Страница 1 из 1
Не срабатывает kinit
Добавлено: 2010-12-14 18:03:50
kos_fist
Добрый день!
Случилась какая то непонятица с kerboros*ом
Ставлю heimdal из портов как положено, после чего пытаюсь получить билетик от pdc но вот тут то ничего и не происходит. Ниже листинги
о, а жаль.
Код: Выделить всё
[kortes@gateway ~]$ uname -a
FreeBSD gateway.domain.com 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Thu Oct 28 15:40:57 UTC 2010 root@:/usr/obj/usr/src/sys/GATEWAY i386
Код: Выделить всё
[libdefaults]
default_realm = DOMAIN.COM
[realms]
AD.DOMAIN.COM = {
kdc = ad.domain.com
}
[domain_realm]
.domain.com = DOMAIN.COM
Код: Выделить всё
[kortes@gateway ~]$ kinit -p kortes
kortes@ILLICHIVSKA.COM.UA's Password:
[kortes@gateway ~]$
Пользователь kortes разумеется входит во все админские группы. Да и к тому же на других серверах под этим юзером с данным конфигом все проходит/
Очень прошу помочь разрешить данный вопрос, уже даже незнаю куда тыкаться.
Re: Не срабатывает kinit
Добавлено: 2010-12-14 20:44:25
snorlov
kos_fist писал(а):
Пользователь kortes разумеется входит во все админские группы. Да и к тому же на других серверах под этим юзером с данным конфигом все проходит/
Вам надо поправить как мне кажется dns, поскольку REALM у вас DOMAIN.COM, а пользователь .ILLICHIVSKA.COM.UA и вообще, не надо было ставить kerberos из портов, он уже в вашей системе есть...
Re: Не срабатывает kinit
Добавлено: 2010-12-14 22:47:10
kos_fist
snorlov писал(а):kos_fist писал(а):
Вам надо поправить как мне кажется dns, поскольку REALM у вас DOMAIN.COM, а пользователь .ILLICHIVSKA.COM.UA и вообще, не надо было ставить kerberos из портов, он уже в вашей системе есть...
сорри, это я хотел убрать хост, да не везде убрал )) ну вообщем там где DOMAIN.COM стоит ILLICHIVSKA.COM.UA с соответствующим регистром. Пробывал делать и без heimdal... Я не пойму единственного, как мне определить что я получил билет? Я начинаю подозревать что он уже получен
Код: Выделить всё
[kortes@gateway ~]$ kinit
k.udodenko@ILLICHIVSKA.COM.UA's Password:
[kortes@gateway ~]$
Код: Выделить всё
[kortes@gateway ~]$
[kortes@gateway ~]$ klist -a
Credentials cache: FILE:/tmp/krb5cc_1008
Principal: k.udodenko@ILLICHIVSKA.COM.UA
Cache version: 4
Server: krbtgt/ILLICHIVSKA.COM.UA@ILLICHIVSKA.COM.UA
Client: k.udodenko@ILLICHIVSKA.COM.UA
Ticket etype: arcfour-hmac-md5, kvno 2
Ticket length: 1960
Auth time: Dec 14 21:42:46 2010
End time: Dec 15 04:22:32 2010
Ticket flags: forwardable, initial, pre-authenticated
Addresses: addressless
[kortes@gateway ~]$
и судя по всему я прав, но тогда вопрос, почему не пишет сообщение о том что получен билет как в всех статьях о настройке кербороса, может кто стыкался.
Вообщем я решил пойти далее, допустив что билет получен и попробывал ввести сервер в домен и вот что получилось
Код: Выделить всё
[root@gateway /home/kortes]# net ads join -Uk.udodenko
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: WERR_INVALID_DOMAIN_ROLE
[root@gateway /home/kortes]#
хотя другие машинки норм попадают в домен...
Re: Не срабатывает kinit
Добавлено: 2010-12-15 10:07:05
snorlov
Внимательнее смотри smb.conf, прогони через testparm, должен быть member server. а так неизвестно что...
Re: Не срабатывает kinit
Добавлено: 2010-12-15 10:58:00
skeletor
Проблема не в kerberos, а в том, что нельзя добавить в домен. Как видно, билет твоя тачка получает. Я неоднократно сталкивался с похожей проблемой именно на этапе добавления компов в домен. Мне помогали вот такие команды (причём на одном и том же компе, но при заведение в разные домены одна команда работала, а другая - нет):
Код: Выделить всё
net join rpc -W mydomain.local -U admin
net join ads -W MYDOMAIN.local -U admin
net rpc join -U admin
Re: Не срабатывает kinit
Добавлено: 2010-12-15 11:12:06
kos_fist
skeletor писал(а):Проблема не в kerberos, а в том, что нельзя добавить в домен. Как видно, билет твоя тачка получает. Я неоднократно сталкивался с похожей проблемой именно на этапе добавления компов в домен. Мне помогали вот такие команды (причём на одном и том же компе, но при заведение в разные домены одна команда работала, а другая - нет):
Код: Выделить всё
net join rpc -W mydomain.local -U admin
net join ads -W MYDOMAIN.local -U admin
net rpc join -U admin
snorlov писал(а):Внимательнее смотри smb.conf, прогони через testparm, должен быть member server. а так неизвестно что...
Спасибо ребята, но проблемма была в другом
как оказалось при введение машины в домен команда
искали конфиг в /usr/local/etc/smb.conf хотя система ставится в /usr/local/etc/samba34/smb.conf я указал параметром путь к конфигу и машинка мигом влетела в домен
Вообщем вот такие вот пироги )) Всем спасибо огромное за подсказки!
