https://opennet.ru/openforum/vsluhforumID14/1344.html Задача: наладить авторизацию linux-клиентов в AD Windows 2003<br>smb.conf<br>[global] <br>workgroup = WINDOWS<br>server string = ALT-TEST<br>netbios name = ALT-TEST<br>security = DOMAIN<br>winbind cache time = 10<br>password server = WIN2K3<br>encrypt passwords = true<br>winbind use default domain = yes<br>winbind uid = 10000-15000<br>winbind gid = 10000-15000<br>winbind enum users = yes<br>winbind enum groups = yes<br>template homedir = /home/%D/%U<br>template shell = /bin/bash<br><br>[root@testing samba]#net join -U administrator<br>Password:<br>Joined domain WINDOWS.<br>[root@testing samba]# wbinfo -V<br>Version 3.0.25<br>[root@testing samba]# wbinfo -p<br>Ping to winbindd succeeded on fd 4<br>[root@testing samba]# wbinfo -u<br>Error looking up domain users<br>[root@testing samba]# wbinfo -g<br>BUILTIN\administrators<br>BUILTIN\users<br><br>[root@testing samba]# tail /var/log/samba/log.wb-WINDOWS <br>[2007/05/15 18:52:40, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)<br> ads_connect for domain WINDOWS failed: Operations error<br>[2007/05/15 18:53:53, 1] nsswitc https://opennet.ru/openforum/vsluhforumID14/1344.html#17 Tue, 27 Nov 2007 12:55:12 GMT &gt;&gt;&gt;А шел "/bin/false" это нормально? <br>&gt;<br>&gt;у меня такая же проблема только на Suse, если разобрался - подскажи <br>&gt;плиз.. <br>&gt;<br>&gt;Kerberos 4 ticket cache: /tmp/tkt0 <br>&gt;klist: You have no tickets cached <br><br>шел не должен быть /bin/false однозначно. ищи в настройках самбы "template shell" или как-то так<br> https://opennet.ru/openforum/vsluhforumID14/1344.html#16 Tue, 27 Nov 2007 09:56:36 GMT &gt;&gt;А шел "/bin/false" это нормально? <br><br>у меня такая же проблема только на Suse, если разобрался - подскажи плиз..<br><br>Kerberos 4 ticket cache: /tmp/tkt0<br>klist: You have no tickets cached<br> https://opennet.ru/openforum/vsluhforumID14/1344.html#15 Tue, 27 Nov 2007 09:32:45 GMT &gt;А шел "/bin/false" это нормально? <br><br>А что с этим шелом нужно делать???<br><br><br> https://opennet.ru/openforum/vsluhforumID14/1344.html#14 Tue, 30 Oct 2007 14:12:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;И такое бывало :) <br>&gt;&gt;<br>&gt;&gt;В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ <br>&gt;&gt;БУКВАМИ! <br>&gt;&gt;<br>&gt;&gt;Плюс kdc и админ сервер попробуйте указать по ip адресу. <br>&gt;&gt;<br>&gt;&gt;Ежели что шлите конфиги на почту. Посмотрю что как. <br>&gt;<br>&gt;заработало! потомкам могу расписать <br><br>Распиши плиз конфиг krb5 lmhosts resolv.conf<br><br><br> https://opennet.ru/openforum/vsluhforumID14/1344.html#13 Thu, 30 Aug 2007 12:32:11 GMT А шел "/bin/false" это нормально?<br> https://opennet.ru/openforum/vsluhforumID14/1344.html#12 Thu, 30 Aug 2007 09:58:49 GMT ситуация следущая <br>Fedora 6 Samba 3.0.23(ставил из rpm) <br>сделал все по http://fedoramd.org/Install/Samba/ADS <br>делаю <br>[root@vovan-fedora ~]# kinit admin@DOMAIN.NET <br>Password for admin@DOMAIN.NET: <br>[root@vovan-fedora ~]# <br>просто принимает пароль без дальнейшей реакции(нормально ли это) <br> <br>[root@vovan-fedora ~]# klist <br>Ticket cache: FILE:/tmp/krb5cc_0 <br>Default principal: admin@DOMAIN.NET <br> <br>Valid starting Expires Service principal <br>08/28/07 17:34:33 08/29/07 00:14:33 krbtgt/DOMAIN.NET@DOMAIN.NET <br> <br> <br>Kerberos 4 ticket cache: /tmp/tkt0 <br>klist: You have no tickets cached <br> <br>ввожу в домен <br>[root@vovan-fedora ~]# net ads join -U admin <br>admin's password: <br>Using short domain name -- DOMAIN <br>Joined 'VOVAN-FEDORA' to realm 'DOMAIN.NET' <br> <br>[root@vovan-fedora samba]# wbinfo -t <br>checking the trust secret via RPC calls succeeded <br>wbinfo -g <br>wbinfo -u <br>отрабатывают <br>пытаюсь войти на Linux машиту под доменной учетной записью DOMAIN\admin<br><br>"the system administrator has disabl https://opennet.ru/openforum/vsluhforumID14/1344.html#11 Tue, 21 Aug 2007 06:06:21 GMT дык нашел<br>контроллер домена должен обратно резолвится, сл но его днс в /etc/resolv.conf первым<br>и в hosts<br>[адрес машины] [имя в домене] [краткое имя]<br>192.168.9.1 web.bel.tred.su web<br> https://opennet.ru/openforum/vsluhforumID14/1344.html#10 Mon, 20 Aug 2007 14:21:59 GMT таже чертовщина<br>все работало - вдруг упало<br><br>[code]<br>logging]<br> default = FILE:/var/log/kerberos/krb5libs.log<br> kdc = FILE:/var/log/kerberos/krb5kdc.log<br> admin_server = FILE:/var/log/kerberos/kadmind.log<br><br>[libdefaults]<br> ticket_lifetime = 24000<br> default_realm = BEL.TRED.SU<br> #default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc<br> #default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc<br> #permitted_enctypes = des3-hmac-sha1 des-cbc-crc<br> dns_lookup_realm = false<br> dns_lookup_kdc = false<br> kdc_req_checksum_type = 2<br> checksum_type = 2<br> ccache_type = 1<br> forwardable = true<br> proxiable = true<br><br>[realms]<br> BEL.TRED.SU = {<br> kdc = 192.168.9.101:88<br> admin_server = 192.168.9.101:749<br> default_domain = BEL.TRED.SU<br> }<br><br>[domain_realm]<br> .bel.tred.su = BEL.TRED.SU<br><br>[kdc]<br> profile = /etc/kerberos/krb5kdc/kdc.conf<br><br>[pam]<br> debug = false<br> ticket_lifetime = 36000<br> renew_lifetime = 36000<br> forwardable = true<br> krb4_convert = false<br><br>[login]<br> krb4_convert = false<br> krb4_get_tickets = false<br>[/code]<br><br>[code]<br>n https://opennet.ru/openforum/vsluhforumID14/1344.html#9 Wed, 16 May 2007 14:25:04 GMT &gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt;керберос настроил. тикет выдается. но: <br>&gt;&gt;&gt;&gt;&gt;[root@borroman ~]# cat /etc/passwd &#124; grep test <br>&gt;&gt;&gt;&gt;&gt;[root@borroman ~]# wbinfo -i test <br>&gt;&gt;&gt;&gt;&gt;Could not get info for user test <br>&gt;&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;&gt;и в логе winbind: <br>&gt;&gt;&gt;&gt;&gt;[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157) <br>&gt;&gt;&gt;&gt;&gt; error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140 <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;И такое бывало :) <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ <br>&gt;&gt;&gt;&gt;БУКВАМИ! <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;Плюс kdc и админ сервер попробуйте указать по ip адресу. <br>&gt;&gt;&gt;&gt;<br>&gt;&gt;&gt;&gt;Ежели что шлите конфиги на почту. Посмотрю что как. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;да, спасибо большое за консультации <br>&gt;&gt;<br>&gt;&gt;да не за что. сам мучался 1,5 года назад. тогда в сети <br>&gt;&gt;по этому вопросу мало что было. <br>&gt;&gt;<br>&gt;&gt;Далее возникнут проблемс с pam модулем) потому думаю вопрос еще не закрыт:))) <br>&gt;&gt;<br>&gt;<br>&gt;<br>&gt;не. уже все норм. все логинится. проверил=) <br>&gt;спасибо еще раз за отзывчивость ;-) <br><br>:) Всегда рад. <br>Кст