Ввести FreeBSD в домен AD (win200)

[VladimirL]

Прошу сильно не пинать, просмотрел кучу статей на эту тему, но невижу нестыковок.
Пытаюсь ввести FreeBSD 8.1 в домен с авторизацией Win2000, при помощи Samba 3.5. Вроде бы ничего сложного, но видать что то упускаю.
Немогу получить билет.

kinit admin
admin@DOMAIN's Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm DOMAIN

/etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = DOMAIN
        ticket_lifetime = 600
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        dns_lookup_realm = false
        dns_lookup_kdc = false

[realms]
        domain = {
                kdc = 192.168.3.101
                admin_server = 192.168.3.101
                default_domain = domain
        }

[logging]
        default = SYSLOG:INFO:LOCAL1
        kdc = FILE:/var/log/kerberos/krb5kdc.log
        admin_server = FILE:/var/log/kerberos/kadmind.log

[domain_realm]
        .domain = DOMAIN

/etc/nsswitch.conf

Код: Выделить всё

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: files
services_compat: nis
protocols: files
rpc: files

/usr/local/etc/smb.conf

Код: Выделить всё

[global]
   workgroup = DOMAIN
   server string = Samba_Test
   netbios name    = COMP1
   security = ads
   hosts allow = 192.168.1. 127.

auth methods = winbind
password server = 192.168.1.101 192.168.1.102
private dir = /usr/local/etc/samba
passdb backend = tdbsam
 client NTLMv2 auth = Yes
log level = 0 vfs:1
log file = /var/log/samba/samba.log
max log size = 0
deadtime = 360
max open files = 5000
paranoid server security = No
   load printers = No
   show add printer wizard = No
os level = 8
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = No
winbind refresh tickets = Yes
case sensitive = No
hide unreadable = Yes
client use spnego = yes
realm = DOMAIN
interfaces = 192.168.1.2/24
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[opt1k]

нужно указать фряхе контроллер домена как днс сервер.
Мне видется что проблема у вас именно в этом.

[snorlov]

У вас какая то накладка, в krb5.conf качестве контроллера домена указан адрес 192.168.3.101, а в smb.conf в этом же качестве фигурируют адреса 192.168.1.101-102, вы уж разберитесь, где находится у вас контроллер

[VladimirL]

У вас какая то накладка, в krb5.conf качестве контроллера домена указан адрес 192.168.3.101, а в smb.conf в этом же качестве фигурируют адреса 192.168.1.101-102, вы уж разберитесь, где находится у вас контроллер

это опечатка.
сделал в krb5.conf и smb.conf только один сервер 192.168.1.101 (он-же ДНС + АД), но проблема так и осталась

intra2#kinit admin
admin@DOMAIN's Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm DOMAIN

[snorlov]

Ну что вам сказать, начните:
1 с проверки доступности вашего контроллера домена с фри простым ping'ом, если он имеет dns-имя, а он имеет, то разрешается ли оно с консоли фри
2. проверьте врмя на фре, расхождение с временем контроллера не более 5-ти минут,
3. может у вас на фре файер включен...

[VladimirL]

Ну что вам сказать, начните:
1 с проверки доступности вашего контроллера домена с фри простым ping'ом, если он имеет dns-имя, а он имеет, то разрешается ли оно с консоли фри
2. проверьте врмя на фре, расхождение с временем контроллера не более 5-ти минут,
3. может у вас на фре файер включен...

1 - пингуется и по имени и по IP
2 - разница 1 мин. 30 сек (вот тут есть нюанс - в ручную выставлял, т.к. непонятка с часовыми поясами)
3 - нет ни ipfw ни pf. не ставил специально

[VladimirL]

мне кажется, что проблема все же не в самбе, т.е. доступ к сетевым ресурсам есть. Мне надо именно авторизоваться в домене, чтоб пользователи были из АД.

[VladimirL]

intra2# net ads join -U admin
Enter lva's password:
[2011/04/18 17:31:17.177508, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password admin@DOMAIN failed: Cannot contact any KDC for requested realm
Failed to join domain: failed to connect to AD: Cannot contact any KDC for requested realm

[VladimirL]

intra2# net ads join -U admin
Enter lva's password:
[2011/04/18 17:31:17.177508, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password admin@DOMAIN failed: Cannot contact any KDC for requested realm
Failed to join domain: failed to connect to AD: Cannot contact any KDC for requested realm

остальное :
wbinfo -p
Ping to winbindd succeeded

wbinfo -t
checking the trust secret for domain DOMAIN via RPC calls succeeded

wbinfo -g | wc -l
0

wbinfo -u | wc -l
0

таким образом, затык в KDC.
каким образом можно определить проблему?

[snorlov]

Попробуйте в krb5.conf указать протокол? по которому идете к KDC

Код: Выделить всё

[realms]
        domain = {
                kdc = tcp/192.168.3.101
                admin_server = 192.168.3.101
                default_domain = domain
        }

проверьте синтаксис krb5.conf, большие/маленькие буквы , пробелы табуляции

[snorlov]

У вас ошибка в krb5.conf

Код: Выделить всё

[realms]
        domain = {

domain здесь должен быть Большими буквами, т.е. DOMAIN={

[VladimirL]

действительно, больше ошибку не выдает, но не вижу подтверждения выдачи билета

Код: Выделить всё

intra2# kinit admin
admin@DOMAIN's Password:
intra2#

и соответственно:

Код: Выделить всё

intra2# net ads join -U admin
Enter lva's password:
Using short domain name -- DOMAIN
Joined 'INTRA2' to realm 'DOMAIN'
[2011/04/19 08:50:45.753856,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password INTRA2$@DOMAIN failed: Preauthentication failed

intra2# wbinfo -t
checking the trust secret for domain DOMAIN  via RPC calls failed
Could not check secret

[snorlov]

после kinit, посмотрите что дает klist b tot вы какой kerberos юзаете, тот, который идет в системе или поставленный из портов...

[snorlov]

после kinit, посмотрите что дает klist, вы какой kerberos юзаете, тот, который идет в системе или поставленный из портов, самба собрана с поддержкой ldap'а или без оной ...

[VladimirL]

Код: Выделить всё

intra2# kinit admin
admin@DOMAIN's Password:
intra2# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@DOMAIN

  Issued           Expires          Principal
Apr 19 09:54:02  Apr 19 19:54:02  krbtgt/DOMAIN@DOMAIN
intra2#

ставил самбу из /usr/ports/net/samba35 все кроме: AVAHI, EXP_MODULES, MAX_DEBUG, SMBTORTURE
kerberos ставил из /usr/ports/security/heimdal make all

[snorlov]

Код: Выделить всё

intra2# kinit admin
admin@DOMAIN's Password:
intra2# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@DOMAIN

  Issued           Expires          Principal
Apr 19 09:54:02  Apr 19 19:54:02  krbtgt/DOMAIN@DOMAIN
intra2#

ставил самбу из /usr/ports/net/samba35 все кроме: AVAHI, EXP_MODULES, MAX_DEBUG, SMBTORTURE
kerberos ставил из /usr/ports/security/heimdal make all

Ну чтож керберос общими усилиями настроен, а вот с самбой похоже проблемы... и состоят они в том, что вы поставили керберос из портов, правда может сейчас починили, а вот раньше различие состояло в расположении либов, проверьте... Если сейчас не починили, то придется ручками в make самбы указать ихний новый каталог...

[VladimirL]

а где можно узнать про эти проблемы и ее решение?

[snorlov]

Думаю только через google... Кстати можно все и переставить, т.е. на имеющейся системе скопировать конфиги, distfiles, создать пакаджи и скопировать это хозяйство куда-нибудь...

[VladimirL]

сейчас ситуация поменялась:

Код: Выделить всё

intra2# kinit admin
admin@DOMAIN's Password:
intra2# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@DOMAIN

  Issued           Expires          Principal
Apr 19 17:34:05  Apr 20 03:34:05  krbtgt/DOMAIN@DOMAIN
Apr 19 17:35:24  Apr 20 03:34:05  ad1$@DOMAIN
Apr 19 17:35:24  Apr 20 03:34:05  ad1$@DOMAIN
intra2#

но

Код: Выделить всё

intra2# net ads join -U admin
Enter admin's password:
Using short domain name -- DOMAIN
Joined 'INTRA2' to realm 'DOMAIN'
[2011/04/19 17:45:34.178871,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password INTRA2$@DOMAIN failed: Preauthentication failed
intra2#

почему проверка не удалась?

[VladimirL]

есть еще какие то варианты?

[bagas]

Код: Выделить всё

[realms]
        domain = {
                kdc = 192.168.3.101
                admin_server = 192.168.3.101

Код: Выделить всё

password server = 192.168.1.101 192.168.1.102

Проверьте настройки...
У вас данные расходятся в настройках.
Вы точно знаете IP контролера домена?
И не обязательно указывать второй котролер домена. 192.168.1.102
в /etc/krb5.conf лучше указать днс-имя контролера.

[VladimirL]

я исправил (ad1.domain), ошибку не выдает, но билет не могу получить
по другим машинам (с WIN) хожу без проблем, но мне нужна авторизация для входа подобная Win.
т.е. при входе надо хотя бы авторизоваться в домене любым пользователем домена

[bagas]

Попробуйте синхронировать время с вашим контролером домена.
И убедитесь что временная зона тоже правильно выставлена.
Вы точно машину заводите под тем пользаком...которому разрешено заводить машины в домен?

[VladimirL]

время выставил в ручную, т.к. непонятка с этими зонами. разница во времени не больше 1,5 мин.
при загрузке пишет:

Код: Выделить всё

Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.945883,  0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]:   idmap_alloc module ldap already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.946471,  0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]:   idmap_alloc module tdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.946744,  0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]:   Idmap module passdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.947014,  0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]:   Idmap module nss already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.954644,  0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]:   idmap_alloc module ldap already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955101,  0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]:   idmap_alloc module tdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955407,  0] winbindded!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955407,  0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]:   Idmap module passdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955676,  0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]:   Idmap module nss already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.726545,  0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:26 intra2 winbindd[1199]:   idmap_alloc module ldap already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.726983,  0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:26 intra2 winbindd[1199]:   idmap_alloc module tdb already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.727255,  0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:26 intra2 winbindd[1199]:   Idmap module passdb already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.727562,  0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:26 intra2 winbindd[1199]:   Idmap module nss already registered!

log.wb-DOMAIN:

Код: Выделить всё

[2011/04/27 13:49:11.339887,  0] winbindd/winbindd.c:195(winbindd_sig_term_handler)
  Got sig[15] terminate (is_parent=0)

log.winbindd

Код: Выделить всё

[2011/04/27 13:41:07,  0] winbindd/winbindd.c:1105(main)
  winbindd version 3.5.6 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2010
[2011/04/27 13:50:24,  0] winbindd/winbindd.c:1105(main)
  winbindd version 3.5.6 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2010

log.winbindd-idmap

Код: Выделить всё

[2011/04/27 13:41:09.125301,  1] winbindd/idmap.c:438(idmap_init_passdb_domain)
  Could not init passdb idmap domain
[2011/04/27 13:41:09.421886,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/27 13:41:09.422046,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/27 13:41:09.422121,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/27 13:41:09.422216,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/27 13:41:09.558453,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/27 13:41:09.558950,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/27 13:41:09.559225,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/27 13:41:09.559492,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/27 13:41:09.862554,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/27 13:41:09.863005,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/27 13:41:09.863277,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/27 13:41:09.863545,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/27 13:49:11.338593,  0] winbindd/winbindd.c:195(winbindd_sig_term_handler)
  Got sig[15] terminate (is_parent=0)
[2011/04/27 13:50:25.732481,  1] winbindd/idmap.c:438(idmap_init_passdb_domain)
  Could not init passdb idmap domain
[2011/04/27 13:50:25.945883,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/27 13:50:25.946471,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/27 13:50:25.946744,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/27 13:50:25.947014,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/27 13:50:25.954644,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/27 13:50:25.955101,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/27 13:50:25.955407,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/27 13:50:25.955676,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!
[2011/04/27 13:50:26.726545,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module ldap already registered!
[2011/04/27 13:50:26.726983,  0] winbindd/idmap.c:201(smb_register_idmap_alloc)
  idmap_alloc module tdb already registered!
[2011/04/27 13:50:26.727255,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module passdb already registered!
[2011/04/27 13:50:26.727562,  0] winbindd/idmap.c:149(smb_register_idmap)
  Idmap module nss already registered!

и почему то есть log.wb-BUILTIN, хотя непонятно, откуда он взялся. Возможно это и есть причина проблемы?

[bagas]

нужно смотреть krb5.conf. Покажите нынешний krb5.conf.
у меня в доме если время сбито на 2мин..то машина не сможет войти в домен.
По выложенные ваши логи, нормальные или не полные, тоесть вы не полностью выложили.
Вот вы натыкали в файл krb5.conf кучу параметров, вы знает что за что отвечает?
samba с чес собрана? #cd /usr/ports/net/samba && make showconfig