!!

В конфиге самбы пропишите чтобы использовать Kerberos.

>В конфиге самбы пропишите чтобы использовать Kerberos.

это какой параметр нужно указать в smb.conf?

>
>>В конфиге самбы пропишите чтобы использовать Kerberos.
>
>это какой параметр нужно указать в smb.conf?

realm = ?