Samba + AD - No Logon Servers

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Klayman
проходил мимо

Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-03 8:15:23

погуглил все темы тут, не помогает ничего.

Код: Выделить всё

komp# kinit
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Код: Выделить всё

komp# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: marin_aa@TMIR.LOCAL

  Issued           Expires          Principal
Apr  3 11:03:36  Apr  3 21:03:36  krbtgt/TMIR.LOCAL@TMIR.LOCAL

Код: Выделить всё

komp# net ads testjoin
[2009/04/03 10:56:31,  0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Join to domain is not valid: No logon servers

Код: Выделить всё

komp# net ads join -U marin_aa
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE
мой krb5.conf:

Код: Выделить всё

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AFRODITA.TMIR.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
TMIR.LOCAL = {
kdc = 192.168.111.249
admin_server = 192.168.111.249
kpasswd_server = 192.168.111.249
}

[domain_realm]
.afrodita.tmir.local = AFRODITA.TMIR.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
мой smb.conf:

Код: Выделить всё

#GLOBAL PARAMETERS
[global]
   workgroup = AFRODITA.TMIR.LOCAL
   realm = AFRODITA.TMIR.LOCAL
   preferred master = no
   server string = IT-06
   security = ADS
   hosts allow = 192.168.111.0/24 127.0.0.1
   interfaces = 192.168.111.68
   encrypt passwords = yes
   auth methods=winbind
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind use default domain = Yes
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind nested groups = Yes
   winbind separator = \\
   idmap uid = 600-20000
   idmap gid = 600-20000
   ;template primary group = "Domain Users"
   template shell = /bin/csh

[homes]
   comment = Home Direcotries
   valid users = %S
   read only = No
   browseable = No

[printers]
   comment = All Printers
   path = /var/spool/cups
   browseable = no
   printable = yes
   guest ok = yes
testparm говорит:

Код: Выделить всё

komp# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_STANDALONE
а должно быть ROLE_DOMAIN_MEMBER кажется.

куда копать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/


snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение snorlov » 2009-04-03 11:10:57

Код: Выделить всё

 domain master=no
 local master=no

Если параметры не указаны в smb.conf, это не означает ,что они не инициализируются...

Klayman
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-06 5:25:05

пробовал всячески уже.

в смб.конф добваил строки

Код: Выделить всё

   domain logons = Yes
   domain master = Yes
   local master = Yes
рестартовал ее, testparm говорит все то же: Server role: ROLE_STANDALONE

разные выводы:

Код: Выделить всё

komp# net ads testjoin
[2009/04/06 10:26:13,  0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Join to domain is not valid: No logon servers

Код: Выделить всё

komp# net ads join -U marin_aa
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE

Код: Выделить всё

komp# net join -U marin_aa -W AFRODITA.TMIR.LOCAL
cannot join as standalone machine

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение snorlov » 2009-04-06 8:39:02

А какое netbios-имя домена ? У вас написано

Код: Выделить всё

  workgroup = AFRODITA.TMIR.LOCAL
Попробуйте поставить действительное, т.е. то, что видится в сетевом окружении и еще проверьте время и синхронизируйте его с контроллером домена

Код: Выделить всё

ntpdate -b 192.168.111.249

Klayman
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-06 9:21:06

поменял, синхронизировал. без толку..

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение snorlov » 2009-04-06 22:45:40

А что у вас в /etc/nsswitch.conf ? Должно быть

Код: Выделить всё

group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files

Klayman
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-07 7:30:20

/etc/nsswitch.conf у меня:

Код: Выделить всё

    group: files winbind
    passwd: files winbind
    group_compat: nis
    passwd_compat: nis
    hosts: files dns
    networks: files
    shells: files
то есть аналогичен.

смущает строчка:

Код: Выделить всё

hosts: files [b]dns[/b]
у меня ip статичные, это как то влияет?

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение snorlov » 2009-04-07 8:26:23

В принципе никак, главное, чтобы pdc в них был прописан...

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение reLax » 2009-04-08 7:56:45

Klayman писал(а):погуглил все темы тут, не помогает ничего.

Код: Выделить всё

komp# kinit
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Код: Выделить всё

komp# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: marin_aa@TMIR.LOCAL

  Issued           Expires          Principal
Apr  3 11:03:36  Apr  3 21:03:36  krbtgt/TMIR.LOCAL@TMIR.LOCAL

Код: Выделить всё

komp# net ads testjoin
[2009/04/03 10:56:31,  0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Join to domain is not valid: No logon servers

Код: Выделить всё

komp# net ads join -U marin_aa
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE
мой krb5.conf:

Код: Выделить всё

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AFRODITA.TMIR.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
TMIR.LOCAL = {
kdc = 192.168.111.249
admin_server = 192.168.111.249
kpasswd_server = 192.168.111.249
}

[domain_realm]
.afrodita.tmir.local = AFRODITA.TMIR.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}
мой smb.conf:

Код: Выделить всё

#GLOBAL PARAMETERS
[global]
   workgroup = AFRODITA.TMIR.LOCAL
   realm = AFRODITA.TMIR.LOCAL
   preferred master = no
   server string = IT-06
   security = ADS
   hosts allow = 192.168.111.0/24 127.0.0.1
   interfaces = 192.168.111.68
   encrypt passwords = yes
   auth methods=winbind
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind use default domain = Yes
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind nested groups = Yes
   winbind separator = \\
   idmap uid = 600-20000
   idmap gid = 600-20000
   ;template primary group = "Domain Users"
   template shell = /bin/csh

[homes]
   comment = Home Direcotries
   valid users = %S
   read only = No
   browseable = No

[printers]
   comment = All Printers
   path = /var/spool/cups
   browseable = no
   printable = yes
   guest ok = yes
testparm говорит:

Код: Выделить всё

komp# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_STANDALONE
а должно быть ROLE_DOMAIN_MEMBER кажется.

куда копать?
Попробуй указать явное доменное имя:

Код: Выделить всё

[libdefaults]
                default_realm = DOMAIN.LOCAL
               # default_tgs_enctypes = des-cbc-crc des-cbc-md5
               # default_tkt_enctypes = des-cbc-crc des-cbc-md5
               # permitted_enctypes = des-cbc-crc des-cbc-md5
                ticket_lifetime = 360000
                forwardable = true
                proxiable = true
                dns_lookup_realm = true
                dns_lookup_kdc = true
                clockskew = 24000

        [realms]
                DOMAIN.LOCAL = {
                        kdc = md5-server.domain.local:88
                        admin_server = md5-server.domain.local
                        default_domain = domain.local
                }
        [domain_realms]
                .domain.local = DOMAIN.LOCAL
                 domain.local = DOMAIN.LOCAL

        [appdefaults]
                pam = {
                debug = false
                ticket_lifetime = 360000
                renew_lifetime = 360000
                forwardable = true
                krb4_convert = false
                }
Это 100% рабочий конфиг kerberos

Klayman
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-08 9:05:06

kerberos то работает.

Код: Выделить всё

komp# kinit
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Код: Выделить всё

komp# kinit -p marin_aa
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Код: Выделить всё

komp# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: marin_aa@TMIR.LOCAL

  Issued           Expires          Principal
Apr  8 14:05:53  Apr  9 00:05:53  krbtgt/TMIR.LOCAL@TMIR.LOCAL
как я понимаю проблема именно в server role самбы

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение snorlov » 2009-04-08 9:51:07

Правильно понимаешь, кстати, а с какими параметрами она у тебя собрана и версию порта можно огласить?

Klayman
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-08 10:04:02

параметры: LDAP, ADS, CUPS, WINBIND, ACL_SUPPORT, SYSLOG, QUOTAS, UTMP, POPT

samba версии 3.3.3

о такая же проблема была и на 3.2 и на 3.0 ...

Klayman
проходил мимо
Сообщения: 2
Зарегистрирован: 2009-04-10 10:56:15

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Klayman » 2009-04-10 11:17:58

Проблема решена.

теперь другая)

необходима, чтобы на этот комп могли логиниться не только локальные юзеры, но и юзеры домена.

/etc/pam.d/login:

Код: Выделить всё

auth         required      pam_nologin.so                  no_warn
auth         sufficient    /usr/local/lib/pam_winbind.so
auth         sufficient    pam_opie.so                     no_warn no_fake_prompts
auth         requisite     pam_opieaccess.so               no_warn allow_local
auth         required      pam_unix.so                     no_warn try_first_pass
account      sufficient    /usr/local/lib/pam_winbind.so
account      required      pam_unix.so
session      required      pam_permit.so
при попытке зайти в консоли ввожу имя юзера из домена и пароль. выдает:

Код: Выделить всё

FreeBSD/i386 (komp.tmir.local) (ttyv2)
login:
т.е. и не входит, и не говорит login incorrect

но на это действие /var/log/messages выдает:

Код: Выделить всё

Apr 10 16:17:28 komp kernel: pid 1934 (login), uid 0: exited on signal 11 (core dumped)
куда копать здесь?

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение snorlov » 2009-04-10 14:13:55

use_first_pass

Гость
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение Гость » 2009-04-28 13:09:19

Klayman писал(а):Проблема решена.
многоуважаемый, а не подскажете-ли каким образом решена? бьюсь второй день))) :st:

rs
проходил мимо

Re: Samba + AD - No Logon Servers

Непрочитанное сообщение rs » 2010-07-09 16:43:08

testparm выдал ответ простой, smb.conf не там лежит. тоже пару часов потерял.