FreeBSD включить в Ms Server 2003 с AD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
skylego
рядовой
Сообщения: 11
Зарегистрирован: 2007-11-08 20:54:40

FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение skylego » 2007-11-09 12:47:43

Ситуация:
Регистрирую сервер под FreeBSD на сервере Ms2003 с AD.

Код: Выделить всё

computer# kinit -p administrator
administrator@KK.COM's Password:
kinit: NOTICE: ticket renewable lifetime is 10 hours
computer#


computer# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@KK.COM

  Issued           Expires          Principal
Nov  9 12:08:20  Nov  9 22:08:19  krbtgt/KK.COM@KK.COM
computer#

computer# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE

computer# net ads join -U igor
igor's password:
Using short domain name -- KK
Joined 'computer' to realm 'KK.COM'
computer#

computer# cat /etc/krb5.conf
[libdefaults]
        default_realm = KK.COM
        dns_lookup_kdc = yes
[realms]
        KK.COM = {
                kdc = server.kk.com
                kpasswd_server = server.kk.com
                default_domain = kk.com
        }
[logging]
        default = SYSLOG:INFO:LOCAL1
[domain_realm]
        .kk.com = KK.COM
        kk.com = KK.COM

computer#

Вопрос:
Почему это:

Код: Выделить всё

computer# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE

не сработало, а это:

Код: Выделить всё

computer# net ads join -U igor
igor's password:
Using short domain name -- KK
Joined 'computer' to realm 'KK.COM'
computer#
сработало?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Alex Keda » 2007-11-09 15:28:11

файрволл например...
собсно - какая разница - заджойнился, и ладно
Убей их всех! Бог потом рассортирует...

skylego
рядовой
Сообщения: 11
Зарегистрирован: 2007-11-08 20:54:40

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение skylego » 2007-11-09 17:04:37

Просто непонятно. Оба пользователя в домене есть. А подключиться удалось только с одного. И вот еще. Теперь когда поключаюсь к CUPS требует пароль. Я ввожу пароль root - ОК, потом добавляю принтер, он опять спрашивает пароль, и пароль root не проходит. Что такое может быть?

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Al » 2007-11-10 14:04:41

может,пароль из домена,что врядли,а может пароль,созданный smbpasswd.я для работы с купсом вообще выводил тачку из домена и ставил security= share......

n025
рядовой
Сообщения: 14
Зарегистрирован: 2007-12-05 11:01:51

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение n025 » 2007-12-27 9:01:32

такая же проблема только разные логины не помогают

Код: Выделить всё

delta# net ads join -U nikola
nikola's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
delta# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
что можно ещё попробовать/посмотреть?

n025
рядовой
Сообщения: 14
Зарегистрирован: 2007-12-05 11:01:51

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение n025 » 2007-12-27 14:28:02

а если я в ад его руками пропишу прокатит?
или же надо что бы он сам там себя прописал?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение princeps » 2007-12-27 17:21:48

наверное, не прокатит, потому что ему надо с AD о паролях договориться
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

n025
рядовой
Сообщения: 14
Зарегистрирован: 2007-12-05 11:01:51

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение n025 » 2007-12-28 14:39:08

Переставил систему на 6.2 вместо 6.3RC и завёлся в домен.

затык теперь в другом не пускает на комп в логах:

Код: Выделить всё

Dec 28 14:38:47 delta smbd[99301]: [2007/12/28 14:38:47, 0] lib/access.c:check_access(327)
Dec 28 14:38:47 delta smbd[99301]:   Denied connection from  (192.168.0.70)
а в окнах:

Код: Выделить всё

указаное сетевое имя более не доступно

Проходящий мимо
проходил мимо

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Проходящий мимо » 2008-11-17 20:18:41

computer# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
Administrator c заглавной буквы.(не утверждаю, у самого были такие грабли подцепился под другим пользователем а под админом не хотел)

Аватара пользователя
MASiK
лейтенант
Сообщения: 625
Зарегистрирован: 2008-09-19 20:09:41
Откуда: Оттуда
Контактная информация:

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение MASiK » 2008-11-18 13:44:54

n025 писал(а):такая же проблема только разные логины не помогают

Код: Выделить всё

delta# net ads join -U nikola
nikola's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
delta# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
что можно ещё попробовать/посмотреть?

Код: Выделить всё

net ads join -U nikola%PASSWORD
Самурай

Guest135
проходил мимо

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Guest135 » 2008-12-02 15:04:33

Нашел решение
" You could either use an administrative account which is not a member of so many groups (causing the "packet too big" error), or use a more recent version of samba. In any version <= 3.0.22 the tcp fallback is not implemented during the kpasswd request. The krb5.conf kdc line is not taken into account at this place. "
Мне помогло уменьшение количества групп пользователя под которым ввожу комп в домен.
Последний раз редактировалось manefesto 2008-12-02 15:45:20, всего редактировалось 1 раз.
Причина: Убедительная просьба юзать теги [quote] при оформлении листингов.

snorlov
подполковник
Сообщения: 3645
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение snorlov » 2008-12-02 15:13:05

Вообще-то проблема известная, по умолчанию количество групп, в которые входит пользователь ограничено 16-тью, снимается перекомпиляцией ядра...

Akela
проходил мимо

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Akela » 2009-04-22 12:36:37

Возникла похожая проблема уже около года работал Freebsd 6.3 d АД с авторизацие пользователей в домене под управлением Win2003. Прешлось переименовать домен вместо Sigma на Sigma.local, netbios имя SIGMA. После таких манипуляций Freebsd на отказ не хочет входить в домен.
пишет такую ошибку.
net ads join -U bondarenko
libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password bondarenko@SIGMA.LOCAL failed: Response too big for UDP, retry with TCP
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE

krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm =SIGMA
	clockskew = 300
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	
[realms]
	SIGMA.LOCAl = {
		kdc = osndc.sigma.local или так все ровно не работает tcp/osndc.sigma.loca
		admin_server = osndc.sigma.local
					}
	OTHER.REALM = {
		v4_instance_convert = {
			kerberos = kerberos
			computer = osndc.sigma.local
		}
	}
[domain_realm]
	.sigma.local = SIGMA.LOCAL
SMB.conf

Код: Выделить всё

 workgroup = SIGMA
 server string = Samba Server
 security = ads
osts allow = 192.168.1. 192.168.2. 127.
load printers = yes
log file = /var/log/samba/log.%m
max log size = 200
password server = osndc.sigma.local
realm = SIGMA.LOCAL
passdb backend = tdbsam
socket options = TCP_NODELAY
local master = no
os level = no
domain master = no
preferred master = no
dns proxy = yes
display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   /bin/false %u
encrypt passwords = yes
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
nt acl support = yes
    inherit acls = yes
    map acl inherit = yes
Подскажите куда копать.

snorlov
подполковник
Сообщения: 3645
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение snorlov » 2009-04-22 14:22:27

а kinit что говорит

Akela
проходил мимо

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Akela » 2009-04-22 14:37:52

Конкретно с такими настройками он билет получает.
Команда klist

Код: Выделить всё

 Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Admin@SIGMA

  Issued           Expires          Principal
Apr 22 14:32:53  Apr 23 00:32:53  krbtgt/SIGMA@SIGMA

Akela
проходил мимо

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Akela » 2009-04-22 14:39:48

Он нормально билет получает.

snorlov
подполковник
Сообщения: 3645
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение snorlov » 2009-04-22 21:25:16

Akela писал(а):Возникла похожая проблема уже около года работал Freebsd 6.3 d АД с авторизацие пользователей в домене под управлением Win2003. Прешлось переименовать домен вместо Sigma на Sigma.local, netbios имя SIGMA. После таких манипуляций Freebsd на отказ не хочет входить в домен.
пишет такую ошибку.
net ads join -U bondarenko
libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password bondarenko@SIGMA.LOCAL failed: Response too big for UDP, retry with TCP
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE

krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm =SIGMA
Подскажите куда копать.
мне кажется

Код: Выделить всё

[libdefaults]
        default_realm =SIGMA.LOCAL

Akela
проходил мимо

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Akela » 2009-04-23 9:48:03

С такими параметрами он выдает ошибку ту что при вводе в домен.

Код: Выделить всё

libdefaults]
        default_realm =SIGMA.LOCAL
	clockskew = 300
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	
[realms]
	SIGMA.LOCAl = {
		kdc = tcp/osndc.sigma.local
		admin_server = tcp/osndc.sigma.local
					}
	OTHER.REALM = {
		v4_instance_convert = {
			kerberos = kerberos
			computer = tcp/osndc.sigma.local
		}
	}
[domain_realm]
	sigma.local = SIGMA.LOCAL
kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP

snorlov
подполковник
Сообщения: 3645
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение snorlov » 2009-04-23 11:26:20

Akela писал(а):С такими параметрами он выдает ошибку ту что при вводе в домен.

Код: Выделить всё

libdefaults]
        default_realm =SIGMA.LOCAL
	clockskew = 300
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	
[realms]
	SIGMA.LOCAl = {
		kdc = tcp/osndc.sigma.local
		admin_server = tcp/osndc.sigma.local
Попробуй добавить

Код: Выделить всё

         default_domain=sigma.local
Akela писал(а):

Код: Выделить всё

		}
	}
[domain_realm]
	sigma.local = SIGMA.LOCAL
kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP
Почему не взялся префикс tcp/ в kdc ...

Akela
рядовой
Сообщения: 33
Зарегистрирован: 2009-04-23 10:27:30
Откуда: Украина, Запорожье

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Akela » 2009-04-23 12:06:14

Уже пробывал. Есть правдо небольшие продвижения если можно так сказать. Если не указывать полное DNS имя (sigma.local) а ставить везде netbios имя (Sigma) то он получает билет нормально но не может Авторизоваться в домене пишет вот ошибку.

Код: Выделить всё

[2009/04/23 11:38:26, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers
А по поводу префикса я заметил что он не чего не дает. Так как не какие манипуляции с ним не проходили у меня ну на данный момент он у меня сейчас стоит.

snorlov
подполковник
Сообщения: 3645
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение snorlov » 2009-04-23 15:55:32

А ты не мог что-нибудь прикрыть файрволом, ...
Если очень надо, то поставь в smb.conf

Код: Выделить всё

security = domain
да используй все хозяйство в режиме домена NT4, и потихоньку разбирайся с AD, странно, что ты билета не получаешь и tcp/ не сработало..
У меня когда про udp было сообщение именно tcp/ и помог...

Akela
рядовой
Сообщения: 33
Зарегистрирован: 2009-04-23 10:27:30
Откуда: Украина, Запорожье

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение Akela » 2009-04-23 16:55:21

Firefall настроен так что внутри сети все всё можно. У меня тоже как то давно было такое сообщение про TCP и справился ним гораздо проще сам конфиг был не корректен, и ключ TCP я туда не добавлял . Что делать не знаю в инети поэтому поводу что то очень мало написано хотя и проблема распространённая.

snorlov
подполковник
Сообщения: 3645
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD включить в Ms Server 2003 с AD

Непрочитанное сообщение snorlov » 2009-04-23 21:05:31

Akela писал(а):Firefall настроен так что внутри сети все всё можно. У меня тоже как то давно было такое сообщение про TCP и справился ним гораздо проще сам конфиг был не корректен, и ключ TCP я туда не добавлял . Что делать не знаю в инети поэтому поводу что то очень мало написано хотя и проблема распространённая.
Ну почему мало написано, я во всяком случае поступаю так, ставлю Freebsd 6.Х или 7.Х, настраиваю resolv.conf и host, так чтобы KDC пинговался по доменному имени и ip, затем проверяю работу kerberos'а, получая билет, затем ставлю openldap-client 2.3.Х, затем самбу с поддержкой LDAP, AD, WINBIND ну и дальше ковыряю smb.conf, nsswitch.conf. Если нужен сквид, но это уже отдельная песня...