Проблему решил. Я думаю, кому-нибудь поможет.
Итак, керберос не работает, самба не хочет джойниться в домен (в какой-то момент она стала отказываться входить в домен, ну просто ни в какую).
Что я только ни делал. И перезапускал ее, и вручную создавал/удалял для нее аккаунт в домене, и сп1 с контроллера удалял - не хочет и хоть ты тресни. На всякий случай поднял named и поднял на нем вторичную зону домена - не помогло. По net join выдает ошибку. Т.к. больше уже не было выхода, анинсталил ее в портах: make deinstall, анинсталил также керберос (heimdal).
ЗАтем удалил в данных портах диры work (чтоб заново скомпилять).
И заново устанавливаю. И так я делал раз 20 - удаляю, устанавливаю заново.
Почему так много - потому что при каждой новой установке самба вела себя по-новому, т.е. по net join выдавались совершенно разные ошибки. Не буду их здесь приводить, т.к. они были разнообразные, и я их не помню все.
Я стал подозревать, что что-то в моем компиляторе. И вот, раз на 21-ый, о чудо, она прекрасно завелась в домен без каких-либо ошибок, стала видеть юзеров, по-русски их выдавать, сквид стал нормально авторизовывать, qpopper и sendmail - видеть доменных юзеров. Результат двухсуточного ковыряния системы. Единственная ошибка - на контроллере в событиях появляется ошибка про то, что самба запрашивает какой-то не тот тип керберосового тикета, но это не мешает, работает прекрасно.
Правда kinit -p user выдает до сих пор Incorrect password...
Не знаю, какой здесь можно сделать вывод, не призываю вас делать также, просто у меня вот почему-то так. Для меня например осталось загадкой, почему самба и хеймдал каждый раз компилировались по-разному...
На всякий случай привожу рабочие конфиги:
smb.conf
------------------------------------
[global]
server string =
security = Ads
hosts allow = 192.168.0. 127.
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /usr/home/%U
template shell = /bin/bash
nt acl support = yes
client use spnego = no
client signing = no
log file = /var/log/samba/log.%m
max log size = 500
realm = DOMAIN.NAME
socket options = TCP_NODELAY
interfaces = 192.168.0.1/24
domain master = no
preferred master = no
domain logons = no
wins support = no
dns proxy = no
unix charset = KOI8-R
dos charset = 866
-----------------------------------
krb5.conf
-----------------------------------
[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.NAME
dns_lookup_realm = true
dns_lookup_kdc = true
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
[realms]
DOMAIN.NAME = {
kdc = PDC.DOMAIN.NAME:88
admin_server = PDC.DOMAIN.NAME:749
default_domain = DOMAIN.NAME
}
[domain realms]
DOMAIN.NAME = DOMAIN.NAME
.DOMAIN.NAME = DOMAIN.NAME
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
----------------------------------------
Еще в файрволе полностью открыт внутренний интерфейс (allow all from ${lan} to me via rl0 и обратное ему), на всякий случай.
А так же на контроллере выключено подписывание (вот по этой статье: http://www.wlug.org.nz/ActiveDirectorySamba)
|