Обсуждение SQUID+SAMS with NTLM

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-08-04 10:05:38

У меня нет ограничения по трафику, но не всем разрешен доступ к Интернету. Я тех кому запрещено сделал - "отключен". А 1-ого числа - все стали активны, пришлось опять всех отключенных отключать. Это будет каждый месяц?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Cancer » 2009-08-04 10:21:02

http_access deny all раскоменти

и по удаляй пользователей из самса которые не должны быть в инете.....
И тогда они хрен куда попадут, это точно =)

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-08-04 10:34:05

8) Я думал об этом. Так и сделаю если не найду другого решения.

sc
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-08-04 15:11:30
Откуда: Коломна
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение sc » 2009-08-04 15:27:07

Добрый день!! Подскажите что нужно открыть в локальной сети чтобы проходило нормальная авторизация ад юзверей ,настраивал по этой статье.
Открываю на локальном интерфесе порт squid,ssl,самбу и кербиос .Авторизацию на прокси не прохожу - ошибка доступа.В логах winbind

Код: Выделить всё

mail# cat /var/log/samba/log.winbindd
[2009/08/04 11:50:22, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.35 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/08/04 11:50:22, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/08/04 11:53:51, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/08/04 11:59:15, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(519)
  group 0 in domain DOMAIN does not exist
[2009/08/04 12:45:44, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(519)
  group 0 in domain DOMAIN does not exist
[2009/08/04 13:45:00, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/08/04 13:45:00, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
[2009/08/04 13:45:00, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
  rpc_api_pipe: Remote machine server.DOMAIN.local pipe \lsarpc fnum 0x800dreturned critical error. Error was Read error: Connection reset by peer
[2009/08/04 13:45:00, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \lsarpc, fnum 0x800d to machine server.DOMAIN.local.  Error was Read error: Connection reset by peer
[2009/08/04 13:49:30, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/08/04 14:39:06, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.35 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/08/04 14:39:06, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/08/04 14:40:00, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/08/04 14:55:22, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2009/08/04 14:55:22, 1] libads/ldap.c:ads_find_dc(393)
  ads_find_dc: failed to find a valid DC on our site (Default-First-Site), trying to find another DC
[2009/08/04 14:55:26, 1] libads/ldap_utils.c:ads_do_search_retry_internal(87)
  ads_search_retry: failed to reconnect (No logon servers)
[2009/08/04 15:05:00, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/08/04 15:05:00, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
[2009/08/04 15:05:00, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
  rpc_api_pipe: Remote machine server.DOMAIN.local pipe \lsarpc fnum 0x800breturned critical error. Error was Read error: Connection reset by peer
[2009/08/04 15:05:00, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \lsarpc, fnum 0x800b to machine server.DOMAIN.local.  Error was Read error: Connection reset by peer
Если открыто все то самс показывает автаризованного пользователя.Подскажите если кто сталкивался.(исправил сори)
Последний раз редактировалось sc 2009-08-04 15:48:41, всего редактировалось 2 раза.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Cancer » 2009-08-04 15:29:18

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными. [/color][/b]

sc
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-08-04 15:11:30
Откуда: Коломна
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение sc » 2009-08-04 18:18:23

И так разобрался немного не туда смотрел ,настроил нат как положено и все не каких проблем спасибо :drinks: за этот топик .

dreamond
рядовой
Сообщения: 26
Зарегистрирован: 2009-09-04 19:39:13
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение dreamond » 2009-09-08 12:24:21

Народ хэлп плиз, биться с этой проблемой уже сил нет.
Ситуевина:
1-Есть: виндовая сеть типа 192.168.0.1-255, Интернеты раздает gate (192.168.0.1) на древнем ПК с 4й FreeBSD (помирает).
2-одноуровневый контроллер домена на win2000server (192.168.0.6) с названием (условным) ZZZ (тоже помирает).

В связи с древностью машин и их отвратительным состоянием было решено заново смастрячить домен и gate (+SQUID+NTLM+SAMS).

В той же сети был подняты:
1- домен на win2003 Ent Edt (192.168.0.9) с именем YYY.ZZZ.RU (т.е ZZZ в 2003 винде совпадает с ZZZ в 2000 винде) короткое имя YYY (контроллер домена пока 1, имя ему cd1)
2-FreeBSD 6.4-release установлено все по минимуму + KDE 3.5 (ip 192.168.0.2) имя машинки “kenny”, 2-ю сетевую карточку пока не запускал- предполагалась всех юзверей просто перевести на новый домен.
Т.е. в данном случае я хотел проверить до запуска на постоянку как SQUID+SAMS перехватят юзверей.


Ах да есть еще 1 нюанс: в инете в принципе есть наш сайт с именем http://www.zzz.ru но поддерживают его люди с комерч.площадки и мы этим не занимаемся,т.е какой либо связи с сайтом кроме инета нет. Возможно это и не важно.

Конфиги:

/etc/hosts

Код: Выделить всё

::1			localhost.yyy.local localhost
127.0.0.1		localhost.yyy.local localhost
192.168.0.2		kenny.yyy kenny
192.168.0.2		kenny.yyy
192.168.0.9		cd1.yyy

/etc/resolv.conf

Код: Выделить всё

domain	yyy.zzz.ru
nameserver	192.168.0.9
/usr/local/etc/smb.conf

Код: Выделить всё

 workgroup = YYY
   server string = SQUID Server
   security = ADS
   hosts allow = 192.168.0. 192.168.0. 127.
   load printers = yes
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = cd1.yyy.zzz.ru
   realm = YYY.ZZZ.RU
  interfaces = 192.168.0.2/255.255.255.0
   dns proxy = no 
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
netbios name = kenny
auth methods = winbind
winbind separator = -
winbind use default domain = no
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes

/etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = YYY.ZZZ.RU
	clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
	YYY.ZZZ.RU = {
                kdc = 192.168.0.9
                admin_server = 192.168.0.9
                kpasswd_server = 192.168.0.9

        }
[domain_realm]
        .domain.local = YYY.ZZZ.RU


/etc/nsswitch.conf

Код: Выделить всё

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files


листинг команд

kenny# pkg_info | grep samba

Код: Выделить всё

samba-3.0.36,1      A free SMB and CIFS client and server for UNIX
samba-libsmbclient-3.0.32_1 Shared libs from the samba package

kenny# kinit -p administrator

Код: Выделить всё

administrator@YYY.ZZZ.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
kenny# klist

Код: Выделить всё

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@YYY.ZZZ.RU

  Issued           Expires          Principal
Sep  8 11:51:56  Sep  8 21:51:56  krbtgt/YYY.ZZZ.RU@YYY.ZZZ.RU
kenny# testparm

Код: Выделить всё

Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = YYY
        realm = YYY.ZZZ.RU
        server string = SQUID Server
        interfaces = 192.168.0.2/255.255.255.0
        security = ADS
        auth methods = winbind
        password server = cd1.yyy.zzz.ru
        log file = /var/log/samba/log.%m
        max log size = 50
        dns proxy = No
        idmap uid = 10000-15000
        idmap gid = 10000-15000
        winbind separator = -
        winbind enum users = Yes
        winbind enum groups = Yes
        hosts allow = 192.168.0., 192.168.0., 127.

[homes]
        comment = Home Directories
        read only = No
        browseable = No

[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No
kenny# net ads join -U administrator

Код: Выделить всё

administrator@YYY.ZZZ.RU's password:
[2009/09/08 11:54:25, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: Invalid credentials

Вопрос: в чем косяк почему не могу подключить к домену машину?
PS пользователь administrator заведен в домене как администратор домена

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Cancer » 2009-09-08 12:33:24

Попробуй так

Код: Выделить всё

net ads join -Uadministrator -W YYY.ZZZ
или попробовать добавить в smb.conf

Код: Выделить всё

workgroup = YYY.ZZZ

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-09-08 12:35:14

IMHO дело в том что домен w2k мастер операций там сервер с w2k, а Вы авторизуетесь на w2k3 сервере, пробовали авторизоваться на сервере с w2k?

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Zhan » 2009-09-08 12:48:08

Для начала надо ведь разобраться с доменом!!! :evil:
У вас еще не помер контролер 2k.
Значит нужно грамотно перевести весь домен на новую тачку
Соответственно:
1) ввести сервер с 2k3 в домен
2) сделать захват ролей новым сервером
3) перевести домен в режим 2003
4) удалить старый контролер домена.

По поводу всего этого инфы в гугле много...

А уже потом вводите машину с freebsd в домен...

P.S. если возникнут вопросы могу ткнуть конкретно в ссылки... Сам связку пробовал... но после ISA 2006 - она кажется IMXO "реально убогой" :st: .
Знания, которые не пополняются ежедневно, убывают с каждым днем.

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-09-08 13:31:09

Zhan писал(а): P.S. если возникнут вопросы могу ткнуть конкретно в ссылки... Сам связку пробовал... но после ISA 2006 - она кажется IMXO "реально убогой" :st: .
В чем убогость?

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Zhan » 2009-09-08 13:35:00

qwertykma писал(а): В чем убогость?
А Вы пользовали ISA Server?
Если да - то Ваш вопрос отпадает...
И вообще "убогость" связки обсуждаемой в этой теме - это лично мое мнение. Возможно оно кардинально разнится с Вашим IMXO
Знания, которые не пополняются ежедневно, убывают с каждым днем.

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-09-08 13:44:33

да, пробовал. :smile: могу сказать что по безопасности, по фильтрации трафика, по защите от внешних атак, по скорости использования, freeBSD+squid - даст 100 очков isa. Удобство использования - то же спорный вопрос, у меня много знакомых которые предпочитают команд промпт GUI. Так-что Ваше заявление более чем спорно, и отражает только Ваше IMHO.

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Zhan » 2009-09-08 13:54:02

qwertykma писал(а): Так-что Ваше заявление более чем спорно, и отражает только Ваше IMHO.
я и подчеркнул это в посте - в котором упомянул о убогости...

и все же:
данная связка не есть полное решение! не решены вопросы проброса портов, нужно отдельное решение. далее всех надо заводить на прокси на определенный порт (опять же лишние напряги), квотирование тоже неточное! ибо по расписанию проверяет раз в минуту, если ставить чаще то отваливается процесс, за 1 мин на хорошем канале можно немало качнуть :-D

по поводу ISA server - я не говорю, что это идеал. но для домена поднятом на Windows - это наиболее идеальное решение! в нем собрано все что нужно для организации доступа в инет! организации VPN... квотирование ... да что там говорить Вы же юзали - сами знаете.

По поводу быстродействия и безопасности - не замечал каких либо опасностей и тормозов за ISA. :(
А вообще на вкус и цвет фломастеров нет! :smile:
Знания, которые не пополняются ежедневно, убывают с каждым днем.

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение arkan » 2009-09-08 15:55:26

Zhan
Покажи свой IP внешний где стоит хваленая ISA
мы потеттим и поиграемся тут немножко

dreamond
рядовой
Сообщения: 26
Зарегистрирован: 2009-09-04 19:39:13
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение dreamond » 2009-09-08 16:25:23

:idea:
Zhan писал(а):Для начала надо ведь разобраться с доменом!!! :evil:
У вас еще не помер контролер 2k.
Значит нужно грамотно перевести весь домен на новую тачку
Соответственно:
1) ввести сервер с 2k3 в домен
2) сделать захват ролей новым сервером
3) перевести домен в режим 2003
4) удалить старый контролер домена.

По поводу всего этого инфы в гугле много...

А уже потом вводите машину с freebsd в домен...

P.S. если возникнут вопросы могу ткнуть конкретно в ссылки... Сам связку пробовал... но после ISA 2006 - она кажется IMXO "реально убогой" :st: .
перенос w2k не вариант потому как уже пробовали - неудачно из-за криво поднятой DNS на не+ переносить весь тот мусор и анархию среди пользователей не самая удачная идея по моему мнению (ИМХО проще заново сделать чем переделывать), но сама идея удаления старого домена понятна
qwertykma писал(а):IMHO дело в том что домен w2k мастер операций там сервер с w2k, а Вы авторизуетесь на w2k3 сервере, пробовали авторизоваться на сервере с w2k?
подразумеваешь что они в одном лесу? нет это 2 разных леса и поэтому говорить о том что мастер операций в лесу и домене ZZZ влияет на домен и лес YYY.ZZZ.RU по моему мнению не правомочно, но опять же идея о том что старый домен как то влияет на связь с новым опять же понятна :)
Cancer писал(а):Попробуй так

Код: Выделить всё

net ads join -Uadministrator -W YYY.ZZZ
или попробовать добавить в smb.conf

Код: Выделить всё

workgroup = YYY.ZZZ
и при старой workgroup и при измененной и при отключенном старом КД таже самая ошибка что и в первом посте
перенастроил и попытался подключиться к старом домену аналогично

Код: Выделить всё

 libads/sasl.c:ads_sasl_spnego_bind(330)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: Invalid credentials

+ к этому после изменения имени воркгруп в log.nmbd пишется

Код: Выделить всё

name_to_nstring: workgroup name YYY.ZZZ.RU is too long. Truncating to YYY.ZZ

т.е он урезает имя

и еще одна мысля- winbind служба к-я по идее "читает" группы юзеров и их самих и вообще принимает достаточно активное участие во взаимодействии между freeBSВ и Win , посмотрел логи (из пути прописанного в smb.conf) и мне отчего то кажется что у меня там косяки :idea:

log.smdb

Код: Выделить всё

[2009/09/08 16:30:23, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2009/09/08 16:44:16, 0] smbd/server.c:main(942)
  smbd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:44:17, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2009/09/08 16:49:08, 0] smbd/server.c:main(942)
  smbd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:49:08, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2009/09/08 16:58:07, 0] smbd/server.c:main(942)
  smbd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:58:07, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
log.wb-YYY

Код: Выделить всё

[2009/09/08 15:54:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 15:59:52, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:05:00, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:06:47, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:12:00, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:26:14, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:30:23, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:35:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:44:17, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password

log.winbind

Код: Выделить всё

[2009/09/08 16:33:00, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/09/08 16:35:30, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/09/08 16:40:30, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/09/08 16:44:16, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:44:16, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/09/08 16:44:17, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/09/08 16:44:58, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:44:58, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/09/08 16:49:08, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:49:08, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/09/08 16:49:08, 0] nsswitch/winbindd_util.c:init_domain_list(506)
  Could not fetch our SID - did we join?
[2009/09/08 16:49:08, 0] nsswitch/winbindd.c:main(1120)
  unable to initalize domain list
[2009/09/08 16:58:07, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:58:07, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/09/08 16:58:07, 0] nsswitch/winbindd_util.c:init_domain_list(506)
  Could not fetch our SID - did we join?
[2009/09/08 16:58:07, 0] nsswitch/winbindd.c:main(1120)
  unable to initalize domain list
log.winbind-dc-connect

Код: Выделить всё

[2009/09/08 11:21:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:26:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:26:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:31:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:31:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:36:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:36:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:41:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:41:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply

log.winbind-idmap

Код: Выделить всё

[2009/09/08 16:30:23, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/09/08 16:44:17, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Cancer » 2009-09-08 17:03:10

попробуй в smb.conf

Код: Выделить всё

workgroup = YYY
и

Код: Выделить всё

net ads join -Uadministrator -W YYY.ZZZ

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение arkan » 2009-09-08 18:04:52

Может у вас там добавочный контроллер стоит ?
а то помнится я немало поматерился с вводом в AD

snorlov
подполковник
Сообщения: 3812
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение snorlov » 2009-09-08 18:43:36

dreamond писал(а)::
посмотрите файл hosts там

Код: Выделить всё

192.168.0.9 cd1.yyy
а должно быть

Код: Выделить всё

192.168.0.9  cd1.yyy.zzz.ru
либо измените smb.conf

Код: Выделить всё

password server =192.168.0.9
При установке самбы наверняка ставился openldap, так вот рекомендую, если установилась версия 2.4.*, удалить ее и поставить 2.3.*.
Ну и напоследок, можно w2k3 и не вводить в домен w2k, можно просто смигрировать из одного домена(леса) в другой через утилиту ADMT, но это в другой форум...

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Zhan » 2009-09-09 7:15:46

2 dreamond

сравнил со своими конфигами (у меня файлсервер на самбе с авторизацией в w2k3)

попробуйте сделать так:

в smb.conf

Код: Выделить всё

auth methods = winbind
winbind use default domain = yes


в krb5.conf

Код: Выделить всё

[domain_realm]
        .yyy.zzz.ru = YYY.ZZZ.RU
         yyy.zzz.ru = YYY.ZZZ.RU
Покажите вывод команд
wbinfo -u
wbinfo -g
если вы грешите на winbind - то так его можно проверить.
но мне кажется что дело в krb5.conf 8)
Знания, которые не пополняются ежедневно, убывают с каждым днем.

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-09-09 7:56:12

dreamond писал(а): подразумеваешь что они в одном лесу? нет это 2 разных леса и поэтому говорить о том что мастер операций в лесу и домене ZZZ влияет на домен и лес YYY.ZZZ.RU по моему мнению не правомочно, но опять же идея о том что старый домен как то влияет на связь с новым опять же понятна :)
Насколько я помню для netbios ZZZ.RU и ZZZ - одно и то-же. т.е. YYY.ZZZ.RU - пддомен ZZZ.

dreamond
рядовой
Сообщения: 26
Зарегистрирован: 2009-09-04 19:39:13
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение dreamond » 2009-09-09 16:40:18

Zhan писал(а):2 dreamond

сравнил со своими конфигами (у меня файлсервер на самбе с авторизацией в w2k3)

попробуйте сделать так:

в smb.conf

Код: Выделить всё

auth methods = winbind
winbind use default domain = yes


в krb5.conf

Код: Выделить всё

[domain_realm]
        .yyy.zzz.ru = YYY.ZZZ.RU
         yyy.zzz.ru = YYY.ZZZ.RU
Покажите вывод команд
wbinfo -u
wbinfo -g
если вы грешите на winbind - то так его можно проверить.
но мне кажется что дело в krb5.conf 8)


поправил как говорили

Код: Выделить всё

kenny# wbinfo -u
Error looking up domain users
kenny# wbinfo -g
BUILTIN-administrators
BUILTIN-users

и

Код: Выделить всё

kenny# net ads join -U administrator
administrator's password:(ввожу пароль)
[2009/09/09 18:38:30, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Access denied

Аватара пользователя
Zhan
рядовой
Сообщения: 47
Зарегистрирован: 2008-04-14 13:42:09
Откуда: Almaty
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Zhan » 2009-09-10 7:18:56

Опять вернулся к вашему первому посту.
И что то не могу разобраться в ваших доменах.
Представим ситуацию без вашего старого домена. тогда получается домен yyy.zzz.ru.
а в /etc/hosts у вас:

Код: Выделить всё

::1         localhost.yyy.local localhost
127.0.0.1      localhost.yyy.local localhost
192.168.0.2      kenny.yyy kenny
192.168.0.2      kenny.yyy
192.168.0.9      cd1.yyy
тогда по вашему получается у меня к примеру домен XXX.KZ и машины в нем pc1.xxx.kz а никак не pc1.xxx
хоть и короткое имя моего домена XXX
По моему тут и зарыта пресловутая собака! на вашем контролере домена ведь резолвятся полные имена машин!
в конфиге самбы у вас:

Код: Выделить всё

password server = cd1.yyy.zzz.ru
почему то полное имя, а в /etc/hosts короткое.

Короче вывод: приведите все имена доменов и машин в конфигах к полному имени то есть cd1.yyy.zzz.ru и kenny.yyy.zzz.ru
WORKGROUP в конфе самбы оставляем YYY

дальше секцию в krb5.conf приведите к

Код: Выделить всё

[realms]
   YYY.ZZZ.RU = {
                kdc = cd1.yyy.zzz.ru:88
                admin_server = cd1.yyy.zzz.ru:749
                default_domain = yyy.zzz.ru

        }
Если не получится, выложите еще раз уже переделанные конфиги.
Знания, которые не пополняются ежедневно, убывают с каждым днем.

snorlov
подполковник
Сообщения: 3812
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение snorlov » 2009-09-10 7:49:44

dreamond писал(а):

Код: Выделить всё

kenny# net ads join -U administrator
administrator's password:(ввожу пароль)
[2009/09/09 18:38:30, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Access denied
Начни сначала, ты билет получаешь от w2k3 или нет, приведи uname -a и kinit -p <администратор домена>

dreamond
рядовой
Сообщения: 26
Зарегистрирован: 2009-09-04 19:39:13
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение dreamond » 2009-09-10 11:41:36

Zhan писал(а):Опять вернулся к вашему первому посту.
И что то не могу разобраться в ваших доменах.
Представим ситуацию без вашего старого домена. тогда получается домен yyy.zzz.ru.
а в /etc/hosts у вас:

Код: Выделить всё

::1         localhost.yyy.local localhost
127.0.0.1      localhost.yyy.local localhost
192.168.0.2      kenny.yyy kenny
192.168.0.2      kenny.yyy
192.168.0.9      cd1.yyy
тогда по вашему получается у меня к примеру домен XXX.KZ и машины в нем pc1.xxx.kz а никак не pc1.xxx
хоть и короткое имя моего домена XXX
По моему тут и зарыта пресловутая собака! на вашем контролере домена ведь резолвятся полные имена машин!
в конфиге самбы у вас:

Код: Выделить всё

password server = cd1.yyy.zzz.ru
почему то полное имя, а в /etc/hosts короткое.

Короче вывод: приведите все имена доменов и машин в конфигах к полному имени то есть cd1.yyy.zzz.ru и kenny.yyy.zzz.ru
WORKGROUP в конфе самбы оставляем YYY
Забьем на старый домен (инфу про него я привел на всякий случай) я и сам считаю что он ни причем. Итак есть домен YYY.ZZZ.RU в нем 1 контроллер с именем cd1.YYY.ZZZ.RU с IP 192.168.0.9. Машина к-ю надо ввести в домен ( с к-й проблемы) имеет имя kenny (полное имя в sysinstall я указывал как kenny.yyy.zzz.ru) Ip 192.168.0.2

как тогда должен выглядеть /etc/hosts у меня?

PS
snorlov писал(а):
dreamond писал(а):

Код: Выделить всё

kenny# net ads join -U administrator
administrator's password:(ввожу пароль)
[2009/09/09 18:38:30, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Access denied
Начни сначала, ты билет получаешь от w2k3 или нет, приведи uname -a и kinit -p <администратор домена>
билет нормально получаю
PS2 сегодня выходной завтра выложу все конфиги и листинг команд