FreeBSD в AD

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-17 7:02:46

Всем здрасте!

Честно, искал, пробовал, читал, но, так и не получилось ввести FreeBSD 8.2 в AD под управлением Windows Server 2003.

Имеем:
Domain: server.jurinfo.zakon.kz
AD: 192.168.0.11

rc.conf

Код: Выделить всё

hostname="FreeBSD.server.jurinfo.zakon.kz"
ifconfig_re0="inet 192.168.0.54  netmask 255.255.255.0"
defaultrouter="192.168.0.16"
samba_enable="YES"
winbindd_enable="YES"
smb.conf

Код: Выделить всё

[global]
workgroup = JURINFO
server string = Samba-server %v
security = ads
hosts allow = 192.168.0. 127.
load printers = yes
log file = /var/log/samba/log.%U
max log size = 50
password server = server.jurinfo.zakon.kz
realm = server.jurinfo.zakon.kz
passdb backend = tdbsam
socket options = TCP_NODELAY
interfaces = re0
local master = no
os level = 33
domain master = no
preferred master = no
domain logons = no
wins support = no
dns proxy = no
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
nt acl support = yes
nsswitch.conf

Код: Выделить всё

group: files winbind compat
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind compat
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
krb5.conf. Кстати, где этот файл должен лежать(?), у меня он находится /usr/src/crypto/heimdal/krb5.conf, хотя по некоторым мануалам должен быть по адресу /etc.

Код: Выделить всё

[logging]
    default = FILE:/var/log/kerberos/krb5libs.log
    kdc = FILE:/var/log/kerberos/krb5kdc.log
    admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
    default_realm = SERVER.JURINFO.ZAKON.KZ

[realms]
    SERVER.JURINFO.ZAKON.KZ = {
        kdc = 192.168.0.11
        default_domain=server.jurinfo.zakon.kz
    }

[domain_realms]
    .server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ
Как конфигурить krb5.conf я вобще не понял, напихал что смог (.
Прошу о помощи :cz2:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-17 8:15:07

Начните с чтения статей на этом сайте, krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам. Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени, потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут), затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-17 10:45:26

snorlov писал(а):Начните с чтения статей на этом сайте
Читал, не помогло!
snorlov писал(а):krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам.
Я туда его и положил, я ведь выложил конфиги всех файлов, неужели нельзя просто сказать где ошибка? Где я должен быть внимателен к регистру(?), я все и делал по мануалам и с сайта Лисяры и с других сайтов!
snorlov писал(а):Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени

Код: Выделить всё

ping server.jurinfo.zakon.kz
ping 192.168.0.11
это??? если да, то пинги норм
snorlov писал(а):потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут)
в датой и временем все нормально.
snorlov писал(а):затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

Код: Выделить всё

kinit user@server.jurinfo.zakon.kz
при вводе пароля всегда говорит что он введен не верно, пробовал на разных пользователях и админа в том числе.

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-17 11:40:10

Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-17 11:59:02

snorlov писал(а):Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...
О господи, я думаю у вас не хватит извилин чтобы помочь мне с моей работой.

На сколько я понимаю, форум для того и сделан, чтобы обмениваться опытом, если у вас так много извилин, но ответить вы не можете, пройдите мимо и не засоряйте топик.
И кстати, я работаю программистом, и системным администратором быть не собираюсь, просто мне надо поднять на сервере FreeBSD систему управления версиями git и чтобы на нем был инет, а так как инет выделяется только пользователям домена, мне надо туда попасть. Если мне просто кто-то ткнет где ошибка я буду примного благодарен!

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-17 12:16:15

Читаем статью http://www.lissyara.su/articles/freebsd ... ad+nt_acl/, и понимаем, что realm это и есть дерево, а не server...

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-17 12:23:24

Попробую настроить полностью по этой статье, можете только объяснить этот кусочек из krb5.conf

Код: Выделить всё

[realms]
KK.COM = {
 kdc = 192.168.0.1:88 - это
 admin_server = 192.168.0.1:749 - это
 default_domain = kk.com
}
Спасибо :)

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-17 12:44:12

fenix710 писал(а):Попробую настроить полностью по этой статье, можете только объяснить этот кусочек из krb5.conf

Код: Выделить всё

[realms]
KK.COM = {
 kdc = 192.168.0.1:88 - это
 admin_server = 192.168.0.1:749 - это
 default_domain = kk.com
}
Спасибо :)
KK.COM - дерерво у вас JURINFO.ZAKON.KZ
kdc = контроллер домена можно указать server.jurinfo.zakon.kz или 192.168.0.11
admin_server - тоже самое
а вот default_domain у вас jurinfo.zakon.kz

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-17 13:05:03

server - это не имя компа, а часть дерева, т.е.

Код: Выделить всё

srv.server.jurinfo.zakon.kz = 192.168.0.11
Я уж не знаю почему так, но оно так.

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-17 14:17:40

Раз вы просто программер, то и попросите админов домена поднять то, что вам надо,уверяю вас будет быстрее... Ставить софт на фрю можно и без инета, принеся на нее исходники или пакаджи.

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-17 14:32:47

ну охото поиграться, как говорит Лисяра, с правильной операционной системой, тем более надо софт под linux написать, дома на ноут поставил FreeBSD, настроил иксы, потом дома NAS под nix-системой. По этому и пытаюсь поднять комп на FreeBSD на работе, надеясь что кто-нибудь поможет. Как настрою по статье, которую Вы указали выше, отпишу.

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-17 15:09:48

Может ваш проксик поддерживает и не ntlm авторизацию, а простую, тогда и самбу с керберосом мучать не надо

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: FreeBSD в AD

Непрочитанное сообщение opt1k » 2011-05-17 20:34:56

если инет выделяется пользователям домена через ntlm, то боюсь фряха тут не заработает. На фряху лучше всего пробросить инет натом. С проксёй будет куча проблем.
По теме:
дайте ping srv.server.jurinfo.zakon.kz
И ошибку полностью, ту что от kinit.
Далее моя версия вашего krb5.conf:

Код: Выделить всё

[libdefaults]
      default_realm = SERVER.JURINFO.ZAKON.KZ
      dns_lookup_kdc = no
      dns_lookup_realm = no
      default_keytab_name = /etc/krb5.keytab
[realms]
      SERVER.JURINFO.ZAKON.KZ = {
              kdc = srv.server.jurinfo.zakon.kz
              admin_server = srv.server.jurinfo.zakon.kz
      }

[domain_realm]
      .server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ.RU
      server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ.RU

administrator
проходил мимо

Re: FreeBSD в AD

Непрочитанное сообщение administrator » 2011-05-18 5:29:22

fenix710 писал(а):
snorlov писал(а):Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...
О господи, я думаю у вас не хватит извилин чтобы помочь мне с моей работой.

На сколько я понимаю, форум для того и сделан, чтобы обмениваться опытом, если у вас так много извилин, но ответить вы не можете, пройдите мимо и не засоряйте топик.
И кстати, я работаю программистом, и системным администратором быть не собираюсь, просто мне надо поднять на сервере FreeBSD систему управления версиями git и чтобы на нем был инет, а так как инет выделяется только пользователям домена, мне надо туда попасть. Если мне просто кто-то ткнет где ошибка я буду примного благодарен!
Гугл всегда рад вашему мнению ...
Если вы программист, то попросите | заставьте это сделать системного администратора.
Если инет выделяется пользователям домена, значит просто скажите админу чтоб он прописал вас на прокси.
Интересно как вы думаете связан доступ к ресурсам интернет через 80 порт и аудентификация в АД?

GhOsT_MZ
лейтенант
Сообщения: 662
Зарегистрирован: 2011-04-25 11:40:35
Контактная информация:

Re: FreeBSD в AD

Непрочитанное сообщение GhOsT_MZ » 2011-05-18 8:03:59

fenix710 писал(а):
snorlov писал(а):Начните с чтения статей на этом сайте
Читал, не помогло!
snorlov писал(а):krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам.
Я туда его и положил, я ведь выложил конфиги всех файлов, неужели нельзя просто сказать где ошибка? Где я должен быть внимателен к регистру(?), я все и делал по мануалам и с сайта Лисяры и с других сайтов!
snorlov писал(а):Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени

Код: Выделить всё

ping server.jurinfo.zakon.kz
ping 192.168.0.11
это??? если да, то пинги норм
snorlov писал(а):потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут)
в датой и временем все нормально.
snorlov писал(а):затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

Код: Выделить всё

kinit user@server.jurinfo.zakon.kz
при вводе пароля всегда говорит что он введен не верно, пробовал на разных пользователях и админа в том числе.
Домен нужно вводить в верхнем регистре
kinit user@SERVER.JURINFO.ZAKON.KZ

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-18 9:26:23

GhOsT_MZ писал(а): Домен нужно вводить в верхнем регистре
kinit user@SERVER.JURINFO.ZAKON.KZ
можно просто kinit <имя пользователя>, если дерево одно...

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-18 9:33:59

opt1k писал(а): дайте ping srv.server.jurinfo.zakon.kz
И ошибку полностью, ту что от kinit.

Код: Выделить всё

>ping srv.server.jurinfo.zakon.kz
PING srv.server.jurinfo.zakon.kz (192.168.0.11): 56 data bytes
64 bytes from 192.168.0.11: icmp_seq=0 ttl=128 time=0.174 ms
64 bytes from 192.168.0.11: icmp_seq=1 ttl=128 time=0.193 ms

Код: Выделить всё

>kinit user@SERVER.JURINFO.ZAKON.KZ
после ввода пароля нет никакого сообщения вобще,
если ввести неправильный пароль то пишет, Password incorrect, \
если неправильно ввести логин, то пишет krb5_get_init_creds: Client ... unknown
Также привел krb5.conf к вашей версии.
snorlov писал(а):Может ваш проксик поддерживает и не ntlm авторизацию, а простую, тогда и самбу с керберосом мучать не надо
там ntlm авторизация
administrator писал(а):Если инет выделяется пользователям домена, значит просто скажите админу чтоб он прописал вас на прокси.
это уже крайний вариант, только уж если ничего не получится :-o

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-18 9:42:23

Приведи krb5.conf, да вот еще ты случаем не установил kerberos из портов....

GhOsT_MZ
лейтенант
Сообщения: 662
Зарегистрирован: 2011-04-25 11:40:35
Контактная информация:

Re: FreeBSD в AD

Непрочитанное сообщение GhOsT_MZ » 2011-05-18 9:44:48

А после ввода пароля может ниче и не писать:
klist

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-18 9:48:27

Только не ругаться, я только учусь, я так понимаю что kerberos - это security/krb5, дык я его не ставил )), а что надо?

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-18 9:49:33

GhOsT_MZ писал(а):А после ввода пароля может ниче и не писать:
klist

Код: Выделить всё

        Principal: user@SERVER.JURINFO.ZAKON.KZ

  Issued           Expires          Principal
May 18 12:18:17  May 18 18:58:16  krbtgt/SERVER.JURINFO.ZAKON.KZ@SERVER.JURINFO.ZAKON.KZ

GhOsT_MZ
лейтенант
Сообщения: 662
Зарегистрирован: 2011-04-25 11:40:35
Контактная информация:

Re: FreeBSD в AD

Непрочитанное сообщение GhOsT_MZ » 2011-05-18 9:50:22

Все нормально, билет получен.

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: FreeBSD в AD

Непрочитанное сообщение snorlov » 2011-05-18 9:53:20

fenix710 писал(а):Только не ругаться, я только учусь, я так понимаю что kerberos - это security/krb5, дык я его не ставил )), а что надо?
В том то дело, что не надо, а то потом будешь разгребать проблемы с самбой, типа не найдены библиотеки кербероса...

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-18 9:54:08

GhOsT_MZ писал(а):Все нормально, билет получен.

Код: Выделить всё

/>net ads join -U User
Enter User's password:
Failed to join domain: failed to set machine spn: Constraint violation
А это как понимать? :pardon:

fenix710
рядовой
Сообщения: 20
Зарегистрирован: 2009-02-19 18:41:37

Re: FreeBSD в AD

Непрочитанное сообщение fenix710 » 2011-05-18 9:57:47

snorlov писал(а):Приведи krb5.conf

Код: Выделить всё

[logging]
default=FILE:/var/log/kerberos/krb5libs.log
kdc=FILE:/var/log/kerberos/krb5kdc.log
admin_server=FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime=24000
default_realm=SERVER.JURINFO.ZAKON.KZ
dns_lookup_realm=no
dns_lookup_kdc=no
default_keytab_name=/etc/krb5.keytab

[realms]
SERVER.JURINFO.ZAKON.KZ={
kdc=srv.server.jurinfo.zakon.kz
admin_server=srv.server.jurinfo.zakon.kz
}

[domain_realm]
.server.jurinfo.zakon.kz=SERVER.JURINFO.ZAKON.KZ
server.jurinfo.zakon.kz=SERVER.JURINFO.ZAKON.KZ