FreeBSD 8.0 в домене Windows

[Sindikat88]

Добрый день, форумчане.
Решил я поднять Прокси сервер SQUID+SAMS Rejik3 c авторизацией по NTLM вот по этой инструкции http://www.lissyara.su/articles/freebsd ... ejik-ntlm/ , но натолкнулся на проблему при вводе машины в домен командой

Код: Выделить всё

net ads join -U administrator

на ошибку

Код: Выделить всё

Failed to join domain: No logon servers

. Так же перед этим командой

Код: Выделить всё

kinit -p administrator

не получил никакого сообщения от kinit'a, т.е. пароль он запросил, я на него ответил а сообщения

Код: Выделить всё

kinit: NOTICE: ticket renewable lifetime is 1 week

я так и не получил .
В каком хоть направлении мне копать? Или если кто сталкивался с такой проблемой, то как её решили?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[bagas]

klist посмотри,
вообще покажи свой
/etc/krb5.conf
/usr/local/etc/smb.conf
/etc/nsswitch.conf
/etc/resof.conf
/etc/hosts

время синхронизировал с контролером домена?

[Mikola]

И домен бы неплохо в /etc/hosts указать, а если контроллеров домена два, основной и резервный то и контроллер домена тоже.

[Sindikat88]

Windows Server 2003 Enterprise edition. Он же AD, DHCP, DNS, шлюз. NETBIOS: SERVERN. Его IP: 192.168.1.1
Машинка с FreeBSD IP 192.168.1.206
Домен: ac-construction.local
Вторую сетевую карточку в машинку с Фришкой пока не ставил, поэтому и настроек для второй сетевухи нет.

/etc/krb5.conf

Код: Выделить всё

# cat /etc/krb5.conf
[libdefaults]
        default_realm = AC-CONSTRUCTION.LOCAL
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
        AC-CONSTRUCTION.LOCAL = {
                kdc = 192.168.1.1
                admin_server = 192.168.1.1
                kpasswd_server = 192.168.1.1

        }
[domain_realm]
        .ac-construction = AC-CONSTRUCTION.LOCAL

/usr/local/etc/smb.conf

Код: Выделить всё

#======================= Global Settings =====================================
[global]
   workgroup = AC-CONSTRUCTION
   server string = Sams server
   security = ADS
   hosts allow = 192.168.1. 127.
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = servern.ac-construction.local
   realm = AC-CONSTRUCTION.LOCAL
   dns proxy = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes

/etc/nsswitch.conf

Код: Выделить всё

# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1.10.1.2.1 2009/10/25 01:10:29 kensmith Exp $
#
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

/etc/resolv.conf
resolv.conf

Код: Выделить всё

# cat /etc/resolv.conf
ac-construction ac-construction.local
nameserver 192.168.1.1

/etc/hosts

Код: Выделить всё

# cat /etc/hosts
# $FreeBSD: src/etc/hosts,v 1.16.34.1.2.1 2009/10/25 01:10:29 kensmith Exp $
#
# Host Database
#
# This file should contain the addresses and aliases for local hosts that
# share this file.  Replace 'my.domain' below with the domainname of your
# machine.
#
# In the presence of the domain name service or NIS, this file may
# not be consulted at all; see /etc/nsswitch.conf for the resolution order.
#
#
::1                     localhost localhost.my.domain
127.0.0.1               localhost localhost.my.domain
#
# Imaginary network.
192.168.1.206           sams.ac-construction.local      sams
192.168.1.206           sams.ac-construction.local
# Контроллер домена он же DNS и DHCP
192.168.1.1           servern.ac-construction.local     servern


#
# According to RFC 1918, you can use the following IP networks for
# private nets which will never be connected to the Internet:
#
#       10.0.0.0        -   10.255.255.255
#       172.16.0.0      -   172.31.255.255
#       192.168.0.0     -   192.168.255.255
#
# In case you want to be able to connect to the Internet, you need
# real official assigned numbers.  Do not try to invent your own network
# numbers but instead get one from your network provider (if any) or
# from your regional registry (ARIN, APNIC, LACNIC, RIPE NCC, or AfriNIC.)

[Mikola]

в /etc/hosts добавить

Код: Выделить всё

192.168.1.1     ac-construction.local

ну и время синхронизировать

[Sindikat88]

Добавил. Время синхронизировал. Результат тот же, в домен не пускает

[bagas]

Код: Выделить всё

::1                     localhost localhost.my.domain
127.0.0.1               localhost localhost.my.domain

измени на

Код: Выделить всё

::1                     localhost localhost.sams.ac-construction.local
127.0.0.1               localhost localhost.sams.ac-construction.local

это не обезательно
# Контроллер домена он же DNS и DHCP

Код: Выделить всё

192.168.1.1           servern.ac-construction.local     servern

Код: Выделить всё

password server = указать IP контролера домена, хоть это не желательно, но в моем случае помогло, у меня много под доменом.

[Sindikat88]

Все равно не помогает

[bagas]

попробуй такое, свои данные подставь. регистр букв важен!
nano /etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = unix.domain.mb
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
        MY.REALM = {
                kdc = unix.domain.mb
                admin_server = S895BACKUP.unix.domain.mb
                kpasswd_server =  unix.domain.mb
        }

[domain_realm]
        .my.domain = unix.domain.mb

[Sindikat88]

попробуй такое, свои данные подставь. регистр букв важен!
nano /etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = unix.domain.mb
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
        MY.REALM = {
                kdc = unix.domain.mb
                admin_server = S895BACKUP.unix.domain.mb
                kpasswd_server =  unix.domain.mb
        }

[domain_realm]
        .my.domain = unix.domain.mb

Так я это уже давно сделал

[snorlov]

Добрый день, форумчане.
Решил я поднять Прокси сервер SQUID+SAMS Rejik3 c авторизацией по NTLM вот по этой инструкции http://www.lissyara.su/articles/freebsd ... ejik-ntlm/ . Так же перед этим командой

Код: Выделить всё

kinit -p administrator

не получил никакого сообщения от kinit'a, т.е. пароль он запросил, я на него ответил а сообщения

Код: Выделить всё

kinit: NOTICE: ticket renewable lifetime is 1 week

я так и не получил .
В каком хоть направлении мне копать? Или если кто сталкивался с такой проблемой, то как её решили?

Проверяйте настройки kerberos'а, пока не получите билет, все напрасно.
Попробуйте в вашем /etc/krb5.conf изменить тип пакетов c udp на tcp

Код: Выделить всё

            AC-CONSTRUCTION.LOCAL = {
                    kdc = tcp/192.168.1.1
                    admin_server = tcp/192.168.1.1
                    kpasswd_server = tcp/192.168.1.1

кажется так

[Sindikat88]

Добрый день, форумчане.
Решил я поднять Прокси сервер SQUID+SAMS Rejik3 c авторизацией по NTLM вот по этой инструкции http://www.lissyara.su/articles/freebsd ... ejik-ntlm/ . Так же перед этим командой

Код: Выделить всё

kinit -p administrator

не получил никакого сообщения от kinit'a, т.е. пароль он запросил, я на него ответил а сообщения

Код: Выделить всё

kinit: NOTICE: ticket renewable lifetime is 1 week

я так и не получил .
В каком хоть направлении мне копать? Или если кто сталкивался с такой проблемой, то как её решили?

Проверяйте настройки kerberos'а, пока не получите билет, все напрасно.
Попробуйте в вашем /etc/krb5.conf изменить тип пакетов c udp на tcp

Код: Выделить всё

            AC-CONSTRUCTION.LOCAL = {
                    kdc = tcp/192.168.1.1
                    admin_server = tcp/192.168.1.1
                    kpasswd_server = tcp/192.168.1.1

кажется так

Сделал как ты сказал. Результат тот же:

Код: Выделить всё

# kinit -p Administrator
Administrator@AC-CONSTRUCTION.LOCAL's Password:
#

[bagas]

такс , покажи вывод . klist ?

[Sindikat88]

Код: Выделить всё

# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@AC-CONSTRUCTION.LOCAL

  Issued           Expires          Principal
Sep  5 15:21:36  Sep  6 01:17:54  krbtgt/AC-CONSTRUCTION.LOCAL@AC-CONSTRUCTION.LOCAL

[bagas]

Ч.Т.Д.
билет получен...теперь заводи машину в домен.
net ads join —U Admin

[Sindikat88]

Ч.Т.Д.
билет получен...теперь заводи машину в домен.
net ads join —U Admin

Результата нет

Код: Выделить всё

# net ads join -U Administrator
Administrator's password:
[2010/09/05 23:29:20, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers

[snorlov]

Ч.Т.Д.
билет получен...теперь заводи машину в домен.
net ads join —U Admin

Результата нет

Код: Выделить всё

# net ads join -U Administrator
Administrator's password:
[2010/09/05 23:29:20, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers

Уберите из smb.conf строку

Код: Выделить всё

password server=...

Перестартуйте и снова попробуйте ввести в домен, можно через ключ -S <имя pdc>,
да и еще самба у вас должна быть скомпилирована с поддержкой и AD и LDAP...

[Sindikat88]

Не помогает. Все равно не пускает в домен

[snorlov]

Не помогает. Все равно не пускает в домен

Остается грешить на разрешение имен, в частности dns, hosts, ну и т.д., да и еще на файрволл, порты 137-139,445 на внутреннем интерфейсе открыты?...

[Sindikat88]

Не помогает. Все равно не пускает в домен

Остается грешить на разрешение имен, в частности dns, hosts, ну и т.д., да и еще на файрволл, порты 137-139,445 на внутреннем интерфейсе открыты?...

Порты открыты. Файрволл отключен. Где дальше копать, ума не приложу

[snorlov]

Не помогает. Все равно не пускает в домен

Остается грешить на разрешение имен, в частности dns, hosts, ну и т.д., да и еще на файрволл, порты 137-139,445 на внутреннем интерфейсе открыты?...

Порты открыты. Файрволл отключен. Где дальше копать, ума не приложу

Ну есть еще сам PDC, на нем тоже может быть файер... Фришка то с него пингуется?...

[Sindikat88]

Не помогает. Все равно не пускает в домен

Остается грешить на разрешение имен, в частности dns, hosts, ну и т.д., да и еще на файрволл, порты 137-139,445 на внутреннем интерфейсе открыты?...

Порты открыты. Файрволл отключен. Где дальше копать, ума не приложу

Ну есть еще сам PDC, на нем тоже может быть файер... Фришка то с него пингуется?...

На PDC файрволл отключен. Фришка с него пингуется. А на компе с Фри файрволл я пока никакой не ставил.

[Sindikat88]

И ещё такой нюанс: ac-construction.local это полное имя домена. При вводе Виндовых машин в домен я ввожу только ac-construction без .local

[snorlov]

И ещё такой нюанс: ac-construction.local это полное имя домена. При вводе Виндовых машин в домен я ввожу только ac-construction без .local

После ввода виндовых машин, какое имя они получают, закладка имя компьютера в свойствах компьютера, там есть полное имя компьютера и имя домена , так вот какие они там...

[Sindikat88]

И ещё такой нюанс: ac-construction.local это полное имя домена. При вводе Виндовых машин в домен я ввожу только ac-construction без .local

После ввода виндовых машин, какое имя они получают, закладка имя компьютера в свойствах компьютера, там есть полное имя компьютера и имя домена , так вот какие они там...

Полное имя: Biliy25.ac-construction.local где Biliy25 это имя компа
Домен: ac-construction.local