FreeBSD в AD

[fenix710]

Всем здрасте!

Честно, искал, пробовал, читал, но, так и не получилось ввести FreeBSD 8.2 в AD под управлением Windows Server 2003.

Имеем:
Domain: server.jurinfo.zakon.kz
AD: 192.168.0.11

rc.conf

Код: Выделить всё

hostname="FreeBSD.server.jurinfo.zakon.kz"
ifconfig_re0="inet 192.168.0.54  netmask 255.255.255.0"
defaultrouter="192.168.0.16"
samba_enable="YES"
winbindd_enable="YES"

smb.conf

Код: Выделить всё

[global]
workgroup = JURINFO
server string = Samba-server %v
security = ads
hosts allow = 192.168.0. 127.
load printers = yes
log file = /var/log/samba/log.%U
max log size = 50
password server = server.jurinfo.zakon.kz
realm = server.jurinfo.zakon.kz
passdb backend = tdbsam
socket options = TCP_NODELAY
interfaces = re0
local master = no
os level = 33
domain master = no
preferred master = no
domain logons = no
wins support = no
dns proxy = no
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
nt acl support = yes

nsswitch.conf

Код: Выделить всё

group: files winbind compat
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind compat
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

krb5.conf. Кстати, где этот файл должен лежать(?), у меня он находится /usr/src/crypto/heimdal/krb5.conf, хотя по некоторым мануалам должен быть по адресу /etc.

Код: Выделить всё

[logging]
    default = FILE:/var/log/kerberos/krb5libs.log
    kdc = FILE:/var/log/kerberos/krb5kdc.log
    admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
    default_realm = SERVER.JURINFO.ZAKON.KZ

[realms]
    SERVER.JURINFO.ZAKON.KZ = {
        kdc = 192.168.0.11
        default_domain=server.jurinfo.zakon.kz
    }

[domain_realms]
    .server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ

Как конфигурить krb5.conf я вобще не понял, напихал что смог (.
Прошу о помощи

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Начните с чтения статей на этом сайте, krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам. Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени, потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут), затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

[fenix710]

Начните с чтения статей на этом сайте

Читал, не помогло!

krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам.

Я туда его и положил, я ведь выложил конфиги всех файлов, неужели нельзя просто сказать где ошибка? Где я должен быть внимателен к регистру(?), я все и делал по мануалам и с сайта Лисяры и с других сайтов!

Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени

Код: Выделить всё

ping server.jurinfo.zakon.kz
ping 192.168.0.11

это??? если да, то пинги норм

потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут)

в датой и временем все нормально.

затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

Код: Выделить всё

kinit user@server.jurinfo.zakon.kz

при вводе пароля всегда говорит что он введен не верно, пробовал на разных пользователях и админа в том числе.

[snorlov]

Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...

[fenix710]

Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...

О господи, я думаю у вас не хватит извилин чтобы помочь мне с моей работой.

На сколько я понимаю, форум для того и сделан, чтобы обмениваться опытом, если у вас так много извилин, но ответить вы не можете, пройдите мимо и не засоряйте топик.
И кстати, я работаю программистом, и системным администратором быть не собираюсь, просто мне надо поднять на сервере FreeBSD систему управления версиями git и чтобы на нем был инет, а так как инет выделяется только пользователям домена, мне надо туда попасть. Если мне просто кто-то ткнет где ошибка я буду примного благодарен!

[snorlov]

Читаем статью http://www.lissyara.su/articles/freebsd ... ad+nt_acl/, и понимаем, что realm это и есть дерево, а не server...

[fenix710]

Попробую настроить полностью по этой статье, можете только объяснить этот кусочек из krb5.conf

Код: Выделить всё

[realms]
KK.COM = {
 kdc = 192.168.0.1:88 - это
 admin_server = 192.168.0.1:749 - это
 default_domain = kk.com
}

Спасибо

[snorlov]

Попробую настроить полностью по этой статье, можете только объяснить этот кусочек из krb5.conf

Код: Выделить всё

[realms]
KK.COM = {
 kdc = 192.168.0.1:88 - это
 admin_server = 192.168.0.1:749 - это
 default_domain = kk.com
}

Спасибо

KK.COM - дерерво у вас JURINFO.ZAKON.KZ
kdc = контроллер домена можно указать server.jurinfo.zakon.kz или 192.168.0.11
admin_server - тоже самое
а вот default_domain у вас jurinfo.zakon.kz

[fenix710]

server - это не имя компа, а часть дерева, т.е.

Код: Выделить всё

srv.server.jurinfo.zakon.kz = 192.168.0.11

Я уж не знаю почему так, но оно так.

[snorlov]

Раз вы просто программер, то и попросите админов домена поднять то, что вам надо,уверяю вас будет быстрее... Ставить софт на фрю можно и без инета, принеся на нее исходники или пакаджи.

[fenix710]

ну охото поиграться, как говорит Лисяра, с правильной операционной системой, тем более надо софт под linux написать, дома на ноут поставил FreeBSD, настроил иксы, потом дома NAS под nix-системой. По этому и пытаюсь поднять комп на FreeBSD на работе, надеясь что кто-нибудь поможет. Как настрою по статье, которую Вы указали выше, отпишу.

[snorlov]

Может ваш проксик поддерживает и не ntlm авторизацию, а простую, тогда и самбу с керберосом мучать не надо

[opt1k]

если инет выделяется пользователям домена через ntlm, то боюсь фряха тут не заработает. На фряху лучше всего пробросить инет натом. С проксёй будет куча проблем.
По теме:
дайте ping srv.server.jurinfo.zakon.kz
И ошибку полностью, ту что от kinit.
Далее моя версия вашего krb5.conf:

Код: Выделить всё

[libdefaults]
      default_realm = SERVER.JURINFO.ZAKON.KZ
      dns_lookup_kdc = no
      dns_lookup_realm = no
      default_keytab_name = /etc/krb5.keytab
[realms]
      SERVER.JURINFO.ZAKON.KZ = {
              kdc = srv.server.jurinfo.zakon.kz
              admin_server = srv.server.jurinfo.zakon.kz
      }

[domain_realm]
      .server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ.RU
      server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ.RU

[administrator]

Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...

О господи, я думаю у вас не хватит извилин чтобы помочь мне с моей работой.

На сколько я понимаю, форум для того и сделан, чтобы обмениваться опытом, если у вас так много извилин, но ответить вы не можете, пройдите мимо и не засоряйте топик.
И кстати, я работаю программистом, и системным администратором быть не собираюсь, просто мне надо поднять на сервере FreeBSD систему управления версиями git и чтобы на нем был инет, а так как инет выделяется только пользователям домена, мне надо туда попасть. Если мне просто кто-то ткнет где ошибка я буду примного благодарен!

Гугл всегда рад вашему мнению ...
Если вы программист, то попросите | заставьте это сделать системного администратора.
Если инет выделяется пользователям домена, значит просто скажите админу чтоб он прописал вас на прокси.
Интересно как вы думаете связан доступ к ресурсам интернет через 80 порт и аудентификация в АД?

[GhOsT_MZ]

Начните с чтения статей на этом сайте

Читал, не помогло!

krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам.

Я туда его и положил, я ведь выложил конфиги всех файлов, неужели нельзя просто сказать где ошибка? Где я должен быть внимателен к регистру(?), я все и делал по мануалам и с сайта Лисяры и с других сайтов!

Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени

Код: Выделить всё

ping server.jurinfo.zakon.kz
ping 192.168.0.11

это??? если да, то пинги норм

потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут)

в датой и временем все нормально.

затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

Код: Выделить всё

kinit user@server.jurinfo.zakon.kz

при вводе пароля всегда говорит что он введен не верно, пробовал на разных пользователях и админа в том числе.

Домен нужно вводить в верхнем регистре
kinit user@SERVER.JURINFO.ZAKON.KZ

[snorlov]

Домен нужно вводить в верхнем регистре
kinit user@SERVER.JURINFO.ZAKON.KZ

можно просто kinit <имя пользователя>, если дерево одно...

[fenix710]

дайте ping srv.server.jurinfo.zakon.kz
И ошибку полностью, ту что от kinit.

Код: Выделить всё

>ping srv.server.jurinfo.zakon.kz
PING srv.server.jurinfo.zakon.kz (192.168.0.11): 56 data bytes
64 bytes from 192.168.0.11: icmp_seq=0 ttl=128 time=0.174 ms
64 bytes from 192.168.0.11: icmp_seq=1 ttl=128 time=0.193 ms

Код: Выделить всё

>kinit user@SERVER.JURINFO.ZAKON.KZ

после ввода пароля нет никакого сообщения вобще,
если ввести неправильный пароль то пишет, Password incorrect, \
если неправильно ввести логин, то пишет krb5_get_init_creds: Client ... unknown
Также привел krb5.conf к вашей версии.

Может ваш проксик поддерживает и не ntlm авторизацию, а простую, тогда и самбу с керберосом мучать не надо

там ntlm авторизация

Если инет выделяется пользователям домена, значит просто скажите админу чтоб он прописал вас на прокси.

это уже крайний вариант, только уж если ничего не получится

[snorlov]

Приведи krb5.conf, да вот еще ты случаем не установил kerberos из портов....

[GhOsT_MZ]

А после ввода пароля может ниче и не писать:
klist

[fenix710]

Только не ругаться, я только учусь, я так понимаю что kerberos - это security/krb5, дык я его не ставил )), а что надо?

[fenix710]

А после ввода пароля может ниче и не писать:
klist

Код: Выделить всё

        Principal: user@SERVER.JURINFO.ZAKON.KZ

  Issued           Expires          Principal
May 18 12:18:17  May 18 18:58:16  krbtgt/SERVER.JURINFO.ZAKON.KZ@SERVER.JURINFO.ZAKON.KZ

[GhOsT_MZ]

Все нормально, билет получен.

[snorlov]

Только не ругаться, я только учусь, я так понимаю что kerberos - это security/krb5, дык я его не ставил )), а что надо?

В том то дело, что не надо, а то потом будешь разгребать проблемы с самбой, типа не найдены библиотеки кербероса...

[fenix710]

Все нормально, билет получен.

Код: Выделить всё

/>net ads join -U User
Enter User's password:
Failed to join domain: failed to set machine spn: Constraint violation

А это как понимать?

[fenix710]

Приведи krb5.conf

Код: Выделить всё

[logging]
default=FILE:/var/log/kerberos/krb5libs.log
kdc=FILE:/var/log/kerberos/krb5kdc.log
admin_server=FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime=24000
default_realm=SERVER.JURINFO.ZAKON.KZ
dns_lookup_realm=no
dns_lookup_kdc=no
default_keytab_name=/etc/krb5.keytab

[realms]
SERVER.JURINFO.ZAKON.KZ={
kdc=srv.server.jurinfo.zakon.kz
admin_server=srv.server.jurinfo.zakon.kz
}

[domain_realm]
.server.jurinfo.zakon.kz=SERVER.JURINFO.ZAKON.KZ
server.jurinfo.zakon.kz=SERVER.JURINFO.ZAKON.KZ