Страница 1 из 2
centos ввод в AD
Добавлено: 2011-10-10 17:32:40
kirill666
Доброго времени суток. Решил ввести самбу в AD для того чтобы можно было выдавать права на каталоги и файлы пользователям из AD.
Вводные
PDC - win 2k3в режиме 2003 SRV
crntos 5.5 на него установил krb5-server.i386
начал настраивать kerberos
Код: Выделить всё
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = mydomain
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
BL_ADV = {
kdc = 172.16.0.7:88
admin_server = pdc.mydomain:749
kpasswd_server = pdc.mydomain
default_domain = mydomain
}
[domain_realm]
.gallup.bl_adv = mydomain
gallup.bl_adv = mydomain
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = true
}
проверяю настройки керберос и получаю
если использую
kinit admin@bl_adv
получаю
kinit(v5): Cannot find KDC for requested realm while getting initial credentials
Если использую (-4 )
kinit -4 admin@bl_adv
запрашивает пароль и не зависимо верный или не верный выдает
Password for droot@bl_adv:
kinit(v4): Can't send request (send_to_kdc)
Куда копать ?
Re: centos ввод в AD
Добавлено: 2011-10-11 8:00:08
blade_007
Разберитесь с днс.
Re: centos ввод в AD
Добавлено: 2011-10-11 8:47:51
kirill666
blade_007 писал(а):Разберитесь с днс.
на компьютере с Linux прописан днс - контроллер домена, все сервера по имени например pdc.mydomain пингуются, думаю дело не в днс.
Есть еще проблема имя домена с нижним подчеркиванием(делали до меня ) примерно такое bb_bbf
Re: centos ввод в AD
Добавлено: 2011-10-11 11:30:09
skeletor
1) Совпадает ли время на сервере с контроллером?
2) pdc.mydomain, gallup.bl_adv - резолвится?
Re: centos ввод в AD
Добавлено: 2011-10-11 11:58:31
kirill666
да, сорри не все затер, совпадают имена, резолвятся, время совпадает, сек в сек, дело в том что с для четвертой версии kerberos все находится, но не работает
Re: centos ввод в AD
Добавлено: 2011-10-11 12:14:51
skeletor
А какие ошибки?
Re: centos ввод в AD
Добавлено: 2011-10-11 12:20:18
kirill666
kirill666 писал(а):
проверяю настройки керберос и получаю
если использую
kinit admin@bl_adv
получаю
kinit(v5): Cannot find KDC for requested realm while getting initial credentials
Если использую (-4 )
kinit -4 admin@bl_adv
запрашивает пароль и не зависимо верный или не верный выдает
Password for droot@bl_adv:
kinit(v4): Can't send request (send_to_kdc)
Куда копать ?
в логи свои ничего не пишет
Re: centos ввод в AD
Добавлено: 2011-10-11 12:46:53
skeletor
Если сообщение "Cannot find KDC for requested realm while getting initial credentials", значит не может найти контроллер домена.
Re: centos ввод в AD
Добавлено: 2011-10-11 12:52:10
kirill666
skeletor писал(а):Если сообщение "Cannot find KDC for requested realm while getting initial credentials", значит не может найти контроллер домена.
дело в том что если писать kinit -4 admin@bl_adv
подключается и спрашивает пароль
и говорит что:
kinit(v4): Can't send request (send_to_kdc)
Re: centos ввод в AD
Добавлено: 2011-10-11 13:11:29
skeletor
ну значит либо изменился синтаксис описания КД либо он по другому ищет. Попробуйте прописать ещё в файл /etc/hosts
Re: centos ввод в AD
Добавлено: 2011-10-11 13:56:41
snorlov
Попробуйте указать транспорт, нечто типа
Код: Выделить всё
kdc = tcp/172.16.0.7:88
admin_server = pdc.mydomain:749
kpasswd_server = pdc.mydomain
default_domain = mydomain
Re: centos ввод в AD
Добавлено: 2011-10-11 13:58:20
kirill666
прописал, результат тот же, может что то с win 2k3? (виндовые машины вводятся без проблем)
Re: centos ввод в AD
Добавлено: 2011-10-11 20:17:04
blade_007
kdc, admin_server - поставьте IP-адреса вместо имен для проверки.
BL_ADV - это сервер или название домена?
Re: centos ввод в AD
Добавлено: 2011-10-11 21:38:54
kirill666
blade_007 писал(а):kdc, admin_server - поставьте IP-адреса вместо имен для проверки.
BL_ADV - это сервер или название домена?
завтра попробую подставить
BL_ADV - имя домена (делал до меня чел - редиска)
Re: centos ввод в AD
Добавлено: 2011-10-11 21:55:00
blade_007
Код: Выделить всё
[domain_realm]
.bl_adv = BL_ADV
bl_adv = BL_ADV
В конфиге попробуйте так еще. Что за gallup не понятно.
Re: centos ввод в AD
Добавлено: 2011-10-11 22:18:28
kirill666
blade_007 писал(а):Код: Выделить всё
[domain_realm]
.bl_adv = BL_ADV
bl_adv = BL_ADV
В конфиге попробуйте так еще. Что за gallup не понятно.
gallup - имя DC просто в конфиге переделывал чтобы выложить, и не все заменил, там все так и есть
Re: centos ввод в AD
Добавлено: 2011-10-11 22:41:12
snorlov
kirill66,
Чего мы гадаем, приведите имя леса в 2003 и имя вашего сервера(PDC, KDC) в нем...
Re: centos ввод в AD
Добавлено: 2011-10-12 9:18:05
kirill666
домен BL_ADV
PDC - gallup
вот конфиг кербероса
Код: Выделить всё
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = BL_ADV
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
BL_ADV = {
kdc = tcp/172.16.0.7:88
admin_server = gallup.bl_adv:749
kpasswd_server = gallup.bl_adv
default_domain = bl_adv
}
[domain_realm]
.gallup.bl_adv = BL_ADV
gallup.bl_adv = BL_ADV
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = true
}
Re: centos ввод в AD
Добавлено: 2011-10-12 9:43:40
snorlov
Уберите номера портов и в [domain_realm] пусть будет только
Кстати а как у вас дела с файером...
Re: centos ввод в AD
Добавлено: 2011-10-12 10:06:52
kirill666
фарвол опущен, но он в другой подсети, но маршрутизация работает, асе пингуется и видится
Re: centos ввод в AD
Добавлено: 2011-10-12 11:05:29
kirill666
но воз и ныне там
Re: centos ввод в AD
Добавлено: 2011-10-12 11:20:30
kirill666
Может это и упаднические настроения, но можно ли настроить без керберос используя LDAP, есть ли толковая статья ?
Re: centos ввод в AD
Добавлено: 2011-10-12 11:26:52
blade_007
ping bl_adv что показывает?
Так пробовали?
Код: Выделить всё
[domain_realm]
.bl_adv = BL_ADV
bl_adv = BL_ADV
Re: centos ввод в AD
Добавлено: 2011-10-12 12:14:40
kirill666
blade_007 писал(а):ping bl_adv что показывает?
Так пробовали?
Код: Выделить всё
[domain_realm]
.bl_adv = BL_ADV
bl_adv = BL_ADV
пингуется, после того как прописал в хостс
Код: Выделить всё
[domain_realm]
.bl_adv = BL_ADV
bl_adv = BL_ADV
пробывал
Re: centos ввод в AD
Добавлено: 2011-10-12 22:41:23
blade_007
И нет результата так понимаю?
Давайте сначала.
Код: Выделить всё
cat /etc/resolv.conf
search AD_DOMAIN
nameserver IP_DOMAIN_CONTROLLER
Для работы не нужен krb5-server, достаточно krb5-workstation и krb5-libs.
Синхронизация времени обязательна.
Внесите в днс имя\адрес самба-сервера.
внесите в /etc/hosts
IP_SAMBA NAME_OF_SAMBA_SERVER
Файл /etc/krb5.conf имеет тестовую область EXAMPLE.COM - сделайте подобную - вместо
Код: Выделить всё
kdc = kerberos.example.com
admin_server = kerberos.example.com
поставьте ip-адрес контроллера домена, вместо EXAMPLE.COM поставьте BL_ADV, учитывайте регистр при этом и точку стоящую впереди.
Сделайте kinit root или какой у вас администратор домена, при этом внутренний домен у вас должен пинговаться по имени (все компы с самба-сервера должны пинговаться по имени).
Пробуйте.