centos ввод в AD

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-10 17:32:40

Доброго времени суток. Решил ввести самбу в AD для того чтобы можно было выдавать права на каталоги и файлы пользователям из AD.
Вводные
PDC - win 2k3в режиме 2003 SRV
crntos 5.5 на него установил krb5-server.i386
начал настраивать kerberos

Код: Выделить всё

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = mydomain
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 BL_ADV = {
  kdc = 172.16.0.7:88
  admin_server = pdc.mydomain:749
  kpasswd_server = pdc.mydomain
  default_domain = mydomain
 }

[domain_realm]
 .gallup.bl_adv = mydomain
 gallup.bl_adv = mydomain

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = true
 }
проверяю настройки керберос и получаю
если использую
kinit admin@bl_adv
получаю
kinit(v5): Cannot find KDC for requested realm while getting initial credentials
Если использую (-4 )
kinit -4 admin@bl_adv
запрашивает пароль и не зависимо верный или не верный выдает
Password for droot@bl_adv:
kinit(v4): Can't send request (send_to_kdc)
Куда копать ?
bom-bom.nadejnei.net - it wiki

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение blade_007 » 2011-10-11 8:00:08

Разберитесь с днс.

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 8:47:51

blade_007 писал(а):Разберитесь с днс.
на компьютере с Linux прописан днс - контроллер домена, все сервера по имени например pdc.mydomain пингуются, думаю дело не в днс.
Есть еще проблема имя домена с нижним подчеркиванием(делали до меня ) примерно такое bb_bbf
bom-bom.nadejnei.net - it wiki

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: centos ввод в AD

Непрочитанное сообщение skeletor » 2011-10-11 11:30:09

1) Совпадает ли время на сервере с контроллером?
2) pdc.mydomain, gallup.bl_adv - резолвится?

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 11:58:31

да, сорри не все затер, совпадают имена, резолвятся, время совпадает, сек в сек, дело в том что с для четвертой версии kerberos все находится, но не работает
bom-bom.nadejnei.net - it wiki

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: centos ввод в AD

Непрочитанное сообщение skeletor » 2011-10-11 12:14:51

А какие ошибки?

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 12:20:18

kirill666 писал(а): проверяю настройки керберос и получаю
если использую
kinit admin@bl_adv
получаю
kinit(v5): Cannot find KDC for requested realm while getting initial credentials
Если использую (-4 )
kinit -4 admin@bl_adv
запрашивает пароль и не зависимо верный или не верный выдает
Password for droot@bl_adv:
kinit(v4): Can't send request (send_to_kdc)
Куда копать ?
в логи свои ничего не пишет
bom-bom.nadejnei.net - it wiki

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: centos ввод в AD

Непрочитанное сообщение skeletor » 2011-10-11 12:46:53

Если сообщение "Cannot find KDC for requested realm while getting initial credentials", значит не может найти контроллер домена.

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 12:52:10

skeletor писал(а):Если сообщение "Cannot find KDC for requested realm while getting initial credentials", значит не может найти контроллер домена.
дело в том что если писать kinit -4 admin@bl_adv
подключается и спрашивает пароль
и говорит что:
kinit(v4): Can't send request (send_to_kdc)
bom-bom.nadejnei.net - it wiki

Аватара пользователя
skeletor
майор
Сообщения: 2548
Зарегистрирован: 2007-11-16 18:22:04

Re: centos ввод в AD

Непрочитанное сообщение skeletor » 2011-10-11 13:11:29

ну значит либо изменился синтаксис описания КД либо он по другому ищет. Попробуйте прописать ещё в файл /etc/hosts

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: centos ввод в AD

Непрочитанное сообщение snorlov » 2011-10-11 13:56:41

Попробуйте указать транспорт, нечто типа

Код: Выделить всё

   kdc = tcp/172.16.0.7:88
  admin_server = pdc.mydomain:749
  kpasswd_server = pdc.mydomain
  default_domain = mydomain

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 13:58:20

прописал, результат тот же, может что то с win 2k3? (виндовые машины вводятся без проблем)
bom-bom.nadejnei.net - it wiki

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение blade_007 » 2011-10-11 20:17:04

kdc, admin_server - поставьте IP-адреса вместо имен для проверки.
BL_ADV - это сервер или название домена?

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 21:38:54

blade_007 писал(а):kdc, admin_server - поставьте IP-адреса вместо имен для проверки.
BL_ADV - это сервер или название домена?
завтра попробую подставить
BL_ADV - имя домена (делал до меня чел - редиска)
bom-bom.nadejnei.net - it wiki

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение blade_007 » 2011-10-11 21:55:00

Код: Выделить всё

[domain_realm]
 .bl_adv = BL_ADV
 bl_adv = BL_ADV
В конфиге попробуйте так еще. Что за gallup не понятно.

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-11 22:18:28

blade_007 писал(а):

Код: Выделить всё

[domain_realm]
 .bl_adv = BL_ADV
 bl_adv = BL_ADV
В конфиге попробуйте так еще. Что за gallup не понятно.

gallup - имя DC просто в конфиге переделывал чтобы выложить, и не все заменил, там все так и есть
bom-bom.nadejnei.net - it wiki

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: centos ввод в AD

Непрочитанное сообщение snorlov » 2011-10-11 22:41:12

kirill66,
Чего мы гадаем, приведите имя леса в 2003 и имя вашего сервера(PDC, KDC) в нем...

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-12 9:18:05

домен BL_ADV
PDC - gallup
вот конфиг кербероса

Код: Выделить всё

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = BL_ADV
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 BL_ADV = {
  kdc = tcp/172.16.0.7:88
  admin_server = gallup.bl_adv:749
  kpasswd_server = gallup.bl_adv
  default_domain = bl_adv
 }

[domain_realm]
 .gallup.bl_adv = BL_ADV
 gallup.bl_adv = BL_ADV

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = true
 }
bom-bom.nadejnei.net - it wiki

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: centos ввод в AD

Непрочитанное сообщение snorlov » 2011-10-12 9:43:40

Уберите номера портов и в [domain_realm] пусть будет только

Код: Выделить всё

[domain_realm]
.gallup.bl_adv = BL_ADV
Кстати а как у вас дела с файером...

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-12 10:06:52

фарвол опущен, но он в другой подсети, но маршрутизация работает, асе пингуется и видится
bom-bom.nadejnei.net - it wiki

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-12 11:05:29

но воз и ныне там
bom-bom.nadejnei.net - it wiki

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-12 11:20:30

Может это и упаднические настроения, но можно ли настроить без керберос используя LDAP, есть ли толковая статья ?
bom-bom.nadejnei.net - it wiki

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение blade_007 » 2011-10-12 11:26:52

ping bl_adv что показывает?
Так пробовали?

Код: Выделить всё

[domain_realm]
 .bl_adv = BL_ADV
 bl_adv = BL_ADV

kirill666
мл. сержант
Сообщения: 74
Зарегистрирован: 2009-07-28 17:10:04
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение kirill666 » 2011-10-12 12:14:40

blade_007 писал(а):ping bl_adv что показывает?
Так пробовали?

Код: Выделить всё

[domain_realm]
 .bl_adv = BL_ADV
 bl_adv = BL_ADV
пингуется, после того как прописал в хостс

Код: Выделить всё

[domain_realm]
 .bl_adv = BL_ADV
 bl_adv = BL_ADV

пробывал
bom-bom.nadejnei.net - it wiki

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: centos ввод в AD

Непрочитанное сообщение blade_007 » 2011-10-12 22:41:23

И нет результата так понимаю?

Давайте сначала.

Код: Выделить всё

cat /etc/resolv.conf
search AD_DOMAIN
nameserver IP_DOMAIN_CONTROLLER
Для работы не нужен krb5-server, достаточно krb5-workstation и krb5-libs.
Синхронизация времени обязательна.
Внесите в днс имя\адрес самба-сервера.
внесите в /etc/hosts
IP_SAMBA NAME_OF_SAMBA_SERVER

Файл /etc/krb5.conf имеет тестовую область EXAMPLE.COM - сделайте подобную - вместо

Код: Выделить всё

kdc = kerberos.example.com
admin_server = kerberos.example.com
поставьте ip-адрес контроллера домена, вместо EXAMPLE.COM поставьте BL_ADV, учитывайте регистр при этом и точку стоящую впереди.

Сделайте kinit root или какой у вас администратор домена, при этом внутренний домен у вас должен пинговаться по имени (все компы с самба-сервера должны пинговаться по имени).

Пробуйте.