Страница 1 из 2
Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-15 17:31:05
VladimirL
Прошу сильно не пинать, просмотрел кучу статей на эту тему, но невижу нестыковок.
Пытаюсь ввести FreeBSD 8.1 в домен с авторизацией Win2000, при помощи Samba 3.5. Вроде бы ничего сложного, но видать что то упускаю.
Немогу получить билет.
kinit admin
admin@DOMAIN's Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm DOMAIN
/etc/krb5.conf
Код: Выделить всё
[libdefaults]
default_realm = DOMAIN
ticket_lifetime = 600
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
domain = {
kdc = 192.168.3.101
admin_server = 192.168.3.101
default_domain = domain
}
[logging]
default = SYSLOG:INFO:LOCAL1
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[domain_realm]
.domain = DOMAIN
Код: Выделить всё
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: files
services_compat: nis
protocols: files
rpc: files
Код: Выделить всё
[global]
workgroup = DOMAIN
server string = Samba_Test
netbios name = COMP1
security = ads
hosts allow = 192.168.1. 127.
auth methods = winbind
password server = 192.168.1.101 192.168.1.102
private dir = /usr/local/etc/samba
passdb backend = tdbsam
client NTLMv2 auth = Yes
log level = 0 vfs:1
log file = /var/log/samba/samba.log
max log size = 0
deadtime = 360
max open files = 5000
paranoid server security = No
load printers = No
show add printer wizard = No
os level = 8
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = No
winbind refresh tickets = Yes
case sensitive = No
hide unreadable = Yes
client use spnego = yes
realm = DOMAIN
interfaces = 192.168.1.2/24
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 8:46:35
opt1k
нужно указать фряхе контроллер домена как днс сервер.
Мне видется что проблема у вас именно в этом.
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 9:00:08
snorlov
У вас какая то накладка, в krb5.conf качестве контроллера домена указан адрес 192.168.3.101, а в smb.conf в этом же качестве фигурируют адреса 192.168.1.101-102, вы уж разберитесь, где находится у вас контроллер
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 9:52:24
VladimirL
snorlov писал(а):У вас какая то накладка, в krb5.conf качестве контроллера домена указан адрес 192.168.3.101, а в smb.conf в этом же качестве фигурируют адреса 192.168.1.101-102, вы уж разберитесь, где находится у вас контроллер
это опечатка.
сделал в krb5.conf и smb.conf только один сервер 192.168.1.101 (он-же ДНС + АД), но проблема так и осталась
intra2#kinit admin
admin@DOMAIN's Password:
kinit: krb5_get_init_creds: unable to reach any KDC in realm DOMAIN
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 10:18:24
snorlov
Ну что вам сказать, начните:
1 с проверки доступности вашего контроллера домена с фри простым ping'ом, если он имеет dns-имя, а он имеет, то разрешается ли оно с консоли фри
2. проверьте врмя на фре, расхождение с временем контроллера не более 5-ти минут,
3. может у вас на фре файер включен...
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 11:20:49
VladimirL
snorlov писал(а):Ну что вам сказать, начните:
1 с проверки доступности вашего контроллера домена с фри простым ping'ом, если он имеет dns-имя, а он имеет, то разрешается ли оно с консоли фри
2. проверьте врмя на фре, расхождение с временем контроллера не более 5-ти минут,
3. может у вас на фре файер включен...
1 - пингуется и по имени и по IP
2 - разница 1 мин. 30 сек (вот тут есть нюанс - в ручную выставлял, т.к. непонятка с часовыми поясами)
3 - нет ни ipfw ни pf. не ставил специально
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 11:27:17
VladimirL
мне кажется, что проблема все же не в самбе, т.е. доступ к сетевым ресурсам есть. Мне надо именно авторизоваться в домене, чтоб пользователи были из АД.
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 17:35:46
VladimirL
intra2# net ads join -U admin
Enter lva's password:
[2011/04/18 17:31:17.177508, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password admin@DOMAIN failed: Cannot contact any KDC for requested realm
Failed to join domain: failed to connect to AD: Cannot contact any KDC for requested realm
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 17:41:40
VladimirL
intra2# net ads join -U admin
Enter lva's password:
[2011/04/18 17:31:17.177508, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password admin@DOMAIN failed: Cannot contact any KDC for requested realm
Failed to join domain: failed to connect to AD: Cannot contact any KDC for requested realm
остальное :
wbinfo -p
Ping to winbindd succeeded
wbinfo -t
checking the trust secret for domain DOMAIN via RPC calls succeeded
wbinfo -g | wc -l
0
wbinfo -u | wc -l
0
таким образом, затык в KDC.
каким образом можно определить проблему?
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-18 22:47:59
snorlov
Попробуйте в krb5.conf указать протокол? по которому идете к KDC
Код: Выделить всё
[realms]
domain = {
kdc = tcp/192.168.3.101
admin_server = 192.168.3.101
default_domain = domain
}
проверьте синтаксис krb5.conf, большие/маленькие буквы , пробелы табуляции
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 8:13:43
snorlov
У вас ошибка в krb5.conf
domain здесь должен быть
Большими буквами, т.е.
DOMAIN={
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 9:00:41
VladimirL
действительно, больше ошибку не выдает, но не вижу подтверждения выдачи билета
Код: Выделить всё
intra2# kinit admin
admin@DOMAIN's Password:
intra2#
и соответственно:
Код: Выделить всё
intra2# net ads join -U admin
Enter lva's password:
Using short domain name -- DOMAIN
Joined 'INTRA2' to realm 'DOMAIN'
[2011/04/19 08:50:45.753856, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password INTRA2$@DOMAIN failed: Preauthentication failed
intra2# wbinfo -t
checking the trust secret for domain DOMAIN via RPC calls failed
Could not check secret
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 9:13:42
snorlov
после kinit, посмотрите что дает klist b tot вы какой kerberos юзаете, тот, который идет в системе или поставленный из портов...
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 9:20:40
snorlov
после kinit, посмотрите что дает klist, вы какой kerberos юзаете, тот, который идет в системе или поставленный из портов, самба собрана с поддержкой ldap'а или без оной ...
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 11:11:56
VladimirL
Код: Выделить всё
intra2# kinit admin
admin@DOMAIN's Password:
intra2# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@DOMAIN
Issued Expires Principal
Apr 19 09:54:02 Apr 19 19:54:02 krbtgt/DOMAIN@DOMAIN
intra2#
ставил самбу из
/usr/ports/net/samba35 все кроме: AVAHI, EXP_MODULES, MAX_DEBUG, SMBTORTURE
kerberos ставил из
/usr/ports/security/heimdal make all
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 13:04:50
snorlov
VladimirL писал(а):Код: Выделить всё
intra2# kinit admin
admin@DOMAIN's Password:
intra2# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@DOMAIN
Issued Expires Principal
Apr 19 09:54:02 Apr 19 19:54:02 krbtgt/DOMAIN@DOMAIN
intra2#
ставил самбу из
/usr/ports/net/samba35 все кроме: AVAHI, EXP_MODULES, MAX_DEBUG, SMBTORTURE
kerberos ставил из
/usr/ports/security/heimdal make all
Ну чтож керберос общими усилиями настроен, а вот с самбой похоже проблемы... и состоят они в том, что вы поставили керберос из портов, правда может сейчас починили, а вот раньше различие состояло в расположении либов, проверьте... Если сейчас не починили, то придется ручками в make самбы указать ихний новый каталог...
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 14:53:51
VladimirL
а где можно узнать про эти проблемы и ее решение?
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 15:15:15
snorlov
Думаю только через google... Кстати можно все и переставить, т.е. на имеющейся системе скопировать конфиги, distfiles, создать пакаджи и скопировать это хозяйство куда-нибудь...
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-19 17:49:07
VladimirL
сейчас ситуация поменялась:
Код: Выделить всё
intra2# kinit admin
admin@DOMAIN's Password:
intra2# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@DOMAIN
Issued Expires Principal
Apr 19 17:34:05 Apr 20 03:34:05 krbtgt/DOMAIN@DOMAIN
Apr 19 17:35:24 Apr 20 03:34:05 ad1$@DOMAIN
Apr 19 17:35:24 Apr 20 03:34:05 ad1$@DOMAIN
intra2#
но
Код: Выделить всё
intra2# net ads join -U admin
Enter admin's password:
Using short domain name -- DOMAIN
Joined 'INTRA2' to realm 'DOMAIN'
[2011/04/19 17:45:34.178871, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password INTRA2$@DOMAIN failed: Preauthentication failed
intra2#
почему проверка не удалась?
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-26 12:18:38
VladimirL
есть еще какие то варианты?
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-26 15:21:55
bagas
Код: Выделить всё
[realms]
domain = {
kdc = 192.168.3.101
admin_server = 192.168.3.101
Код: Выделить всё
password server = 192.168.1.101 192.168.1.102
Проверьте настройки...
У вас данные расходятся в настройках.
Вы точно знаете IP контролера домена?
И не обязательно указывать второй котролер домена. 192.168.1.102
в /etc/krb5.conf лучше указать днс-имя контролера.
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-27 9:18:58
VladimirL
я исправил (ad1.domain), ошибку не выдает, но билет не могу получить
по другим машинам (с WIN) хожу без проблем, но мне нужна авторизация для входа подобная Win.
т.е. при входе надо хотя бы авторизоваться в домене любым пользователем домена
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-27 11:15:58
bagas
Попробуйте синхронировать время с вашим контролером домена.
И убедитесь что временная зона тоже правильно выставлена.
Вы точно машину заводите под тем пользаком...которому разрешено заводить машины в домен?
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-27 14:30:05
VladimirL
время выставил в ручную, т.к. непонятка с этими зонами. разница во времени не больше 1,5 мин.
при загрузке пишет:
Код: Выделить всё
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.945883, 0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]: idmap_alloc module ldap already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.946471, 0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]: idmap_alloc module tdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.946744, 0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]: Idmap module passdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.947014, 0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]: Idmap module nss already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.954644, 0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]: idmap_alloc module ldap already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955101, 0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:25 intra2 winbindd[1199]: idmap_alloc module tdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955407, 0] winbindded!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955407, 0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]: Idmap module passdb already registered!
Apr 27 13:50:25 intra2 winbindd[1199]: [2011/04/27 13:50:25.955676, 0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:25 intra2 winbindd[1199]: Idmap module nss already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.726545, 0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:26 intra2 winbindd[1199]: idmap_alloc module ldap already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.726983, 0] winbindd /idmap.c:201(smb_register_idmap_alloc)
Apr 27 13:50:26 intra2 winbindd[1199]: idmap_alloc module tdb already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.727255, 0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:26 intra2 winbindd[1199]: Idmap module passdb already registered!
Apr 27 13:50:26 intra2 winbindd[1199]: [2011/04/27 13:50:26.727562, 0] winbindd /idmap.c:149(smb_register_idmap)
Apr 27 13:50:26 intra2 winbindd[1199]: Idmap module nss already registered!
log.wb-DOMAIN:
Код: Выделить всё
[2011/04/27 13:49:11.339887, 0] winbindd/winbindd.c:195(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
log.winbindd
Код: Выделить всё
[2011/04/27 13:41:07, 0] winbindd/winbindd.c:1105(main)
winbindd version 3.5.6 started.
Copyright Andrew Tridgell and the Samba Team 1992-2010
[2011/04/27 13:50:24, 0] winbindd/winbindd.c:1105(main)
winbindd version 3.5.6 started.
Copyright Andrew Tridgell and the Samba Team 1992-2010
log.winbindd-idmap
Код: Выделить всё
[2011/04/27 13:41:09.125301, 1] winbindd/idmap.c:438(idmap_init_passdb_domain)
Could not init passdb idmap domain
[2011/04/27 13:41:09.421886, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/27 13:41:09.422046, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/27 13:41:09.422121, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/27 13:41:09.422216, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/27 13:41:09.558453, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/27 13:41:09.558950, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/27 13:41:09.559225, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/27 13:41:09.559492, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/27 13:41:09.862554, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/27 13:41:09.863005, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/27 13:41:09.863277, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/27 13:41:09.863545, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/27 13:49:11.338593, 0] winbindd/winbindd.c:195(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2011/04/27 13:50:25.732481, 1] winbindd/idmap.c:438(idmap_init_passdb_domain)
Could not init passdb idmap domain
[2011/04/27 13:50:25.945883, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/27 13:50:25.946471, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/27 13:50:25.946744, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/27 13:50:25.947014, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/27 13:50:25.954644, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/27 13:50:25.955101, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/27 13:50:25.955407, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/27 13:50:25.955676, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2011/04/27 13:50:26.726545, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module ldap already registered!
[2011/04/27 13:50:26.726983, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2011/04/27 13:50:26.727255, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2011/04/27 13:50:26.727562, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
и почему то есть
log.wb-BUILTIN, хотя непонятно, откуда он взялся. Возможно это и есть причина проблемы?
Re: Ввести FreeBSD в домен AD (win200)
Добавлено: 2011-04-27 15:03:35
bagas
нужно смотреть krb5.conf. Покажите нынешний krb5.conf.
у меня в доме если время сбито на 2мин..то машина не сможет войти в домен.
По выложенные ваши логи, нормальные или не полные, тоесть вы не полностью выложили.
Вот вы натыкали в файл krb5.conf кучу параметров, вы знает что за что отвечает?
samba с чес собрана? #cd /usr/ports/net/samba && make showconfig