FreeBSD+SAMBA завести в домен

[proxy-man]

Привет камрады, а кто-нидь сталкивался с таким вот сабжем? Заводил UNIX-машину с установленной SAMBой в виндовый домен?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

легко.
net join читоли...

[proxy-man]

легко.
net join читоли...

хм... и фсе?

[dikens3]

http://sysadmin.su/baza_znanij/instrukt ... vera..html

[Urgor]

http://www.lissyara.su/?id=1180

[3t0n]

делал авторизацию в сквиде дерез AD прозрачную для IE, нужен только winbind, heidmal, никаких проблем, только вот прикручивал c-icap в купе, не хочет он никак работать в этой связке

[proxy-man]

Привет камрады, а вот теперь как быть с виндовыми принтерами? Прикрутить я их прикрутил через cups, но кроме тестовой печати из-под вэб-консоли управления cups-ом, большего я не добился... Как быть с установкой виндового-принтера в различных текстовых и табличных редакторах (юзаю пакет - openoffice.org-2.1.0 Integrated wordprocessor/dbase/spreadsheet/drawing/chart/)?

[proxy-man]

ковырял-ковырял CUPS - приладил таки я принтер виндовый под Фряху... все процедуры выполнил исключительно при помощи вэб-консоли которая прилагается к cupsd

[proxy-man]

Такая вот лажа выплывает - тачка (FreeBSD5.4) затянулась в домен (2003+AD), но на самой фряшной машине все жутко тормозит... запускаешь какое-то приложение - отдупляется крайне долго, а когда стартуешь MC - это просто пипец, ждать приходится несколько минут... думаю что фряшная машина зашла косяком в вынь-домен... прилагаю выдержки из лог-файлов:
* log.winbindd

Код: Выделить всё

[2007/01/23 14:01:27, 1] nsswitch/winbindd.c:main(953)
  winbindd version 3.0.23d started.
  Copyright The Samba Team 2000-2004
[2007/01/23 14:01:27, 0] param/loadparm.c:map_parameter(2690)
  Unknown parameter encountered: "coment"
[2007/01/23 14:01:27, 0] param/loadparm.c:lp_do_parameter(3420)
  Ignoring unknown parameter "coment"
[2007/01/23 14:01:41, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
  Kinit failed: Cannot contact any KDC for requested realm
[2007/01/23 14:02:25, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
  Kinit failed: Cannot contact any KDC for requested realm
[2007/01/23 14:02:25, 1] libsmb/clikrb5.c:ads_krb5_mk_req(560)

* log.smbd

Код: Выделить всё

[2007/01/23 14:24:08, 0] smbd/server.c:main(847)
  smbd version 3.0.23d started.
  Copyright Andrew Tridgell and the Samba Team 1992-2006
[2007/01/23 14:24:08, 0] param/loadparm.c:map_parameter(2690)
  Unknown parameter encountered: "coment"
[2007/01/23 14:24:08, 0] param/loadparm.c:lp_do_parameter(3420)
  Ignoring unknown parameter "coment"
[2007/01/23 14:24:09, 1] libads/cldap.c:recv_cldap_netlogon(240)
  Failed to parse cldap reply
[2007/01/23 14:24:09, 0] printing/nt_printing.c:nt_printing_init(649)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED

* messages

Код: Выделить всё

Jan 23 14:24:08 qwerty smbd[567]: [2007/01/23 14:24:08, 0] param/loadparm.c:map_parameter(2690)
Jan 23 14:24:08 qwerty smbd[567]:   Unknown parameter encountered: "coment"
Jan 23 14:24:08 qwerty smbd[567]: [2007/01/23 14:24:08, 0] param/loadparm.c:lp_do_parameter(3420)
Jan 23 14:24:08 qwerty smbd[567]:   Ignoring unknown parameter "coment"
Jan 23 14:24:09 qwerty smbd[568]: [2007/01/23 14:24:09, 0] printing/nt_printing.c:nt_printing_init(649)
Jan 23 14:24:09 qwerty smbd[568]:   nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
Jan 23 14:24:09 qwerty winbindd[571]: [2007/01/23 14:24:09, 0] param/loadparm.c:map_parameter(2690)
Jan 23 14:24:09 qwerty winbindd[571]:   Unknown parameter encountered: "coment"
Jan 23 14:24:09 qwerty winbindd[571]: [2007/01/23 14:24:09, 0] param/loadparm.c:lp_do_parameter(3420)
Jan 23 14:24:09 qwerty winbindd[571]:   Ignoring unknown parameter "coment"
Jan 23 14:24:10 qwerty winbindd[584]: [2007/01/23 14:24:10, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
Jan 23 14:24:10 qwerty winbindd[584]:   Kinit failed: Cannot contact any KDC for requested realm
Jan 23 14:25:00 qwerty winbindd[573]: [2007/01/23 14:25:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
Jan 23 14:25:00 qwerty winbindd[573]:   Kinit failed: Cannot contact any KDC for requested realm
Jan 23 14:25:37 qwerty pam_winbind[640]: write to socket failed!
Jan 23 14:25:37 qwerty pam_winbind[640]: internal module error (retval = 3, user = `rafanasiev')
Jan 23 14:25:44 qwerty winbindd[573]: [2007/01/23 14:25:44, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785)
Jan 23 14:25:44 qwerty winbindd[573]:   Kinit failed: Cannot contact any KDC for requested realm
Jan 23 14:29:05 qwerty pam_winbind[736]: request failed, but PAM error 0!

[Alex Keda]

у тя керберос или хемдайл?
Надо хемдайл.

[proxy-man]

у тя керберос или хемдайл?
Надо хемдайл.

heimdal-0.7.2_2 A popular BSD-licensed implementation of Kerberos
Просто чего я до сих пор не могу уяснить - все ухищрения про SAMBA+WinAD дают возможность залогиниться на фряшной машине доменному юзеру или только системному? Ибо я лично зайти под доменным аккаунтом не могу... все шаманство выполнял на основе этого материала http://www.lissyara.su/?id=1180 и http://sysadmin.su/baza_znanij/instrukt ... vera..html этого...

[ivnikol]

Имею проблему практически в том же виде.
FreeBSD 6.2-PRERELEASE
Samba 3.0.23d

В домен входит нормально.
Сразу после старта самбы
wbinfo -p
wbinfo -t
отрабатывают без ошибок
а вот wbinfo -u или wbinfo -g
подвисают и пишут ошибку
после этого и wbinfo -p wbinfo -t не работают

в log.winbind вот что:
[2007/02/05 22:44:11, 1] libads/cldap.c:recv_cldap_netlogon(240)
Failed to parse cldap reply

при этом winbind в процессах висит, net ads info продолжает нормально работать

[Alex Keda]

у меня на последних машинах что втыкал вдомен была d1 вроде...
всё пучком...
с какими опциями компиляете?

[ivnikol]

LDAP
ADS
WINBIND
ACL_SUPPORT
UTMP
PAM_SMBPASS
POPT
MAX_DEBUG

[Alex Keda]

непомню (а лезть на работу через 2 ssh - лениво), но у меня вроде первые 4 или 2,3,4 - больше ничего...
завтра точно скажу.

[Alex Keda]

заодно pkg_info | grep samaba

[ivnikol]

Спасибо, ага мне тоже пора домой. До завтра

pkg_info | grep samba
samba-3.0.23d,1 A free SMB and CIFS client and server for UNIX

[Alex Keda]

обманул.

Код: Выделить всё

      ┌────────────────────────────────────────────────────────────────────┐
      │                   Options for samba 3.0.23d,1                      │
      │ ┌────────────────────────────────────────────────────────────────┐ │
      │ │  [X] LDAP         With LDAP support                            │ │
      │ │  [X] ADS          With Active Directory support                │ │
      │ │  [ ] CUPS         With CUPS printing support                   │ │
      │ │  [X] WINBIND      With WinBIND support                         │ │
      │ │  [X] ACL_SUPPORT  With ACL support                             │ │
      │ │  [ ] FAM_SUPPORT  With File Alteration Monitor                 │ │
      │ │  [X] SYSLOG       With Syslog support                          │ │
      │ │  [ ] QUOTAS       With Disk quota support                      │ │
      │ │  [ ] UTMP         With UTMP accounting support                 │ │
      │ │  [ ] MSDFS        With MSDFS support                           │ │
      │ │  [ ] PAM_SMBPASS  With PAM authentication vs passdb backends   │ │
      │ │  [ ] CLUSTER      With experimental cluster support            │ │
      │ │  [ ] EXP_MODULES  With experimental modules                    │ │
      │ │  [X] POPT         With system-wide POPT library                │ │
      │ │  [ ] MAX_DEBUG    With maximum debuging                        │ │
      ├─└────────────────────────────────────────────────────────────────┘─┤
      │                       [  OK  ]       Cancel                        │
      └────────────────────────────────────────────────────────────────────┘

[Alex Keda]

вообще, у меня как-то без проблем всё было - тока с DNS поколупался и всё...

[ivnikol]

Пересобрал, не помогло.

А что с DNS?

[Alex Keda]

ну смотри:

Код: Выделить всё

/var/spool/hylafax/log/>more /etc/krb5.conf | grep -v ^#
[libdefaults]
        default_realm = GRAND-PRIX
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                                rcmd = host
                                ftp = ftp
                        }
                        plain = {
                                something = something-else
                        }
                }
[realms]
        GRAND-PRIX = {
                kdc = 192.168.0.251
                admin_server = 192.168.0.251
                #default_domain = grand-prix
        }
[domain_realm]
        .grand-prix = GRAND-PRIX

дальше про DNS

Код: Выделить всё

/var/spool/hylafax/log/>host grand-prix
grand-prix.local has address 192.168.130.253
grand-prix.local mail is handled by 32767 mx.grand.prix.ru.
/var/spool/hylafax/log/>host dc2
dc2.local has address 192.168.0.251
/var/spool/hylafax/log/>   

выдержка из конфига

Код: Выделить всё

/var/spool/hylafax/log/>more /usr/local/etc/smb.conf | grep 192.168
        hosts allow = 192.168.0.0/16 127.0.0.1
        password server = 192.168.0.251
/var/spool/hylafax/log/>more /usr/local/etc/smb.conf | grep GRAND | head -2
        workgroup = GRAND-PRIX
        realm = GRAND-PRIX
/var/spool/hylafax/log/>     

тебе самое главное второй листинг - должно резольвитсья имя домена и контроллера...

[proxy-man]

Камрады, вы вот мне подскажите - дают ли все эти ухищрения с вводом UNIXа в AD при помощи SAMBA, логиниться в системе доменному юзеру? Или только локальный (никсовый) юзер может зайти в систему, а все это шаманство с самбой нужно вего-навсего для того, чтобы можно было получать доступ к сетевым ресурсам виндовых машин?
ЗЫ - извиняюсь конечно за тупой вопрос, но я не нашел на него ответ в "тырнете", а здесь на него никто так и не дал ответа...

[Alex Keda]

вроде нет.
надо дополнительно шаманить...

[klimov]

Добрый день. Третий день пытаюсь зарегистрировать freebsd+samba в домене windows 2003 server, пока что безуспешно. Не могу получить билетик
freebsd# kinit admin
admin@sibir.zoloto585.ru's Password:
kinit: Password incorrect
Посоветуйте где можно покопать, вот мои данные
freebsd# uname -a
FreeBSD freebsd.sibir.zoloto585.ru 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 11:05:30 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP i386

freebsd# make showconfig
===> The following configuration options are available for samba-3.0.23c_2,1:
LDAP=on "With LDAP support"
ADS=on "With Active Directory support"
CUPS=on "With CUPS printing support"
WINBIND=on "With WinBIND support"
ACL_SUPPORT=on "With ACL support"
AIO_SUPPORT=off "With experimental AIO support"
FAM_SUPPORT=off "With File Alteration Monitor"
SYSLOG=on "With Syslog support"
QUOTAS=on "With Disk quota support"
UTMP=off "With UTMP accounting support"
MSDFS=off "With MSDFS support"
SMBSH=off "With SMBSH wrapper for UNIX commands"
PAM_SMBPASS=off "With PAM authentication vs passdb backends"
EXP_MODULES=off "With experimental modules"
POPT=on "With system-wide POPT library"
===> Use 'make config' to modify these settings

[klimov]

Все с этим разобрался оказывается нужно было просто имя домена большими буквами написать. Теперь не могу зарегистрировать машинку в домене
freebsd# kinit admin@SIBIR.RU
admin@SIBIR.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
freebsd# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@SIBIR.RU

Issued Expires Principal
Apr 26 18:40:06 Apr 27 04:40:06 krbtgt/SIBIR.RU@SIBIR.RU
freebsd# net ads join -U admin
admin's password:
[2007/04/26 18:41:53, 0] libsmb/cliconnect.c:cli_session_setup_spnego(776)
Kinit failed: Message stream modified
Failed to join domain!
Подскажите куда рыть!!!