Kerberos+SAMBA+AD(win)

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-03-31 8:05:38

Добрый день дорогой ALL. пишу тебе потому что не знаю как победить данную проблему...
делал всё по статье http://www.samag.ru/cgi-bin/go.pl?q=art ... .2007;a=05
ключик получил от кербероса. самбу установил. в домен внёс.
на команды :
wbinfo -u
wbinfo -g
wbinfo -a _имя_юзера_%_пароль_юзера_
домен отдаёт инфу, но я ни как не могу авторизоваться на своём Samba сервере через винду...

маленькая предыстория - у нас главное доменное имя имеет halykbank.nb а NetBiosкое имя оно имеет UNIVERSAL
bf01v03.halykbank.nb - это главный домен контролер.
pavelkr - это моя доменная учётка с правами на внесение компов в домен.
выкладываю конфиги:

Код: Выделить всё

freebsd# ping halykbank.nb
PING halykbank.nb (172.26.60.11): 56 data bytes
64 bytes from 172.26.60.11: icmp_seq=0 ttl=126 time=1.516 ms
64 bytes from 172.26.60.11: icmp_seq=1 ttl=126 time=0.988 ms
^C
--- halykbank.nb ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.988/1.252/1.516/0.264 ms
freebsd# nslookup halykbank.nb
Server:         172.24.60.26
Address:        172.24.60.26#53

Name:   halykbank.nb
Address: 172.24.60.26
Name:   halykbank.nb
Address: 172.26.60.39
Name:   halykbank.nb
Address: 172.26.60.11

Код: Выделить всё

freebsd# kinit -p pavelkr
pavelkr@HALYKBANK.NB's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
freebsd# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: pavelkr@HALYKBANK.NB

  Issued           Expires          Principal
Mar 27 09:26:40  Mar 27 19:24:18  krbtgt/HALYKBANK.NB@HALYKBANK.NB
freebsd# net ads join -U pavelkr%Rhtcnmzyjd321
Using short domain name -- UNIVERSAL
DNS update failed!
Joined 'FREEBSD' to realm 'HALYKBANK.NB'
как бы в домене но чёт ругается на обновление днс...
проверяю

Код: Выделить всё

freebsd# wbinfo -t
checking the trust secret via RPC calls succeeded
krb5.conf

Код: Выделить всё

libdefaults]
default_realm = HALYKBANK.NB
[realms]
HALYKBANK.NB = {
kdc = bf01v03.halykbank.nb
admin_server = BF01V03.HALYKBANK.NB
}
[domain_realm]
.halykbank.nb = HALYKBANK.NB
halykbank.nb = HALYKBANK.NB

[logging]
kdc = FILE:/var/log/kerb/krb5kdc.log
admin_server = FILE:/var/log/kerb/kadmin.log
default = FILE:/var/log/kerb/krb5lib.log
smb.conf

Код: Выделить всё

# Samba config file created using SWAT
# from 172.24.66.101 (172.24.66.101)
# Date: 2009/03/26 10:11:08

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = UNIVERSAL
        realm = HALYKBANK.NB
        server string = SAMBA Server
        security = ADS
        password server = halykbank.nb
        encrypt passwords = yes
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /shares/mail/%U
        winbind use default domain = Yes
        winbind enum users = yes
        winbind enum groups = yes
        socket options = TCP_NODELAY
        auth methods = winbind
        winbind separator = \\
        use spnego = yes
[data]
        comment = Shares for Documents
        path = /filebox/share/
        username = root
        read only = No
        available = Yes
        read list = "@UNIVERSAL\Domain Users"
        write list = "@UNIVERSAL\Domain Admins"
        create mode = 666
        directory mode = 666
        create mask = 0666

[Test]
        comment = Test Share
        path = /test_share/
        read only = No
        guest ok = Yes
        available = Yes
nsswitch.conf

Код: Выделить всё

group: files winbind
#group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
#passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
resolv.conf

Код: Выделить всё

search halykbank.nb
nameserver 172.24.60.26
nameserver 172.26.60.11
в логах сыпит следующее:

Код: Выделить всё

Mar 27 14:50:06 freebsd winbindd[661]: [2009/03/27 14:50:06, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
Mar 27 14:50:06 freebsd winbindd[661]:   initialize_winbindd_cache: clearing cache and re-creating with version number 1
Mar 27 14:54:55 freebsd smbd[820]: [2009/03/27 14:54:55, 0] lib/util_sock.c:write_data(562)
Mar 27 14:54:55 freebsd smbd[820]:   write_data: write failure in writing to client 172.24.132.71. Error Broken pipe
Mar 27 14:54:55 freebsd smbd[820]: [2009/03/27 14:54:55, 0] lib/util_sock.c:send_smb(761)
Mar 27 14:54:55 freebsd smbd[820]:   Error writing 4 bytes to client. -1. (Broken pipe)
Mar 27 14:55:28 freebsd winbindd[661]: [2009/03/27 14:55:28, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 27 14:55:28 freebsd winbindd[661]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Mar 27 14:56:04 freebsd winbindd[661]: [2009/03/27 14:56:04, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 27 14:56:04 freebsd winbindd[661]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Mar 27 14:56:31 freebsd winbindd[661]: [2009/03/27 14:56:31, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
Mar 27 14:56:31 freebsd winbindd[661]:   kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
что скажете ?
Безымянный.JPG
Вот что вылазиет когда я обращаюсь к Samba серваку/
Безымянный.JPG (17.39 КБ) 3624 просмотра

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение Alex Keda » 2009-03-31 8:45:39

скопируте конфиги с сайта, без ваших вставок, для начала.
если с ними не заведётся - будем думать
Убей их всех! Бог потом рассортирует...

КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-03-31 8:48:17

простите а с какого сайта ? и какие конфиги? самбы? krb5 ?

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение snorlov » 2009-03-31 9:22:08

У берите password server, хотя лучше прописать его на контроллеры АД

КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-03-31 14:43:07

snorlov писал(а):У берите password server, хотя лучше прописать его на контроллеры АД
дык там же и прописаны контролера АД!

КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-04-01 12:16:30

lissyara писал(а):скопируте конфиги с сайта, без ваших вставок, для начала.
если с ними не заведётся - будем думать
ставил по вашей статье. выдаёт ошибку...
http://www.lissyara.su/?id=1791

Код: Выделить всё

samba# cd /usr/ports/net/samba3
samba#  make && make install && make clean
===>   samba-3.0.34,1 depends on file: /usr/local/bin/autoconf-2.62 - found
===>   samba-3.0.34,1 depends on shared library: execinfo.1 - found
===>   samba-3.0.34,1 depends on shared library: cups.2 - not found
===>    Verifying install for cups.2 in /usr/ports/print/cups-base
===>   cups-base-1.3.9_3 depends on executable: gmake - found
===>   cups-base-1.3.9_3 depends on file: /usr/local/include/php/main/php.h - fo                                                                             und
===>   cups-base-1.3.9_3 depends on shared library: jpeg.9 - found
===>   cups-base-1.3.9_3 depends on shared library: png.5 - found
===>   cups-base-1.3.9_3 depends on shared library: tiff.4 - found
===>   cups-base-1.3.9_3 depends on shared library: gnutls-openssl.26 - not foun                                                                             d
===>    Verifying install for gnutls-openssl.26 in /usr/ports/security/gnutls
===>   gnutls-2.6.4 depends on file: /usr/local/bin/libtool - found
===>   gnutls-2.6.4 depends on executable: pkg-config - found
===>   gnutls-2.6.4 depends on shared library: gcrypt.16 - not found
===>    Verifying install for gcrypt.16 in /usr/ports/security/libgcrypt
===>  Vulnerability check disabled, database not found
===>  Extracting for libgcrypt-1.4.4
=> MD5 Checksum mismatch for libgcrypt-1.4.4.tar.bz2.
=> SHA256 Checksum mismatch for libgcrypt-1.4.4.tar.bz2.
===>  Refetch for 1 more times files: libgcrypt-1.4.4.tar.bz2 libgcrypt-1.4.4.ta                                                                             r.bz2
===>  Vulnerability check disabled, database not found
=> libgcrypt-1.4.4.tar.bz2 doesn't seem to exist in /usr/ports/distfiles/.
=> Attempting to fetch from http://ftp.linux.it/pub/mirrors/gnupg/libgcrypt/.
fetch: http://ftp.linux.it/pub/mirrors/gnupg/libgcrypt/libgcrypt-1.4.4.tar.bz2:                                                                              Requested Range Not Satisfiable
=> Attempting to fetch from ftp://ftp.demon.nl/pub/mirrors/gnupg/libgcrypt/.
fetch: ftp://ftp.demon.nl/pub/mirrors/gnupg/libgcrypt/libgcrypt-1.4.4.tar.bz2: s                                                                             ize unknown
fetch: ftp://ftp.demon.nl/pub/mirrors/gnupg/libgcrypt/libgcrypt-1.4.4.tar.bz2: s                                                                             ize of remote file is not known
libgcrypt-1.4.4.tar.bz2                                315  B 3658  Bps
===>  Vulnerability check disabled, database not found
=> MD5 Checksum mismatch for libgcrypt-1.4.4.tar.bz2.
=> SHA256 Checksum mismatch for libgcrypt-1.4.4.tar.bz2.
===>  Giving up on fetching files: libgcrypt-1.4.4.tar.bz2 libgcrypt-1.4.4.tar.b                                                                             z2
Make sure the Makefile and distinfo file (/usr/ports/security/libgcrypt/distinfo                                                                             )
are up to date.  If you are absolutely sure you want to override this
check, type "make NO_CHECKSUM=yes [other args]".
*** Error code 1

Stop in /usr/ports/security/libgcrypt.
*** Error code 1

Stop in /usr/ports/security/libgcrypt.
*** Error code 1

Stop in /usr/ports/security/gnutls.
*** Error code 1

Stop in /usr/ports/print/cups-base.
*** Error code 1

Stop in /usr/ports/print/cups-base.
*** Error code 1

Stop in /usr/ports/net/samba3.
*** Error code 1

Stop in /usr/ports/net/samba3.

попробовал как написали в ошибке:

Код: Выделить всё

samba# cd /usr/ports/security/libgcrypt/
samba# make config
===> No options to configure
samba# make NO_CHECKSUM=yes
===>  Vulnerability check disabled, database not found
===>  Extracting for libgcrypt-1.4.4
bzip2: /usr/ports/distfiles//libgcrypt-1.4.4.tar.bz2 is not a bzip2 file.
===>  Patching for libgcrypt-1.4.4
===>  Applying FreeBSD patches for libgcrypt-1.4.4
patch: **** can't cd to /usr/ports/security/libgcrypt/work/libgcrypt-1.4.4: No such file or directory
=> Patch patch-ltmain.sh failed to apply cleanly.
*** Error code 1
Stop in /usr/ports/security/libgcrypt.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение Alex Keda » 2009-04-01 14:04:25

Код: Выделить всё

rm -rf /usr/ports/distfiles
make clean
и ещё раз
Убей их всех! Бог потом рассортирует...

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение snorlov » 2009-04-01 16:41:54

lissyara писал(а):

Код: Выделить всё

rm -rf /usr/ports/distfiles
make clean
и ещё раз
Ну зачем же так жестоко, мне кажется достаточно удалить /usr/ports/distfiles//libgcrypt-1.4.4.tar.bz2
за тем перейти в /usr/ports/security/libgcrypt и удалить каталог work
ну и снова попытать счастья, хотя честно говоря когда всплывает

Код: Выделить всё

=> MD5 Checksum mismatch for libgcrypt-1.4.4.tar.bz2.
=> SHA256 Checksum mismatch for libgcrypt-1.4.4.tar.bz2.
я пытаюсь эти файлы ручками выкачать с ftp.freebsd.org

КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-04-02 6:17:36

спасибо! самба встала! сейчас буду конфигурить...
только щас обратил внимания - вы что без kerboros`a самбу подымаете и в домен вносите?

вопрос ещё такой - от куда система тащит имя домена когда я вызываю функцию :
ns# kinit foxka
foxka@CASPIANSERVICES.KZ's Password: ?

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение snorlov » 2009-04-02 9:15:46

Если вы используете версии кажется старше 5.4, но уж начиная с 6.0 точно, kerberos5 является частью системы и чтобы он заработал достаточно иметь krb5.conf в каталоге /etc, и не надо ставить ничего из портов, кроме того что самбу в данном случае надо компилячить с поддержкой AD

КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-04-02 9:32:03

snorlov писал(а):Если вы используете версии кажется старше 5.4, но уж начиная с 6.0 точно, kerberos5 является частью системы и чтобы он заработал достаточно иметь krb5.conf в каталоге /etc, и не надо ставить ничего из портов, кроме того что самбу в данном случае надо компилячить с поддержкой AD
версия 6.3
ок. значит надо сделать конфиг...
просто странно что в статье http://www.lissyara.su/?id=1791 которую писал господин Lissyara нет ни чего про конфиг kerboros`a.... оч страно..

КиЧи
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-31 7:47:01

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение КиЧи » 2009-04-03 11:17:16

господин lissyara ответьте на мой вопрос плз. :smile:

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение snorlov » 2009-04-03 14:43:36

КиЧи писал(а):господин lissyara ответьте на мой вопрос плз. :smile:
Забыл он упомянуть, бывает, у него на сайте статей про samba немерянно...

Аватара пользователя
iZEN
ст. лейтенант
Сообщения: 1089
Зарегистрирован: 2007-09-15 16:45:26
Контактная информация:

Re: Kerberos+SAMBA+AD(win)

Непрочитанное сообщение iZEN » 2009-04-06 0:16:19

Вот тут ещё одну проблему решали: http://forum.sysadmins.ru/topic228041.html
GNU/Linux — это не Unix и даже никогда им не был, и, что самое смешное, никогда им не станет — GNU's Not Unix