Страница 1 из 1
Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 11:12:38
---nebo---
Тема старая, но есть проблема и крученте конфигов, гугление не помогает решить проблему.
Сервер ВИН 2003 192.168.1.15 - контроллер домена test.edu, имя машины artem
FreeBSD 192.168.1.33 установлена самба , winbind, привожу конфиги
smb.conf
Код: Выделить всё
[global]
workgroup = TEST-EDU
server string = Samba Server
security = ADS
hosts allow = 192.168.1. 192.168.2. 127.
load printers = yes
log file = /var/log/samba/log.%m
max log size = 50
password server =192.168.1.15
realm = test.edu
netbios name = smbserver
dns proxy = no
encrypt passwords = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
template homedir = /smb/samba/%U
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
nt acl support = yes
nsswith.conf
Код: Выделить всё
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
resolv.conf
Код: Выделить всё
artem.test.edu 192.168.1.15
test.edu 192.168.1.15
nameserver 192.168.1.15
krb5.conf
Код: Выделить всё
[libdefaults]
default_realm = TEST.EDU
dns_lookup_realm=false
dns_lookup_kdc=false
ticket_lifetime=24h
forwardable=yes
[realms]
TEST.EDU = {
kdc = artem.test.edu
default_domain = test.edu
}
[domain_realms]
.test.edu = TEST.EDU
test.edu = TEST.EDU
/etc/hosts
Код: Выделить всё
::1 localhost
127.0.0.1 localhost
192.168.1.33 local
192.168.1.33 local.
192.168.1.33 smbserver
Хочу авторизировать пользователя free.
Билет через kinit получает и в klist он есть.
после
>net ads join -U free
>failed to join domain: invalid credentials
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 14:21:44
Yam
Хочу авторизировать пользователя free.
>net ads join -U free
Указанная вами команда включает в домен машину и делает это от имени доменного пользователя free, который должен обладать соответствующими правами. Вы вероятно не этого хотели добиться.
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 17:22:47
---nebo---
Изначальная цель: при загрузке фряхи и запросе логин/пароль они авторизировались с базы АД из ВИН 2003
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 17:37:40
Yam
Я к тому, что для этого сначала машину в домен нужно включить, а уже потом будут всякие там схемы авторизации. Вы правильно пытались сделать net ads join -U free, только смысл команды не поняли видимо, здесь -U это не пользователь которого вам нужно в домен добавить, а учетная запись админа домена, который имеет полномочия включить вашу машину в домен, ну и соответственно к "хочу авторизировать пользователя free" это имеет посредственно отношение.
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 17:43:47
---nebo---
У меня имя администратора Вин2003 - Администратор, я так понимаю он может впустить машину, тогда ето лучше переименовать, потому что я не наберу ведь кирилицу во фре (без доп установок)
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 17:48:52
Yam
Нестоит переименовывать учетку админа домена, проблемы начнут появляться там где не ждёте, лучше наделите другую учетную запись правами для включения в домен и всё.
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 17:52:12
---nebo---
как наделить пользователя free этими правами? Включить в групу администраторов?
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 18:01:14
---nebo---
Создал пользователя artem, включил его в групы админов
при #join ads net -U artem
#libads/kerberos.c: ads_kinit_password(228)
kerberos_kinit_password
artem@TEST.EDU failed: Preauthentication failed
Failed to join domain: Logon failure
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 18:18:11
---nebo---
wbinfo -p
wbinfo -g
отрабатываються корректно, а вот
wbinfo -u (#Error looking up domain users)
wbinfo -t (#checking the trust secter via RPC calls failed
#error code was NT_STATUS_ACCESS_DENIED
#Could not check password)
нет
и еще #kinit
admin@TEST.EDU (admin - пользователь с правами администратора)
#krb5_get_init_creds: Preauthentication failed
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 18:28:44
Yam
Беглым взглядом еще раз по вашему krb5.conf пробежался:
---nebo--- писал(а):krb5.confКод:[libdefaults]default_realm = TEST.EDUdns_lookup_realm=falsedns_lookup_kdc=falseticket_lifetime=24hforwardable=yes[realms]TEST.EDU = {kdc = artem.test.edudefault_domain = test.edu}[domain_realms].test.edu = TEST.EDUtest.edu = TEST.EDU
секции [domain_realms] в krb5.conf вообще нет, есть [domain_realm], ну и остальное перепроверьте, может еще где что неправильно скопировали.
ЗЫ
http://www.lissyara.su/?id=1180 можно тут подглядеть.
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 19:31:32
---nebo---
А существует тестет конфигурации (на синтаксис)?
Думаю сейчас запара именно в керберосе, потому что если пытаться зарегить машину от имени обычного порльзователя, то пишет что недостаточно полномочий, а вот если от администратора, то
libads/kerberos.c: ads_kinit_password(228)
kerberos_kinit_password
artem@TEST.EDU failed: Preauthentication failed
Failed to join domain: Logon failure
krb5.conf
Код: Выделить всё
[libdefaults]
default_realm = TEST.EDU
dns_lookup_realm=false
dns_lookup_kdc=false
forwardable=yes
[realms]
TEST.EDU = {
kdc = ARTEM.TEST.EDU
default_domain = TEST.EDU
}
[domain_realm]
.test.edu = TEST.EDU
test.edu = TEST.EDU
а разве winbind не заменят керберос, нашел статью, так там все делается без кербероса
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-04 19:59:24
Yam
---nebo--- писал(а):а разве winbind не заменят керберос, нашел статью, так там все делается без кербероса
.. нет, не заменяет, совсем, и AD не бывает без кербероса.
ЗЫ всё же почитайте статью по ссылке, что я дал выше.
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-05 11:24:16
---nebo---
Удалил самбу и все конфигурационные файлы.
Заново начисто(как в статье) установил самбу(3.0.28), указал настройки кербероса, самбы(как в статье, только под свой домен и айпмшники).
Время с сервером синхронизировал, билет для администратора в керберосе получил,kinit показывает моего админа, но
при #join ads net -U admin
#utils/net_ads.c:ads_startup_init(286)
ads_connect: No logon servers
failed to join domain: No logon servers
(может что-то в настройках 2003 сервера, но машины с ХР нормально заходят в домен и они появляются в АД в разделе Computers)
и еще: при старте самбы , winbindd стартует, но потом отваливается
#wbinfo -p
#ping to winbindd failed on fd -1
could not ping winbindd!
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-05 11:49:59
Yam
---nebo--- писал(а):при #join ads net -U admin#utils/net_ads.c:ads_startup_init(286)ads_connect: No logon serversfailed to join domain: No logon servers
попробуйте явно указать сервер, так:
join ads net -U admin -S имя_сервера
хотя может быть это результат выпадающего winbind`а, посмотрите его лог, запустите с большей детализацией лога winbindd -d 10.
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-05 12:26:35
---nebo---
#net ads join -U admin -S 192.168.1.15
такая же ошибка как и просто при #net ads join -U admin,
при
#winbindd -d 10
log.winbindd
Код: Выделить всё
2008/11/05 10:49:37, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
[2008/11/05 10:49:37, 1] nsswitch/winbindd.c:main(990)
winbindd version 3.0.28 started.
Copyright Andrew Tridgell and the Samba Team 1992-2007
[2008/11/05 10:49:37, 3] param/loadparm.c:lp_load(5031)
lp_load: refreshing parameters
[2008/11/05 10:49:37, 3] param/loadparm.c:init_globals(1430)
Initialising global parameters
[2008/11/05 10:49:37, 3] param/params.c:pm_process(572)
params.c:pm_process() - Processing configuration file "/usr/local/etc/smb.conf"
[2008/11/05 10:49:37, 3] param/loadparm.c:do_section(3770)
Processing section "[global]"
doing parameter workgroup = TEST
doing parameter realm = TEST.COM
doing parameter netbios name = smbserver
[2008/11/05 10:49:37, 4] param/loadparm.c:handle_netbios_name(3127)
handle_netbios_name: set global_myname to: SMBSERVER
doing parameter server string = Samba Server %v
doing parameter security = ADS
doing parameter auth methods = winbind
doing parameter map to guest = Bad User
doing parameter password server = 192.168.1.15
doing parameter client NTLMv2 auth = Yes
doing parameter log file = /var/log/samba/log.%m
doing parameter max log size = 50
doing parameter client signing = Yes
doing parameter disable spoolss = Yes
doing parameter preferred master = No
doing parameter local master = No
doing parameter domain master = No
doing parameter dns proxy = No
doing parameter idmap uid = 10000-20000
doing parameter idmap gid = 10000-20000
doing parameter winbind use default domain = Yes
doing parameter inherit acls = Yes
doing parameter hosts allow = 192.168.0., 192.168.1., 127.
doing parameter map acl inherit = Yes
doing parameter case sensitive = No
doing parameter nt acl support = yes
doing parameter os level = 10
doing parameter socket options = TCP_NODELAY
doing parameter guest account = nobody
doing parameter guest ok = yes
[2008/11/05 10:49:37, 2] param/loadparm.c:do_section(3787)
Processing section "[homes]"
[2008/11/05 10:49:37, 8] param/loadparm.c:add_a_service(2574)
add_a_service: Creating snum = 0 for homes
[2008/11/05 10:49:37, 10] param/loadparm.c:hash_a_service(2611)
hash_a_service: creating tdb servicehash
[2008/11/05 10:49:37, 10] param/loadparm.c:hash_a_service(2621)
hash_a_service: hashing index 0 for service name homes
doing parameter comment = Home Directories
doing parameter browseable = no
doing parameter writable = yes
[2008/11/05 10:49:37, 2] param/loadparm.c:do_section(3787)
Processing section "[printers]"
[2008/11/05 10:49:37, 8] param/loadparm.c:add_a_service(2574)
add_a_service: Creating snum = 1 for printers
[2008/11/05 10:49:37, 10] param/loadparm.c:hash_a_service(2621)
hash_a_service: hashing index 1 for service name printers
doing parameter comment = All Printers
doing parameter path = /var/spool/samba
doing parameter browseable = no
doing parameter guest ok = no
doing parameter writable = no
doing parameter printable = yes
[2008/11/05 10:49:37, 4] param/loadparm.c:lp_load(5062)
pm_process() returned Yes
[2008/11/05 10:49:37, 8] param/loadparm.c:add_a_service(2574)
add_a_service: Creating snum = 2 for IPC$
[2008/11/05 10:49:37, 10] param/loadparm.c:hash_a_service(2621)
hash_a_service: hashing index 2 for service name IPC$
[2008/11/05 10:49:37, 3] param/loadparm.c:lp_add_ipc(2708)
adding IPC service
[2008/11/05 10:49:37, 10] param/loadparm.c:set_server_role(4306)
set_server_role: role = ROLE_DOMAIN_MEMBER
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UCS-2LE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UCS-2LE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UTF-16LE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UTF-16LE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UCS-2BE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UCS-2BE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UTF-16BE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UTF-16BE
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UTF8
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UTF8
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UTF-8
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UTF-8
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset ASCII
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset ASCII
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset 646
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset 646
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset ISO-8859-1
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset ISO-8859-1
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(105)
Attempting to register new charset UCS2-HEX
[2008/11/05 10:49:37, 5] lib/iconv.c:smb_register_charset(113)
Registered charset UCS2-HEX
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 5] lib/charcnv.c:charset_name(82)
Substituting charset 'US-ASCII' for LOCALE
[2008/11/05 10:49:37, 2] lib/interface.c:add_interface(81)
added interface ip=192.168.0.33 bcast=192.168.0.255 nmask=255.255.255.0
[2008/11/05 10:49:37, 2] lib/interface.c:add_interface(81)
added interface ip=192.168.1.33 bcast=192.168.1.255 nmask=255.255.255.0
[2008/11/05 10:49:37, 5] lib/util.c:init_names(287)
Netbios name list:-
my_netbios_names[0]="SMBSERVER"
[2008/11/05 10:49:37, 2] lib/interface.c:add_interface(81)
added interface ip=192.168.0.33 bcast=192.168.0.255 nmask=255.255.255.0
[2008/11/05 10:49:37, 2] lib/interface.c:add_interface(81)
added interface ip=192.168.1.33 bcast=192.168.1.255 nmask=255.255.255.0
[2008/11/05 10:49:37, 5] lib/gencache.c:gencache_init(61)
Opening cache file at /var/db/samba/gencache.tdb
[2008/11/05 10:49:37, 5] libsmb/namecache.c:namecache_enable(58)
namecache_enable: enabling netbios namecache, timeout 660 seconds
[2008/11/05 10:49:37, 10] nsswitch/idmap_cache.c:idmap_cache_init(60)
Opening cache file at /var/db/samba/idmap_cache.tdb
[2008/11/05 10:49:37, 8] lib/util.c:fcntl_lock(1992)
fcntl_lock fd=8 op=8 offset=0 count=1 type=3
[2008/11/05 10:49:37, 8] lib/util.c:fcntl_lock(2011)
fcntl_lock: Lock call successful
[2008/11/05 10:49:37, 4] lib/time.c:TimeInit(1258)
TimeInit: Serverzone is -10800
[2008/11/05 10:49:37, 2] lib/tallocmsg.c:register_msg_pool_usage(105)
Registered MSG_REQ_POOL_USAGE
[2008/11/05 10:49:37, 2] lib/dmallocmsg.c:register_dmalloc_msgs(75)
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
[2008/11/05 10:49:37, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2223)
initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2008/11/05 10:49:37, 0] nsswitch/winbindd_util.c:init_domain_list(511)
Could not fetch our SID - did we join?
[2008/11/05 10:49:37, 0] nsswitch/winbindd.c:main(1091)
unable to initalize domain list
Re: Авторизация FreeBSD в домене WIN2003
Добавлено: 2008-11-05 12:43:59
Yam
---nebo--- писал(а):#net ads join -U admin -S 192.168.1.15 такая же ошибка как и просто при #net ads join -U admin,
Зачем там ip-адрес?? вполне однозначно было написано - имя :
Yam писал(а):join ads net -U admin -S имя_сервера
---nebo--- писал(а):Код: Выделить всё
[2008/11/05 10:49:37, 0] nsswitch/winbindd_util.c:init_domain_list(511)
Could not fetch our SID - did we join?
[2008/11/05 10:49:37, 0] nsswitch/winbindd.c:main(1091)
unable to initalize domain list
с winbind`ом всё нормально, останавливается он потому что машина в домен не включена еще. Пускайте так же и smbd,nmbd -d 10, читайте.