forum.lissyara.su

Добавлено: **2011-05-17 7:02:46**

Всем здрасте!

Честно, искал, пробовал, читал, но, так и не получилось ввести FreeBSD 8.2 в AD под управлением Windows Server 2003.

Имеем:
Domain: server.jurinfo.zakon.kz
AD: 192.168.0.11

rc.conf

Код: Выделить всё

hostname="FreeBSD.server.jurinfo.zakon.kz"
ifconfig_re0="inet 192.168.0.54  netmask 255.255.255.0"
defaultrouter="192.168.0.16"
samba_enable="YES"
winbindd_enable="YES"

smb.conf

Код: Выделить всё

[global]
workgroup = JURINFO
server string = Samba-server %v
security = ads
hosts allow = 192.168.0. 127.
load printers = yes
log file = /var/log/samba/log.%U
max log size = 50
password server = server.jurinfo.zakon.kz
realm = server.jurinfo.zakon.kz
passdb backend = tdbsam
socket options = TCP_NODELAY
interfaces = re0
local master = no
os level = 33
domain master = no
preferred master = no
domain logons = no
wins support = no
dns proxy = no
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
nt acl support = yes

nsswitch.conf

Код: Выделить всё

group: files winbind compat
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind compat
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

krb5.conf. Кстати, где этот файл должен лежать(?), у меня он находится /usr/src/crypto/heimdal/krb5.conf, хотя по некоторым мануалам должен быть по адресу /etc.

Код: Выделить всё

[logging]
    default = FILE:/var/log/kerberos/krb5libs.log
    kdc = FILE:/var/log/kerberos/krb5kdc.log
    admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
    default_realm = SERVER.JURINFO.ZAKON.KZ

[realms]
    SERVER.JURINFO.ZAKON.KZ = {
        kdc = 192.168.0.11
        default_domain=server.jurinfo.zakon.kz
    }

[domain_realms]
    .server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ

Как конфигурить krb5.conf я вобще не понял, напихал что смог (.
Прошу о помощи

Добавлено: **2011-05-17 8:15:07**

Начните с чтения статей на этом сайте, krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам. Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени, потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут), затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

Добавлено: **2011-05-17 10:45:26**

snorlov писал(а):Начните с чтения статей на этом сайте

Читал, не помогло!

snorlov писал(а):krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам.

Я туда его и положил, я ведь выложил конфиги всех файлов, неужели нельзя просто сказать где ошибка? Где я должен быть внимателен к регистру(?), я все и делал по мануалам и с сайта Лисяры и с других сайтов!

snorlov писал(а):Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени

Код: Выделить всё

ping server.jurinfo.zakon.kz
ping 192.168.0.11

это??? если да, то пинги норм

snorlov писал(а):потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут)

в датой и временем все нормально.

snorlov писал(а):затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...

Код: Выделить всё

kinit user@server.jurinfo.zakon.kz

при вводе пароля всегда говорит что он введен не верно, пробовал на разных пользователях и админа в том числе.

Добавлено: **2011-05-17 11:40:10**

Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...

Добавлено: **2011-05-17 11:59:02**

snorlov писал(а):Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...

О господи, я думаю у вас не хватит извилин чтобы помочь мне с моей работой.

На сколько я понимаю, форум для того и сделан, чтобы обмениваться опытом, если у вас так много извилин, но ответить вы не можете, пройдите мимо и не засоряйте топик.
И кстати, я работаю программистом, и системным администратором быть не собираюсь, просто мне надо поднять на сервере FreeBSD систему управления версиями git и чтобы на нем был инет, а так как инет выделяется только пользователям домена, мне надо туда попасть. Если мне просто кто-то ткнет где ошибка я буду примного благодарен!

Добавлено: **2011-05-17 12:16:15**

Читаем статью http://www.lissyara.su/articles/freebsd ... ad+nt_acl/, и понимаем, что realm это и есть дерево, а не server...

Добавлено: **2011-05-17 12:23:24**

Попробую настроить полностью по этой статье, можете только объяснить этот кусочек из krb5.conf

Код: Выделить всё

[realms]
KK.COM = {
 kdc = 192.168.0.1:88 - это
 admin_server = 192.168.0.1:749 - это
 default_domain = kk.com
}

Спасибо

Добавлено: **2011-05-17 12:44:12**

fenix710 писал(а):Попробую настроить полностью по этой статье, можете только объяснить этот кусочек из krb5.conf
Код: Выделить всё
[realms]
KK.COM = {
 kdc = 192.168.0.1:88 - это
 admin_server = 192.168.0.1:749 - это
 default_domain = kk.com
}
Спасибо

KK.COM - дерерво у вас JURINFO.ZAKON.KZ
kdc = контроллер домена можно указать server.jurinfo.zakon.kz или 192.168.0.11
admin_server - тоже самое
а вот default_domain у вас jurinfo.zakon.kz

Добавлено: **2011-05-17 13:05:03**

server - это не имя компа, а часть дерева, т.е.

Код: Выделить всё

srv.server.jurinfo.zakon.kz = 192.168.0.11

Я уж не знаю почему так, но оно так.

Добавлено: **2011-05-17 14:17:40**

Раз вы просто программер, то и попросите админов домена поднять то, что вам надо,уверяю вас будет быстрее... Ставить софт на фрю можно и без инета, принеся на нее исходники или пакаджи.

Добавлено: **2011-05-17 14:32:47**

ну охото поиграться, как говорит Лисяра, с правильной операционной системой, тем более надо софт под linux написать, дома на ноут поставил FreeBSD, настроил иксы, потом дома NAS под nix-системой. По этому и пытаюсь поднять комп на FreeBSD на работе, надеясь что кто-нибудь поможет. Как настрою по статье, которую Вы указали выше, отпишу.

Добавлено: **2011-05-17 15:09:48**

Может ваш проксик поддерживает и не ntlm авторизацию, а простую, тогда и самбу с керберосом мучать не надо

Добавлено: **2011-05-17 20:34:56**

если инет выделяется пользователям домена через ntlm, то боюсь фряха тут не заработает. На фряху лучше всего пробросить инет натом. С проксёй будет куча проблем.
По теме:
дайте ping srv.server.jurinfo.zakon.kz
И ошибку полностью, ту что от kinit.
Далее моя версия вашего krb5.conf:

Код: Выделить всё

[libdefaults]
      default_realm = SERVER.JURINFO.ZAKON.KZ
      dns_lookup_kdc = no
      dns_lookup_realm = no
      default_keytab_name = /etc/krb5.keytab
[realms]
      SERVER.JURINFO.ZAKON.KZ = {
              kdc = srv.server.jurinfo.zakon.kz
              admin_server = srv.server.jurinfo.zakon.kz
      }

[domain_realm]
      .server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ.RU
      server.jurinfo.zakon.kz = SERVER.JURINFO.ZAKON.KZ.RU

Добавлено: **2011-05-18 5:29:22**

fenix710 писал(а):
snorlov писал(а):Вы хотите, чтобы я за вас сделал всю вашу работу, даже нужные кнопочки понажимал . По русски судя по всему вы читаете, ну так читайте внимательнее и шевелите извилинами для начала, а то, у вас как в старые добрые времена "гляжу в книгу (экран), вижу фигу". Поскольку у вас имеется w2k3, вы хоть в Active Directory то немного разбираетесь или как anykey...
О господи, я думаю у вас не хватит извилин чтобы помочь мне с моей работой.

На сколько я понимаю, форум для того и сделан, чтобы обмениваться опытом, если у вас так много извилин, но ответить вы не можете, пройдите мимо и не засоряйте топик.
И кстати, я работаю программистом, и системным администратором быть не собираюсь, просто мне надо поднять на сервере FreeBSD систему управления версиями git и чтобы на нем был инет, а так как инет выделяется только пользователям домена, мне надо туда попасть. Если мне просто кто-то ткнет где ошибка я буду примного благодарен!

Гугл всегда рад вашему мнению ...
Если вы программист, то попросите | заставьте это сделать системного администратора.
Если инет выделяется пользователям домена, значит просто скажите админу чтоб он прописал вас на прокси.
Интересно как вы думаете связан доступ к ресурсам интернет через 80 порт и аудентификация в АД?

Добавлено: **2011-05-18 8:03:59**

fenix710 писал(а):
snorlov писал(а):Начните с чтения статей на этом сайте
Читал, не помогло!
snorlov писал(а):krb5.conf нет по умолчанию в /etc, его надо там создать и при его создании внимательнее к заглавным/прописным буквам.
Я туда его и положил, я ведь выложил конфиги всех файлов, неужели нельзя просто сказать где ошибка? Где я должен быть внимателен к регистру(?), я все и делал по мануалам и с сайта Лисяры и с других сайтов!
snorlov писал(а):Подход обычно такой, сначала проверяем доступность контроллера домена по ip и имени
Код: Выделить всё
ping server.jurinfo.zakon.kz
ping 192.168.0.11
это??? если да, то пинги норм
snorlov писал(а):потом проверяем/настраиваем время на фре(расхождение с контроллером домена не более 5-ти минут)
в датой и временем все нормально.
snorlov писал(а):затем получаем билетик от кербероса, ну и последний шаг вводим самбу в домен...
Код: Выделить всё
kinit user@server.jurinfo.zakon.kz
при вводе пароля всегда говорит что он введен не верно, пробовал на разных пользователях и админа в том числе.

Домен нужно вводить в верхнем регистре
kinit user@SERVER.JURINFO.ZAKON.KZ

Добавлено: **2011-05-18 9:26:23**

GhOsT_MZ писал(а): Домен нужно вводить в верхнем регистре
kinit user@SERVER.JURINFO.ZAKON.KZ

можно просто kinit <имя пользователя>, если дерево одно...

Добавлено: **2011-05-18 9:33:59**

opt1k писал(а): дайте ping srv.server.jurinfo.zakon.kz
И ошибку полностью, ту что от kinit.

Код: Выделить всё

>ping srv.server.jurinfo.zakon.kz
PING srv.server.jurinfo.zakon.kz (192.168.0.11): 56 data bytes
64 bytes from 192.168.0.11: icmp_seq=0 ttl=128 time=0.174 ms
64 bytes from 192.168.0.11: icmp_seq=1 ttl=128 time=0.193 ms

Код: Выделить всё

>kinit user@SERVER.JURINFO.ZAKON.KZ

после ввода пароля нет никакого сообщения вобще,
если ввести неправильный пароль то пишет, Password incorrect, \
если неправильно ввести логин, то пишет krb5_get_init_creds: Client ... unknown
Также привел krb5.conf к вашей версии.

snorlov писал(а):Может ваш проксик поддерживает и не ntlm авторизацию, а простую, тогда и самбу с керберосом мучать не надо

там ntlm авторизация

administrator писал(а):Если инет выделяется пользователям домена, значит просто скажите админу чтоб он прописал вас на прокси.

это уже крайний вариант, только уж если ничего не получится

Добавлено: **2011-05-18 9:42:23**

Приведи krb5.conf, да вот еще ты случаем не установил kerberos из портов....

Добавлено: **2011-05-18 9:44:48**

А после ввода пароля может ниче и не писать:
klist

Добавлено: **2011-05-18 9:48:27**

Только не ругаться, я только учусь, я так понимаю что kerberos - это security/krb5, дык я его не ставил )), а что надо?

Добавлено: **2011-05-18 9:49:33**

GhOsT_MZ писал(а):А после ввода пароля может ниче и не писать:
klist

Код: Выделить всё

        Principal: user@SERVER.JURINFO.ZAKON.KZ

  Issued           Expires          Principal
May 18 12:18:17  May 18 18:58:16  krbtgt/SERVER.JURINFO.ZAKON.KZ@SERVER.JURINFO.ZAKON.KZ

Добавлено: **2011-05-18 9:50:22**

Все нормально, билет получен.

Добавлено: **2011-05-18 9:53:20**

fenix710 писал(а):Только не ругаться, я только учусь, я так понимаю что kerberos - это security/krb5, дык я его не ставил )), а что надо?

В том то дело, что не надо, а то потом будешь разгребать проблемы с самбой, типа не найдены библиотеки кербероса...

Добавлено: **2011-05-18 9:54:08**

GhOsT_MZ писал(а):Все нормально, билет получен.

Код: Выделить всё

/>net ads join -U User
Enter User's password:
Failed to join domain: failed to set machine spn: Constraint violation

А это как понимать?

Добавлено: **2011-05-18 9:57:47**

snorlov писал(а):Приведи krb5.conf

Код: Выделить всё

[logging]
default=FILE:/var/log/kerberos/krb5libs.log
kdc=FILE:/var/log/kerberos/krb5kdc.log
admin_server=FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime=24000
default_realm=SERVER.JURINFO.ZAKON.KZ
dns_lookup_realm=no
dns_lookup_kdc=no
default_keytab_name=/etc/krb5.keytab

[realms]
SERVER.JURINFO.ZAKON.KZ={
kdc=srv.server.jurinfo.zakon.kz
admin_server=srv.server.jurinfo.zakon.kz
}

[domain_realm]
.server.jurinfo.zakon.kz=SERVER.JURINFO.ZAKON.KZ
server.jurinfo.zakon.kz=SERVER.JURINFO.ZAKON.KZ

forum.lissyara.su

FreeBSD в AD

FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD

Re: FreeBSD в AD