Samba авторизация в AD win2003

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Samba авторизация в AD win2003

Непрочитанное сообщение metallic » 2007-04-29 13:41:02

Есть домен под управдением вин2003 СП1, работающий в режиме 2003. Хочтся сделать файловую помойку под управление unix like system с авторизацие через домен. В данный момент имеется тестовый сервак под Debian 4.0r0 Версия самбы 3.0.24.

Адрес файлового сервака 192.168.1.30 netbios-имя debian4
Адрес главного контроллера домена 192.168.1.3 netbios-имя pdc
В днс контроллера домена добавлена А-запись 192.168.1.30 debian4.domain.org

На файловом сервере в /etc/resolv.conf
search domain.org
nameserver 192.168.1.3
На файловом сервере в /etc/hosts
127.0.0.1 localhost
192.168.1.30 debian4.domain.org debian4

192.168.1.3 pdc.domain.org pdc
192.168.1.3 domain.org domain
На файловом сервере в /etc/nsswitch.conf
passwd: files winbind
group: files winbind
group_compat: nis
passwd_compat: nis
shadow: compat

shells: files

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis
На файловом сервере в /etc/samba/smb.conf

[global]
workgroup = DOMAIN
realm = DOMAIN.ORG
netbios name = debian4
dns proxy = no
security = ADS
password server = 192.168.1.3
client NTLMv2 auth = Yes
winbind uid = 10000-20000
winbind gid = 10000-20000
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\
client signing = Yes
disable spoolss = Yes
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
inherit acls = Yes
map acl inherit = Yes
case sensitive = No
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
guest account = nobody
guest ok = yes
На файловом сервере в /etc/krb5.conf
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.ORG
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true

[realms]
DOMAIN.ORG = {
kdc = 192.168.1.3:88
admin_server = 192.168.1.3:749
default_domain = domain.org
}

[domain_realm]
.domain.org = DOMAIN.ORG

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false
Делаю следующее:
1
net time set -S pdc
Комманда проходит успешно

2
kinit admin@DOMAIN.ORG
Спрашивают пароль - ввожу, проглатывает, ничего не говорит. Если ввести неправильный - ругается.

3
klist
debian4:/etc# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.ORG

Valid starting Expires Service principal
04/29/07 13:20:15 04/29/07 20:00:15 krbtgt/DOMAIN.ORG@DOMAIN.ORG


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
debian4:/etc#
4
net ads join -U admin
спрашивают пароль - ввожу. Все ок, к домену подцепились, на контроллере домена появляется учетная запись компьютера debian4

5
wbinfo -p
Ping to winbindd succeeded on fd 6
6
wbinfo -t
А вот тут засада...
debian4:/etc# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
debian4:/etc#
Need help вобщем :((

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-29 18:58:01

с линуха

Код: Выделить всё

ping имя.домена
Убей их всех! Бог потом рассортирует...

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Непрочитанное сообщение metallic » 2007-04-29 19:27:20

ес-но работает, у меня же в хостс
192.168.1.3 domain.org domain

Может я керберос не тот поставил? там же разные есть или я ошибаюсь?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-29 19:34:55

во фре хемдайл...
Убей их всех! Бог потом рассортирует...

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Непрочитанное сообщение metallic » 2007-04-29 19:54:02

а что же может быть у меня не так? по конфигам все нормально?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-29 19:55:30

а

Код: Выделить всё

wbinfo -u
что грит
Убей их всех! Бог потом рассортирует...

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Непрочитанное сообщение metallic » 2007-04-29 20:27:17

-u и -g говорят одно и тоже, не удалось отобразить список групп/юзеров, ошибка... :(

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Непрочитанное сообщение metallic » 2007-04-30 13:54:48

сделал через winbindd без кербероса, вроде работает, я что-нить потерял не используя керберос?

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Непрочитанное сообщение InventoR » 2007-04-30 18:25:24

глюки

metallic
рядовой
Сообщения: 49
Зарегистрирован: 2007-04-29 13:02:48

Непрочитанное сообщение metallic » 2007-04-30 20:17:04

т.е. я потерял глюки? :)
Винбинд типа надежнее работает?

brujoseyes
проходил мимо

Re: Samba авторизация в AD win2003

Непрочитанное сообщение brujoseyes » 2007-09-07 16:36:40

вот точно такая же хня. единственное отличие (на первый взгляд) у меня фриха 6.2.
wbinfo -p проходит, wbinfo -t ругается
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
ковыряю целый день, уже голова перестаёт соображать, а сдаваться не в моих правилах
помогите.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение Alex Keda » 2007-09-07 17:08:48

Код: Выделить всё

error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
контроллдер омена найти не может.
грабли в DNS скорей всего...
по имени домена - чёнибудь пингуется?
Убей их всех! Бог потом рассортирует...

brujoseyes
проходил мимо

Re: Samba авторизация в AD win2003

Непрочитанное сообщение brujoseyes » 2007-09-10 8:45:40

самый прикол что пинги ВСЕ проходят, куда угодно, хоть наружу...
команда net rpc join -S SERVER -U *имя_пользователя* выдаёт
joined SA.COM (имя домена); значит, находит?
не может быть беда с керберосом?
а днс надо бы всё же проверить

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение Alex Keda » 2007-09-10 8:46:55

дай

Код: Выделить всё

ping domain-controller-name
Убей их всех! Бог потом рассортирует...

brujoseyes
проходил мимо

Re: Samba авторизация в AD win2003

Непрочитанное сообщение brujoseyes » 2007-09-10 9:10:05

Код: Выделить всё

#ping SERVER
PING SERVER (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=128 time=0.327 ms
... и так далее
ну в общем-то обычный вывод...
Последний раз редактировалось Alex Keda 2007-09-10 9:25:42, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...

brujoseyes
проходил мимо

Re: Samba авторизация в AD win2003

Непрочитанное сообщение brujoseyes » 2007-09-10 9:53:39

кстати и в днс компьютер регистрируется нормально
:?

brujoseyes
проходил мимо

Re: Samba авторизация в AD win2003

Непрочитанное сообщение brujoseyes » 2007-09-12 10:04:42

переустановил всё нахрен...
теперь новый прикол: wbinfo -p проходит сразу после перезапуска самбы, через некоторое время отваливается винбайнд...
wbinfo -t говорит:

Код: Выделить всё

test02# wbinfo -t
checking the trust secret via RPC calls failed
error code was   (0x0)
Could not check secret
соответственно wbinfo -u говорит Error looking up domain users
плюс с соседней линуксовой машины видит шару на фрихе, создаваемую конфигом/пинги все идут что в локалку, что наружу
о, боги!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение Alex Keda » 2007-09-12 10:15:09

kinit
Убей их всех! Бог потом рассортирует...

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение -cat- » 2007-09-12 10:27:19

Официальный FAQ по решению проблем NTLM авторизации, суть одна хотя и немного не по теме
http://wiki.squid-cache.org/KnowledgeBa ... %28NTLM%29

brujoseyes
проходил мимо

Re: Samba авторизация в AD win2003

Непрочитанное сообщение brujoseyes » 2007-09-12 10:46:04

просто великолепно, теперь и

Код: Выделить всё

test02# wbinfo -p 
Ping to winbindd failed on fd -1
could not ping winbindd!
а kinit это то немногое что стабильно работает, плюс к net rpc join
ЗА-ШИ-БИСЬ
:evil: :shock:

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение f0s » 2007-12-06 20:07:31

какой-то глюк случился.. аналогично все тоже самое..

имеем

Код: Выделить всё

mail.router (192.168.10.8) - самба пдс с ладпом
router.artpaint (192.168.10.7)
fileserver.artpaint (192.168.10.6)

на fileserver.artpaint все ок (значит с PDC все нормально):

Код: Выделить всё

[f0s@fileserver] /home/f0s/> wbinfo -t
checking the trust secret via RPC calls succeeded

а вот на router.artpaint случился косяк (из-за этого и сквид теперь никого не авторизовывает.. )

Код: Выделить всё

[f0s@router] /var/db/samba/> wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
однако:

Код: Выделить всё

[f0s@router] /var/db/samba/> wbinfo -p
Ping to winbindd succeeded on fd 4
но, опять таки юзеров не видит и группы тоже:

Код: Выделить всё

[f0s@router] /var/db/samba/> wbinfo -u
Error looking up domain users
[f0s@router] /var/db/samba/> wbinfo -g
BUILTIN+administrators
BUILTIN+users
пинги до PDC идут:

Код: Выделить всё

[f0s@router] /var/db/samba/> ping mail
PING mail.artpaint (192.168.10.8): 56 data bytes
64 bytes from 192.168.10.8: icmp_seq=0 ttl=64 time=0.114 ms
64 bytes from 192.168.10.8: icmp_seq=1 ttl=64 time=0.135 ms
64 bytes from 192.168.10.8: icmp_seq=2 ttl=64 time=0.153 ms
^C
--- mail.artpaint ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.114/0.134/0.153/0.016 ms
[f0s@router] /var/db/samba/>

перезаводистя в домен отлично: удаляю все файлы из /var/db/samba/ убираю щзапис из лдапа.. и:

Код: Выделить всё

[f0s@router] /var/db/samba/> smbpasswd -w password
Setting stored password for "cn=root,dc=artpaint,dc=spb,dc=ru" in secrets.tdb

Код: Выделить всё

[f0s@router] /var/db/samba/> smbpasswd -a admin
New SMB password:
Retype new SMB password:
далее ввожу в домен (он зачем то аж в инет ломится (на этом компе две сетевухи и шлюзом по умолчанию он сомтрит в инет)

Код: Выделить всё

:
[f0s@router] /var/db/samba/> net rpc join -U admin
[2007/12/06 19:59:51, 0] libsmb/nmblib.c:send_udp(791)
  Packet send failed to 84.52.64.31(137) ERRNO=Permission denied
Unable to find a suitable server
[2007/12/06 19:59:52, 0] libsmb/nmblib.c:send_udp(791)
  Packet send failed to 84.52.64.31(137) ERRNO=Permission denied
Unable to find a suitable server

если указать PDC явно - все ок :)

Код: Выделить всё

[f0s@router] /var/db/samba/> net rpc join -S mail -U admin
Password:
Joined domain ARTPAINT.


уже больше и не знаю что и делать-то.... :(
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
Urgor
лейтенант
Сообщения: 677
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение Urgor » 2007-12-07 8:22:47

уже больше и не знаю что и делать-то
Наверно поглядеть log.winbindd и запостить кусок с ошибкой и +-10 строк от нее... да и перед этим включить логгирование (ежли отруюлено) :)
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
Urgor
лейтенант
Сообщения: 677
Зарегистрирован: 2006-03-14 16:30:18
Откуда: Гилея (СПб)
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение Urgor » 2007-12-07 8:48:21

дай вывод ping <domain_server> и ping <realm>, должно получиться что-то вроде:

Код: Выделить всё

$ ping server
PING server.kk.com (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=128 time=0.217 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=128 time=0.188 ms
^C
--- server.kk.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.188/0.203/0.217/0.014 ms
$ ping kk.com
PING kk.com (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=128 time=0.218 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=128 time=0.190 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=128 time=0.188 ms
^C
--- kk.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.188/0.199/0.218/0.014 ms
Власть в руках у чужаков, и ты им платишь дань...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Samba авторизация в AD win2003

Непрочитанное сообщение f0s » 2007-12-07 10:33:24

PS. домен у меня не на вин2003..


кажись решилось вроде как.. походу из-за винса в конфиге.. стояло там wins support yes, поставил в no, и прописал wins server = 192.168.10.8 #адрес гед PDC
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
atomic
рядовой
Сообщения: 18
Зарегистрирован: 2008-11-25 12:03:12
Откуда: город из стекла, стали и бетона..

Re: Samba авторизация в AD win2003

Непрочитанное сообщение atomic » 2009-05-29 10:22:52

f0s писал(а):PS. домен у меня не на вин2003..
кажись решилось вроде как.. походу из-за винса в конфиге.. стояло там wins support yes, поставил в no, и прописал wins server = 192.168.10.8
Win2008 + Samba 3.2.11
ошибка та же самая выскакивала: error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
помогло в smb.conf как ты и написал: wins support no
А я романтик, мне не нужны билеты,
Я на собаках уеду на край света...