Обсуждение SQUID+SAMS with NTLM

[qwertykma]

У меня нет ограничения по трафику, но не всем разрешен доступ к Интернету. Я тех кому запрещено сделал - "отключен". А 1-ого числа - все стали активны, пришлось опять всех отключенных отключать. Это будет каждый месяц?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Cancer]

http_access deny all раскоменти

и по удаляй пользователей из самса которые не должны быть в инете.....
И тогда они хрен куда попадут, это точно

[qwertykma]

Я думал об этом. Так и сделаю если не найду другого решения.

[sc]

Добрый день!! Подскажите что нужно открыть в локальной сети чтобы проходило нормальная авторизация ад юзверей ,настраивал по этой статье.
Открываю на локальном интерфесе порт squid,ssl,самбу и кербиос .Авторизацию на прокси не прохожу - ошибка доступа.В логах winbind

Код: Выделить всё

mail# cat /var/log/samba/log.winbindd
[2009/08/04 11:50:22, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.35 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/08/04 11:50:22, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/08/04 11:53:51, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/08/04 11:59:15, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(519)
  group 0 in domain DOMAIN does not exist
[2009/08/04 12:45:44, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(519)
  group 0 in domain DOMAIN does not exist
[2009/08/04 13:45:00, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/08/04 13:45:00, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
[2009/08/04 13:45:00, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
  rpc_api_pipe: Remote machine server.DOMAIN.local pipe \lsarpc fnum 0x800dreturned critical error. Error was Read error: Connection reset by peer
[2009/08/04 13:45:00, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \lsarpc, fnum 0x800d to machine server.DOMAIN.local.  Error was Read error: Connection reset by peer
[2009/08/04 13:49:30, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/08/04 14:39:06, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.35 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/08/04 14:39:06, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/08/04 14:40:00, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/08/04 14:55:22, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2009/08/04 14:55:22, 1] libads/ldap.c:ads_find_dc(393)
  ads_find_dc: failed to find a valid DC on our site (Default-First-Site), trying to find another DC
[2009/08/04 14:55:26, 1] libads/ldap_utils.c:ads_do_search_retry_internal(87)
  ads_search_retry: failed to reconnect (No logon servers)
[2009/08/04 15:05:00, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/08/04 15:05:00, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
[2009/08/04 15:05:00, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
  rpc_api_pipe: Remote machine server.DOMAIN.local pipe \lsarpc fnum 0x800breturned critical error. Error was Read error: Connection reset by peer
[2009/08/04 15:05:00, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \lsarpc, fnum 0x800b to machine server.DOMAIN.local.  Error was Read error: Connection reset by peer

Если открыто все то самс показывает автаризованного пользователя.Подскажите если кто сталкивался.(исправил сори)

[Cancer]

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными. [/color][/b]

[sc]

И так разобрался немного не туда смотрел ,настроил нат как положено и все не каких проблем спасибо за этот топик .

[dreamond]

Народ хэлп плиз, биться с этой проблемой уже сил нет.
Ситуевина:
1-Есть: виндовая сеть типа 192.168.0.1-255, Интернеты раздает gate (192.168.0.1) на древнем ПК с 4й FreeBSD (помирает).
2-одноуровневый контроллер домена на win2000server (192.168.0.6) с названием (условным) ZZZ (тоже помирает).

В связи с древностью машин и их отвратительным состоянием было решено заново смастрячить домен и gate (+SQUID+NTLM+SAMS).

В той же сети был подняты:
1- домен на win2003 Ent Edt (192.168.0.9) с именем YYY.ZZZ.RU (т.е ZZZ в 2003 винде совпадает с ZZZ в 2000 винде) короткое имя YYY (контроллер домена пока 1, имя ему cd1)
2-FreeBSD 6.4-release установлено все по минимуму + KDE 3.5 (ip 192.168.0.2) имя машинки “kenny”, 2-ю сетевую карточку пока не запускал- предполагалась всех юзверей просто перевести на новый домен.
Т.е. в данном случае я хотел проверить до запуска на постоянку как SQUID+SAMS перехватят юзверей.


Ах да есть еще 1 нюанс: в инете в принципе есть наш сайт с именем http://www.zzz.ru но поддерживают его люди с комерч.площадки и мы этим не занимаемся,т.е какой либо связи с сайтом кроме инета нет. Возможно это и не важно.

Конфиги:

/etc/hosts

Код: Выделить всё

::1			localhost.yyy.local localhost
127.0.0.1		localhost.yyy.local localhost
192.168.0.2		kenny.yyy kenny
192.168.0.2		kenny.yyy
192.168.0.9		cd1.yyy

/etc/resolv.conf

Код: Выделить всё

domain	yyy.zzz.ru
nameserver	192.168.0.9

/usr/local/etc/smb.conf

Код: Выделить всё

 workgroup = YYY
   server string = SQUID Server
   security = ADS
   hosts allow = 192.168.0. 192.168.0. 127.
   load printers = yes
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = cd1.yyy.zzz.ru
   realm = YYY.ZZZ.RU
  interfaces = 192.168.0.2/255.255.255.0
   dns proxy = no 
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
netbios name = kenny
auth methods = winbind
winbind separator = -
winbind use default domain = no
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes

/etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = YYY.ZZZ.RU
	clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }

[realms]
	YYY.ZZZ.RU = {
                kdc = 192.168.0.9
                admin_server = 192.168.0.9
                kpasswd_server = 192.168.0.9

        }
[domain_realm]
        .domain.local = YYY.ZZZ.RU

/etc/nsswitch.conf

Код: Выделить всё

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files

листинг команд

kenny# pkg_info | grep samba

Код: Выделить всё

samba-3.0.36,1      A free SMB and CIFS client and server for UNIX
samba-libsmbclient-3.0.32_1 Shared libs from the samba package

kenny# kinit -p administrator

Код: Выделить всё

administrator@YYY.ZZZ.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

kenny# klist

Код: Выделить всё

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@YYY.ZZZ.RU

  Issued           Expires          Principal
Sep  8 11:51:56  Sep  8 21:51:56  krbtgt/YYY.ZZZ.RU@YYY.ZZZ.RU

kenny# testparm

Код: Выделить всё

Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        dos charset = cp866
        unix charset = koi8-r
        display charset = koi8-r
        workgroup = YYY
        realm = YYY.ZZZ.RU
        server string = SQUID Server
        interfaces = 192.168.0.2/255.255.255.0
        security = ADS
        auth methods = winbind
        password server = cd1.yyy.zzz.ru
        log file = /var/log/samba/log.%m
        max log size = 50
        dns proxy = No
        idmap uid = 10000-15000
        idmap gid = 10000-15000
        winbind separator = -
        winbind enum users = Yes
        winbind enum groups = Yes
        hosts allow = 192.168.0., 192.168.0., 127.

[homes]
        comment = Home Directories
        read only = No
        browseable = No

[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No

kenny# net ads join -U administrator

Код: Выделить всё

administrator@YYY.ZZZ.RU's password:
[2009/09/08 11:54:25, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: Invalid credentials

Вопрос: в чем косяк почему не могу подключить к домену машину?
PS пользователь administrator заведен в домене как администратор домена

[Cancer]

Попробуй так

Код: Выделить всё

net ads join -Uadministrator -W YYY.ZZZ

или попробовать добавить в smb.conf

Код: Выделить всё

workgroup = YYY.ZZZ

[qwertykma]

IMHO дело в том что домен w2k мастер операций там сервер с w2k, а Вы авторизуетесь на w2k3 сервере, пробовали авторизоваться на сервере с w2k?

[Zhan]

Для начала надо ведь разобраться с доменом!!!
У вас еще не помер контролер 2k.
Значит нужно грамотно перевести весь домен на новую тачку
Соответственно:
1) ввести сервер с 2k3 в домен
2) сделать захват ролей новым сервером
3) перевести домен в режим 2003
4) удалить старый контролер домена.

По поводу всего этого инфы в гугле много...

А уже потом вводите машину с freebsd в домен...

P.S. если возникнут вопросы могу ткнуть конкретно в ссылки... Сам связку пробовал... но после ISA 2006 - она кажется IMXO "реально убогой" .

[qwertykma]

P.S. если возникнут вопросы могу ткнуть конкретно в ссылки... Сам связку пробовал... но после ISA 2006 - она кажется IMXO "реально убогой" .

В чем убогость?

[Zhan]

В чем убогость?

А Вы пользовали ISA Server?
Если да - то Ваш вопрос отпадает...
И вообще "убогость" связки обсуждаемой в этой теме - это лично мое мнение. Возможно оно кардинально разнится с Вашим IMXO

[qwertykma]

да, пробовал. могу сказать что по безопасности, по фильтрации трафика, по защите от внешних атак, по скорости использования, freeBSD+squid - даст 100 очков isa. Удобство использования - то же спорный вопрос, у меня много знакомых которые предпочитают команд промпт GUI. Так-что Ваше заявление более чем спорно, и отражает только Ваше IMHO.

[Zhan]

Так-что Ваше заявление более чем спорно, и отражает только Ваше IMHO.

я и подчеркнул это в посте - в котором упомянул о убогости...

и все же:
данная связка не есть полное решение! не решены вопросы проброса портов, нужно отдельное решение. далее всех надо заводить на прокси на определенный порт (опять же лишние напряги), квотирование тоже неточное! ибо по расписанию проверяет раз в минуту, если ставить чаще то отваливается процесс, за 1 мин на хорошем канале можно немало качнуть

по поводу ISA server - я не говорю, что это идеал. но для домена поднятом на Windows - это наиболее идеальное решение! в нем собрано все что нужно для организации доступа в инет! организации VPN... квотирование ... да что там говорить Вы же юзали - сами знаете.

По поводу быстродействия и безопасности - не замечал каких либо опасностей и тормозов за ISA.
А вообще на вкус и цвет фломастеров нет!

[arkan]

Zhan
Покажи свой IP внешний где стоит хваленая ISA
мы потеттим и поиграемся тут немножко

[dreamond]

Для начала надо ведь разобраться с доменом!!!
У вас еще не помер контролер 2k.
Значит нужно грамотно перевести весь домен на новую тачку
Соответственно:
1) ввести сервер с 2k3 в домен
2) сделать захват ролей новым сервером
3) перевести домен в режим 2003
4) удалить старый контролер домена.

По поводу всего этого инфы в гугле много...

А уже потом вводите машину с freebsd в домен...

P.S. если возникнут вопросы могу ткнуть конкретно в ссылки... Сам связку пробовал... но после ISA 2006 - она кажется IMXO "реально убогой" .

перенос w2k не вариант потому как уже пробовали - неудачно из-за криво поднятой DNS на не+ переносить весь тот мусор и анархию среди пользователей не самая удачная идея по моему мнению (ИМХО проще заново сделать чем переделывать), но сама идея удаления старого домена понятна

IMHO дело в том что домен w2k мастер операций там сервер с w2k, а Вы авторизуетесь на w2k3 сервере, пробовали авторизоваться на сервере с w2k?

подразумеваешь что они в одном лесу? нет это 2 разных леса и поэтому говорить о том что мастер операций в лесу и домене ZZZ влияет на домен и лес YYY.ZZZ.RU по моему мнению не правомочно, но опять же идея о том что старый домен как то влияет на связь с новым опять же понятна

Попробуй так

Код: Выделить всё

net ads join -Uadministrator -W YYY.ZZZ

или попробовать добавить в smb.conf

Код: Выделить всё

workgroup = YYY.ZZZ

и при старой workgroup и при измененной и при отключенном старом КД таже самая ошибка что и в первом посте
перенастроил и попытался подключиться к старом домену аналогично

Код: Выделить всё

 libads/sasl.c:ads_sasl_spnego_bind(330)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: Invalid credentials

+ к этому после изменения имени воркгруп в log.nmbd пишется

Код: Выделить всё

name_to_nstring: workgroup name YYY.ZZZ.RU is too long. Truncating to YYY.ZZ

т.е он урезает имя

и еще одна мысля- winbind служба к-я по идее "читает" группы юзеров и их самих и вообще принимает достаточно активное участие во взаимодействии между freeBSВ и Win , посмотрел логи (из пути прописанного в smb.conf) и мне отчего то кажется что у меня там косяки

log.smdb

Код: Выделить всё

[2009/09/08 16:30:23, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2009/09/08 16:44:16, 0] smbd/server.c:main(942)
  smbd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:44:17, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2009/09/08 16:49:08, 0] smbd/server.c:main(942)
  smbd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:49:08, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2009/09/08 16:58:07, 0] smbd/server.c:main(942)
  smbd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:58:07, 0] printing/nt_printing.c:nt_printing_init(659)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED

log.wb-YYY

Код: Выделить всё

[2009/09/08 15:54:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 15:59:52, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:05:00, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:06:47, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:12:00, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:26:14, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:30:23, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:35:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:44:17, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password

log.winbind

Код: Выделить всё

[2009/09/08 16:33:00, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/09/08 16:35:30, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/09/08 16:40:30, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/09/08 16:44:16, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:44:16, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/09/08 16:44:17, 1] nsswitch/winbindd_util.c:trustdom_recv(230)
  Could not receive trustdoms
[2009/09/08 16:44:58, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain YYY failed: Cannot read password
[2009/09/08 16:44:58, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/09/08 16:49:08, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:49:08, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/09/08 16:49:08, 0] nsswitch/winbindd_util.c:init_domain_list(506)
  Could not fetch our SID - did we join?
[2009/09/08 16:49:08, 0] nsswitch/winbindd.c:main(1120)
  unable to initalize domain list
[2009/09/08 16:58:07, 1] nsswitch/winbindd.c:main(1019)
  winbindd version 3.0.36 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/09/08 16:58:07, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2009/09/08 16:58:07, 0] nsswitch/winbindd_util.c:init_domain_list(506)
  Could not fetch our SID - did we join?
[2009/09/08 16:58:07, 0] nsswitch/winbindd.c:main(1120)
  unable to initalize domain list

log.winbind-dc-connect

Код: Выделить всё

[2009/09/08 11:21:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:26:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:26:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:31:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:31:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:36:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:36:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:41:44, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply
[2009/09/08 11:41:52, 1] libads/cldap.c:recv_cldap_netlogon(247)
  Failed to parse cldap reply

log.winbind-idmap

Код: Выделить всё

[2009/09/08 16:30:23, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains
[2009/09/08 16:44:17, 1] nsswitch/idmap.c:idmap_init(377)
  Initializing idmap domains

[Cancer]

попробуй в smb.conf

Код: Выделить всё

workgroup = YYY

и

Код: Выделить всё

net ads join -Uadministrator -W YYY.ZZZ

[arkan]

Может у вас там добавочный контроллер стоит ?
а то помнится я немало поматерился с вводом в AD

[snorlov]

:

посмотрите файл hosts там

Код: Выделить всё

192.168.0.9 cd1.yyy

а должно быть

Код: Выделить всё

192.168.0.9  cd1.yyy.zzz.ru

либо измените smb.conf

Код: Выделить всё

password server =192.168.0.9

При установке самбы наверняка ставился openldap, так вот рекомендую, если установилась версия 2.4.*, удалить ее и поставить 2.3.*.
Ну и напоследок, можно w2k3 и не вводить в домен w2k, можно просто смигрировать из одного домена(леса) в другой через утилиту ADMT, но это в другой форум...

[Zhan]

2 dreamond

сравнил со своими конфигами (у меня файлсервер на самбе с авторизацией в w2k3)

попробуйте сделать так:

в smb.conf

Код: Выделить всё

auth methods = winbind
winbind use default domain = yes

в krb5.conf

Код: Выделить всё

[domain_realm]
        .yyy.zzz.ru = YYY.ZZZ.RU
         yyy.zzz.ru = YYY.ZZZ.RU

Покажите вывод команд
wbinfo -u
wbinfo -g
если вы грешите на winbind - то так его можно проверить.
но мне кажется что дело в krb5.conf

[qwertykma]

подразумеваешь что они в одном лесу? нет это 2 разных леса и поэтому говорить о том что мастер операций в лесу и домене ZZZ влияет на домен и лес YYY.ZZZ.RU по моему мнению не правомочно, но опять же идея о том что старый домен как то влияет на связь с новым опять же понятна

Насколько я помню для netbios ZZZ.RU и ZZZ - одно и то-же. т.е. YYY.ZZZ.RU - пддомен ZZZ.

[dreamond]

2 dreamond

сравнил со своими конфигами (у меня файлсервер на самбе с авторизацией в w2k3)

попробуйте сделать так:

в smb.conf

Код: Выделить всё

auth methods = winbind
winbind use default domain = yes

в krb5.conf

Код: Выделить всё

[domain_realm]
        .yyy.zzz.ru = YYY.ZZZ.RU
         yyy.zzz.ru = YYY.ZZZ.RU

Покажите вывод команд
wbinfo -u
wbinfo -g
если вы грешите на winbind - то так его можно проверить.
но мне кажется что дело в krb5.conf

поправил как говорили

Код: Выделить всё

kenny# wbinfo -u
Error looking up domain users
kenny# wbinfo -g
BUILTIN-administrators
BUILTIN-users

и

Код: Выделить всё

kenny# net ads join -U administrator
administrator's password:(ввожу пароль)
[2009/09/09 18:38:30, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Access denied

[Zhan]

Опять вернулся к вашему первому посту.
И что то не могу разобраться в ваших доменах.
Представим ситуацию без вашего старого домена. тогда получается домен yyy.zzz.ru.
а в /etc/hosts у вас:

Код: Выделить всё

::1         localhost.yyy.local localhost
127.0.0.1      localhost.yyy.local localhost
192.168.0.2      kenny.yyy kenny
192.168.0.2      kenny.yyy
192.168.0.9      cd1.yyy

тогда по вашему получается у меня к примеру домен XXX.KZ и машины в нем pc1.xxx.kz а никак не pc1.xxx
хоть и короткое имя моего домена XXX
По моему тут и зарыта пресловутая собака! на вашем контролере домена ведь резолвятся полные имена машин!
в конфиге самбы у вас:

Код: Выделить всё

password server = cd1.yyy.zzz.ru

почему то полное имя, а в /etc/hosts короткое.

Короче вывод: приведите все имена доменов и машин в конфигах к полному имени то есть cd1.yyy.zzz.ru и kenny.yyy.zzz.ru
WORKGROUP в конфе самбы оставляем YYY

дальше секцию в krb5.conf приведите к

Код: Выделить всё

[realms]
   YYY.ZZZ.RU = {
                kdc = cd1.yyy.zzz.ru:88
                admin_server = cd1.yyy.zzz.ru:749
                default_domain = yyy.zzz.ru

        }

Если не получится, выложите еще раз уже переделанные конфиги.

[snorlov]

Код: Выделить всё

kenny# net ads join -U administrator
administrator's password:(ввожу пароль)
[2009/09/09 18:38:30, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Access denied

Начни сначала, ты билет получаешь от w2k3 или нет, приведи uname -a и kinit -p <администратор домена>

[dreamond]

Опять вернулся к вашему первому посту.
И что то не могу разобраться в ваших доменах.
Представим ситуацию без вашего старого домена. тогда получается домен yyy.zzz.ru.
а в /etc/hosts у вас:

Код: Выделить всё

::1         localhost.yyy.local localhost
127.0.0.1      localhost.yyy.local localhost
192.168.0.2      kenny.yyy kenny
192.168.0.2      kenny.yyy
192.168.0.9      cd1.yyy

тогда по вашему получается у меня к примеру домен XXX.KZ и машины в нем pc1.xxx.kz а никак не pc1.xxx
хоть и короткое имя моего домена XXX
По моему тут и зарыта пресловутая собака! на вашем контролере домена ведь резолвятся полные имена машин!
в конфиге самбы у вас:

Код: Выделить всё

password server = cd1.yyy.zzz.ru

почему то полное имя, а в /etc/hosts короткое.

Короче вывод: приведите все имена доменов и машин в конфигах к полному имени то есть cd1.yyy.zzz.ru и kenny.yyy.zzz.ru
WORKGROUP в конфе самбы оставляем YYY

Забьем на старый домен (инфу про него я привел на всякий случай) я и сам считаю что он ни причем. Итак есть домен YYY.ZZZ.RU в нем 1 контроллер с именем cd1.YYY.ZZZ.RU с IP 192.168.0.9. Машина к-ю надо ввести в домен ( с к-й проблемы) имеет имя kenny (полное имя в sysinstall я указывал как kenny.yyy.zzz.ru) Ip 192.168.0.2

как тогда должен выглядеть /etc/hosts у меня?

PS

Код: Выделить всё

kenny# net ads join -U administrator
administrator's password:(ввожу пароль)
[2009/09/09 18:38:30, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Access denied

Начни сначала, ты билет получаешь от w2k3 или нет, приведи uname -a и kinit -p <администратор домена>

билет нормально получаю
PS2 сегодня выходной завтра выложу все конфиги и листинг команд