форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение		[Проследить за развитием треда]

"W2k3 SP1 - winbindd error"
Сообщение от antoshkin (ok) on 01-Авг-05, 10:49  (MSK)
Други, помогите. Значитца поставился на DC SP1, теперь доменных юзеров не видно (когда раздаешь права), но авторизация вроде работает, а в логе winbindd пишется такая вещь: [2005/08/01 10:45:23, 0] nsswitch/winbindd_cm.c:cm_get_sam_handle(1027)   samr_connect() received NT_STATUS_ACCESS_DENIED.  If you are connecting   to a Windows 2003 SP1 DC, this is a known issue.  There are two current   workarounds:   (a) Move your configuration to security = ads, or   (b) set 'client schannel = no' in smb.conf and use 'wbinfo --set-auth-user'       to define the credentials when connecting to the DC Сделал как они там пишут, поставил security=Ads - вообще перестает работать в домене. У меня и раньше почему-то не работало так. Ставил domain, и всё путем. Поставил client schannel = no, юзеров перестает находить, т.е. всё-равно не работает. У кого самба с 2003-м сп1 контроллером работает, поделитесь, пожалуйста. Может у меня какой-нибудь керберос не работает? из портов устанавливал krbd5, но нигде его конф. файла не нашел. FreeBSD 5.3-RELEASE, Samba 3.0.14a.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "W2k3 SP1 - winbindd error"
Сообщение от antoshkin (ok) on 03-Авг-05, 13:09  (MSK)
Продолжаю эксперименты. Создал /etc/krb5.conf, подредактил его под себя. А kinit выдает - incorrect password, хотя пароль что ни на есть самый правильный. В это время на контроллере в логе безопасности появляется успешный запрос тикета от фри. Если делаю security=Ads в самбе, то у меня перестает qpopper авторизовывать юзеров и сендмэйл перестает видеть юзеров домена. Попробовал так: /etc/pam.d/pop3 auth sufficient pam_krb5.so no_warn try_first_pass auth sufficient pam_winbind.so auth required pam_unix.so no_warn try_first_pass Не работает... Знатоки, подскажите, почему у меня керберос не работает?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "W2k3 SP1 - winbindd error"
	Сообщение от antoshkin (ok) on 06-Авг-05, 00:22  (MSK)
	Парни, ну скажите, почему керберос не работает? krb5.conf [logging] default = FILE:/var/log/krb5/libs.log kdc = FILE:/var/log/krb5/kdc.log admin_server = FILE:/var/log/krb5/admin.log [libdefaults] ticket_lifetime = 24000 default_realm = domain.local default_tgs_enctypes = des-cbc-crc des-cbc-md5 default_tkt_enctypes = des-cbc-crc des-cbc-md5 forwardable = true proxiable = true dns_lookup_realm = true dns_lookup_kdc = true [realms] domain.local = {   kdc = dc.domain.local:88   admin_server = dc.domain.local:749   default_domain = domain.local } [domain_realm] .domain.local = domain.local dc.domain.local = dc.domain.local [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [pam] debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false kinit: Password incorrect При чем сквид нормально авторизует юзеров в домене.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "W2k3 SP1 - winbindd error"
	Сообщение от antoshkin (ok) on 07-Авг-05, 11:53  (MSK)
	Проблему решил. Я думаю, кому-нибудь поможет. Итак, керберос не работает, самба не хочет джойниться в домен (в какой-то момент она стала отказываться входить в домен, ну просто ни в какую). Что я только ни делал. И перезапускал ее, и вручную создавал/удалял для нее аккаунт в домене, и сп1 с контроллера удалял - не хочет и хоть ты тресни. На всякий случай поднял named и поднял на нем вторичную зону домена - не помогло. По net join выдает ошибку. Т.к. больше уже не было выхода, анинсталил ее в портах: make deinstall, анинсталил также керберос (heimdal). ЗАтем удалил в данных портах диры work (чтоб заново скомпилять). И заново устанавливаю. И так я делал раз 20 - удаляю, устанавливаю заново. Почему так много - потому что при каждой новой установке самба вела себя по-новому, т.е. по net join выдавались совершенно разные ошибки. Не буду их здесь приводить, т.к. они были разнообразные, и я их не помню все. Я стал подозревать, что что-то в моем компиляторе. И вот, раз на 21-ый, о чудо, она прекрасно завелась в домен без каких-либо ошибок, стала видеть юзеров, по-русски их выдавать, сквид стал нормально авторизовывать, qpopper и sendmail - видеть доменных юзеров. Результат двухсуточного ковыряния системы. Единственная ошибка - на контроллере в событиях появляется ошибка про то, что самба запрашивает какой-то не тот тип керберосового тикета, но это не мешает, работает прекрасно. Правда kinit -p user выдает до сих пор Incorrect password... Не знаю, какой здесь можно сделать вывод, не призываю вас делать также, просто у меня вот почему-то так. Для меня например осталось загадкой, почему самба и хеймдал каждый раз компилировались по-разному... На всякий случай привожу рабочие конфиги: smb.conf ------------------------------------ [global] server string = security = Ads hosts allow = 192.168.0. 127. winbind separator = + winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /usr/home/%U template shell = /bin/bash nt acl support = yes client use spnego = no client signing = no log file = /var/log/samba/log.%m max log size = 500 realm = DOMAIN.NAME socket options = TCP_NODELAY interfaces = 192.168.0.1/24 domain master = no preferred master = no domain logons = no wins support = no dns proxy = no unix charset = KOI8-R dos charset = 866 ----------------------------------- krb5.conf ----------------------------------- [libdefaults] ticket_lifetime = 24000 default_realm = DOMAIN.NAME dns_lookup_realm = true dns_lookup_kdc = true default_tgs_enctypes = des-cbc-crc des-cbc-md5 default_tkt_enctypes = des-cbc-crc des-cbc-md5 [realms] DOMAIN.NAME = { kdc = PDC.DOMAIN.NAME:88 admin_server = PDC.DOMAIN.NAME:749 default_domain = DOMAIN.NAME } [domain realms] DOMAIN.NAME = DOMAIN.NAME .DOMAIN.NAME = DOMAIN.NAME [appdefaults] pam = {     debug = false     ticket_lifetime = 36000     renew_lifetime = 36000     forwardable = true     krb4_convert = false } ---------------------------------------- Еще в файрволе полностью открыт внутренний интерфейс (allow all from ${lan} to me via rl0 и обратное ему), на всякий случай. А так же на контроллере выключено подписывание (вот по этой статье: http://www.wlug.org.nz/ActiveDirectorySamba)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.