Страница 1 из 1
Samba + AD - No Logon Servers
Добавлено: 2009-04-03 8:15:23
Klayman
погуглил все темы тут, не помогает ничего.
Код: Выделить всё
komp# kinit
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
Код: Выделить всё
komp# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: marin_aa@TMIR.LOCAL
Issued Expires Principal
Apr 3 11:03:36 Apr 3 21:03:36 krbtgt/TMIR.LOCAL@TMIR.LOCAL
Код: Выделить всё
komp# net ads testjoin
[2009/04/03 10:56:31, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers
Join to domain is not valid: No logon servers
Код: Выделить всё
komp# net ads join -U marin_aa
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE
мой krb5.conf:
Код: Выделить всё
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AFRODITA.TMIR.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
TMIR.LOCAL = {
kdc = 192.168.111.249
admin_server = 192.168.111.249
kpasswd_server = 192.168.111.249
}
[domain_realm]
.afrodita.tmir.local = AFRODITA.TMIR.LOCAL
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
мой smb.conf:
Код: Выделить всё
#GLOBAL PARAMETERS
[global]
workgroup = AFRODITA.TMIR.LOCAL
realm = AFRODITA.TMIR.LOCAL
preferred master = no
server string = IT-06
security = ADS
hosts allow = 192.168.111.0/24 127.0.0.1
interfaces = 192.168.111.68
encrypt passwords = yes
auth methods=winbind
log level = 3
log file = /var/log/samba/%m
max log size = 50
printcap name = cups
printing = cups
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = \\
idmap uid = 600-20000
idmap gid = 600-20000
;template primary group = "Domain Users"
template shell = /bin/csh
[homes]
comment = Home Direcotries
valid users = %S
read only = No
browseable = No
[printers]
comment = All Printers
path = /var/spool/cups
browseable = no
printable = yes
guest ok = yes
testparm говорит:
Код: Выделить всё
komp# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_STANDALONE
а должно быть ROLE_DOMAIN_MEMBER кажется.
куда копать?
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-03 10:58:32
КиЧи
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-03 11:10:57
snorlov
Если параметры не указаны в smb.conf, это не означает ,что они не инициализируются...
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-06 5:25:05
Klayman
пробовал всячески уже.
в смб.конф добваил строки
Код: Выделить всё
domain logons = Yes
domain master = Yes
local master = Yes
рестартовал ее, testparm говорит все то же: Server role: ROLE_STANDALONE
разные выводы:
Код: Выделить всё
komp# net ads testjoin
[2009/04/06 10:26:13, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers
Join to domain is not valid: No logon servers
Код: Выделить всё
komp# net ads join -U marin_aa
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE
Код: Выделить всё
komp# net join -U marin_aa -W AFRODITA.TMIR.LOCAL
cannot join as standalone machine
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-06 8:39:02
snorlov
А какое netbios-имя домена ? У вас написано
Попробуйте поставить действительное, т.е. то, что видится в сетевом окружении и еще проверьте время и синхронизируйте его с контроллером домена
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-06 9:21:06
Klayman
поменял, синхронизировал. без толку..
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-06 22:45:40
snorlov
А что у вас в /etc/nsswitch.conf ? Должно быть
Код: Выделить всё
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-07 7:30:20
Klayman
/etc/nsswitch.conf у меня:
Код: Выделить всё
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
то есть аналогичен.
смущает строчка:
у меня ip статичные, это как то влияет?
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-07 8:26:23
snorlov
В принципе никак, главное, чтобы pdc в них был прописан...
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-08 7:56:45
reLax
Klayman писал(а):погуглил все темы тут, не помогает ничего.
Код: Выделить всё
komp# kinit
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
Код: Выделить всё
komp# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: marin_aa@TMIR.LOCAL
Issued Expires Principal
Apr 3 11:03:36 Apr 3 21:03:36 krbtgt/TMIR.LOCAL@TMIR.LOCAL
Код: Выделить всё
komp# net ads testjoin
[2009/04/03 10:56:31, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers
Join to domain is not valid: No logon servers
Код: Выделить всё
komp# net ads join -U marin_aa
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE
мой krb5.conf:
Код: Выделить всё
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AFRODITA.TMIR.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
TMIR.LOCAL = {
kdc = 192.168.111.249
admin_server = 192.168.111.249
kpasswd_server = 192.168.111.249
}
[domain_realm]
.afrodita.tmir.local = AFRODITA.TMIR.LOCAL
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
мой smb.conf:
Код: Выделить всё
#GLOBAL PARAMETERS
[global]
workgroup = AFRODITA.TMIR.LOCAL
realm = AFRODITA.TMIR.LOCAL
preferred master = no
server string = IT-06
security = ADS
hosts allow = 192.168.111.0/24 127.0.0.1
interfaces = 192.168.111.68
encrypt passwords = yes
auth methods=winbind
log level = 3
log file = /var/log/samba/%m
max log size = 50
printcap name = cups
printing = cups
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = \\
idmap uid = 600-20000
idmap gid = 600-20000
;template primary group = "Domain Users"
template shell = /bin/csh
[homes]
comment = Home Direcotries
valid users = %S
read only = No
browseable = No
[printers]
comment = All Printers
path = /var/spool/cups
browseable = no
printable = yes
guest ok = yes
testparm говорит:
Код: Выделить всё
komp# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_STANDALONE
а должно быть ROLE_DOMAIN_MEMBER кажется.
куда копать?
Попробуй указать явное доменное имя:
Код: Выделить всё
[libdefaults]
default_realm = DOMAIN.LOCAL
# default_tgs_enctypes = des-cbc-crc des-cbc-md5
# default_tkt_enctypes = des-cbc-crc des-cbc-md5
# permitted_enctypes = des-cbc-crc des-cbc-md5
ticket_lifetime = 360000
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
clockskew = 24000
[realms]
DOMAIN.LOCAL = {
kdc = md5-server.domain.local:88
admin_server = md5-server.domain.local
default_domain = domain.local
}
[domain_realms]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
[appdefaults]
pam = {
debug = false
ticket_lifetime = 360000
renew_lifetime = 360000
forwardable = true
krb4_convert = false
}
Это 100% рабочий конфиг kerberos
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-08 9:05:06
Klayman
kerberos то работает.
Код: Выделить всё
komp# kinit
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
Код: Выделить всё
komp# kinit -p marin_aa
marin_aa@TMIR.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
Код: Выделить всё
komp# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: marin_aa@TMIR.LOCAL
Issued Expires Principal
Apr 8 14:05:53 Apr 9 00:05:53 krbtgt/TMIR.LOCAL@TMIR.LOCAL
как я понимаю проблема именно в server role самбы
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-08 9:51:07
snorlov
Правильно понимаешь, кстати, а с какими параметрами она у тебя собрана и версию порта можно огласить?
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-08 10:04:02
Klayman
параметры: LDAP, ADS, CUPS, WINBIND, ACL_SUPPORT, SYSLOG, QUOTAS, UTMP, POPT
samba версии 3.3.3
о такая же проблема была и на 3.2 и на 3.0 ...
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-10 11:17:58
Klayman
Проблема решена.
теперь другая)
необходима, чтобы на этот комп могли логиниться не только локальные юзеры, но и юзеры домена.
/etc/pam.d/login:
Код: Выделить всё
auth required pam_nologin.so no_warn
auth sufficient /usr/local/lib/pam_winbind.so
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so no_warn try_first_pass
account sufficient /usr/local/lib/pam_winbind.so
account required pam_unix.so
session required pam_permit.so
при попытке зайти в консоли ввожу имя юзера из домена и пароль. выдает:
Код: Выделить всё
FreeBSD/i386 (komp.tmir.local) (ttyv2)
login:
т.е. и не входит, и не говорит login incorrect
но на это действие /var/log/messages выдает:
Код: Выделить всё
Apr 10 16:17:28 komp kernel: pid 1934 (login), uid 0: exited on signal 11 (core dumped)
куда копать здесь?
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-10 14:13:55
snorlov
use_first_pass
Re: Samba + AD - No Logon Servers
Добавлено: 2009-04-28 13:09:19
Гость
Klayman писал(а):Проблема решена.
многоуважаемый, а не подскажете-ли каким образом решена? бьюсь второй день)))
Re: Samba + AD - No Logon Servers
Добавлено: 2010-07-09 16:43:08
rs
testparm выдал ответ простой, smb.conf не там лежит. тоже пару часов потерял.