URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2212
[ Назад ]

Исходное сообщение
"Проблема с вводом в домен"
Отправлено stasmus , 20-Окт-09 17:43

здравстуйте, Поставил самбу на debian samba 2:3.2.5-4lenny7
Вот конфиг
smb.conf
[global]
workgroup = DUNCAN
password server = server
encrypt passwords = yes
realm = DUNCAN.MACLEOD
netbios name = shareserver
winbind use default domain = Yes
   server string = %h server
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog only = no
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
security = ads
   encrypt passwords = true
   obey pam restrictions = yes
  passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   idmap uid = 10000-20000
   idmap gid = 10000-20000
[homes]
   comment = Home Directories
   browseable = yes
   read only = yes
   create mask = 0700
   directory mask = 0700
   valid users = %S
krb5.conf
[libdefaults]
    default_realm = DUNCAN.MACLEOD
    krb4_config = /etc/krb.conf
    krb4_realms = /etc/krb.realms
    kdc_timesync = 1
    ccache_type = 4
    forwardable = true
    proxiable = true
    v4_instance_resolve = false
    v4_name_convert = {
        host = {
            rcmd = host
            ftp = ftp
        }
        plain = {
            something = something-else
        }
    }
    fcc-mit-ticketflags = true
[realms]
    DUNCAN.MACLEOD = {
        kdc = server.duncan.macleod
        kdc = serverkd.duncan.macleod
        admin_server = server.duncan.macleod
    }

[domain_realm]
duncan.macleod = DUNCAN.MACLEOD
[login]
    krb4_convert = true
    krb4_get_tickets = false
Проблема в том что не могу войти в домен командой
shareserv:/etc# net ads join -Ucomp
Выдает
Enter comp's password:
Using short domain name -- DUNCAN
Joined 'SHARESERVER' to realm 'duncan.macleod'
[2009/10/20 17:37:43,  0] libads/kerberos.c:ads_kinit_password(356)
  kerberos_kinit_password SHARESERVER$@DUNCAN.MACLEOD failed: Preauthentication failed
No DNS domain configured for shareserver. Unable to perform DNS Update.
DNS update failed!
Если выполнить
shareserv:/etc# klist
Имеем
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: comp@DUNCAN.MACLEOD
Valid starting     Expires            Service principal
10/20/09 17:36:54  10/21/09 03:36:56  krbtgt/DUNCAN.MACLEOD@DUNCAN.MACLEOD
        renew until 10/21/09 17:36:54
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
и соответственно не видит пользователей домена вывоводом команды
wbinfo -u
выдает только локальных пользователей линукс.
Подскажите пожалуйста как быть ?

Содержание

Проблема с вводом в домен,Аноним, 08:36 , 21-Окт-09
- Проблема с вводом в домен,stasmus, 09:41 , 21-Окт-09
  - Проблема с вводом в домен,Сергей, 14:08 , 22-Окт-09
    - Проблема с вводом в домен,stasmus, 12:48 , 26-Окт-09
      - Проблема с вводом в домен,Сергей, 09:31 , 27-Окт-09
        
        Проблема с вводом в домен,stasmus, 15:35 , 27-Окт-09
        
        Проблема с вводом в домен,Сергей, 15:42 , 27-Окт-09
        
        Проблема с вводом в домен,stasmus, 15:46 , 27-Окт-09
        
        Проблема с вводом в домен,stasmus, 12:44 , 02-Ноя-09

Сообщения в этом обсуждении

"Проблема с вводом в домен"
Отправлено Аноним , 21-Окт-09 08:36

>здравстуйте, Поставил самбу на debian samba 2:3.2.5-4lenny7
Привет !
>[оверквотинг удален]
>
>Выдает
>Enter comp's password:
>Using short domain name -- DUNCAN
>Joined 'SHARESERVER' to realm 'duncan.macleod'
>[2009/10/20 17:37:43,  0] libads/kerberos.c:ads_kinit_password(356)
>  kerberos_kinit_password SHARESERVER$@DUNCAN.MACLEOD failed: Preauthentication failed
>No DNS domain configured for shareserver. Unable to perform DNS Update.
>DNS update failed!
>
НУжно настроить DNS с возможностью динамического обновления
>[оверквотинг удален]
>        renew until 10/21/09 17:36:54
>
>Kerberos 4 ticket cache: /tmp/tkt0
>klist: You have no tickets cached
>
>и соответственно не видит пользователей домена вывоводом команды
>wbinfo -u
>выдает только локальных пользователей линукс.
>
>Подскажите пожалуйста как быть ?
Читай выше

"Проблема с вводом в домен"
Отправлено stasmus , 21-Окт-09 09:41

>
>Привет !
>
>НУжно настроить DNS с возможностью динамического обновления
Днс то настроен на динамическое обновление.

"Проблема с вводом в домен"
Отправлено Сергей , 22-Окт-09 14:08

Скомпилите самбу без опции поддержки динамического обновления dns...

"Проблема с вводом в домен"
Отправлено stasmus , 26-Окт-09 12:48

> Скомпилите самбу без опции поддержки динамического обновления dns...
Скомпилировал
shareserv:/etc/samba# net ads join -Uadm
Enter adm's password:
Using short domain name -- DUNCAN
Joined 'SHARESERVER' to realm 'duncan.macleod'
Но тем не менее пользователей домена не видит
Что может быть ?

"Проблема с вводом в домен"
Отправлено Сергей , 27-Окт-09 09:31

>> Скомпилите самбу без опции поддержки динамического обновления dns...
>
>Скомпилировал
>shareserv:/etc/samba# net ads join -Uadm
>Enter adm's password:
>Using short domain name -- DUNCAN
>Joined 'SHARESERVER' to realm 'duncan.macleod'
>
>Но тем не менее пользователей домена не видит
>Что может быть ?
Посмотриет на ваше время, расхождение между компами не лрожно быть болеее 5-ти минут и крутите настройки кербероса до получения билета через kinit adm...

"Проблема с вводом в домен"
Отправлено stasmus , 27-Окт-09 15:35

>[оверквотинг удален]
>>Enter adm's password:
>>Using short domain name -- DUNCAN
>>Joined 'SHARESERVER' to realm 'duncan.macleod'
>>
>>Но тем не менее пользователей домена не видит
>>Что может быть ?
>
> Посмотриет на ваше время, расхождение между компами не лрожно быть болеее
>5-ти минут и крутите настройки кербероса до получения билета через kinit
>adm...
расхождения нет,
билет kinit получен (выводим по klist)
проблема остается. winbind не видит доменных пользователей (wbinfo -u)

"Проблема с вводом в домен"
Отправлено Сергей , 27-Окт-09 15:42

>[оверквотинг удален]
>>>Но тем не менее пользователей домена не видит
>>>Что может быть ?
>>
>> Посмотриет на ваше время, расхождение между компами не лрожно быть болеее
>>5-ти минут и крутите настройки кербероса до получения билета через kinit
>>adm...
>
>расхождения нет,
>билет kinit получен (выводим по klist)
>проблема остается. winbind не видит доменных пользователей (wbinfo -u)
winbind то прописан в nsswitches.conf, кажется так...

"Проблема с вводом в домен"
Отправлено stasmus , 27-Окт-09 15:46

>
> winbind то прописан в nsswitches.conf, кажется так...
Да,
# /etc/nsswitch.conf
passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind
hosts:          files dns winbind
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis
Тем не менее использует и smb.conf

"Проблема с вводом в домен"
Отправлено stasmus , 02-Ноя-09 12:44

Проблема решена.
На сервере КД был закрыт 445 порт (от вирей и багов МС),
Виндовые машины работают с шарой и без этого порта, samba же нет, даже если указать в конфиге smb ports = 139
Как вариант на КД открыть доступ только серверу с самбой