Страница 1 из 2
Samba авторизация в AD win2003
Добавлено: 2007-04-29 13:41:02
metallic
Есть домен под управдением вин2003 СП1, работающий в режиме 2003. Хочтся сделать файловую помойку под управление unix like system с авторизацие через домен. В данный момент имеется тестовый сервак под Debian 4.0r0 Версия самбы 3.0.24.
Адрес файлового сервака 192.168.1.30 netbios-имя debian4
Адрес главного контроллера домена 192.168.1.3 netbios-имя pdc
В днс контроллера домена добавлена А-запись 192.168.1.30 debian4.domain.org
На файловом сервере в /etc/resolv.conf
search domain.org
nameserver 192.168.1.3
На файловом сервере в /etc/hosts
127.0.0.1 localhost
192.168.1.30 debian4.domain.org debian4
192.168.1.3 pdc.domain.org pdc
192.168.1.3 domain.org domain
На файловом сервере в /etc/nsswitch.conf
passwd: files winbind
group: files winbind
group_compat: nis
passwd_compat: nis
shadow: compat
shells: files
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
На файловом сервере в /etc/samba/smb.conf
[global]
workgroup = DOMAIN
realm = DOMAIN.ORG
netbios name = debian4
dns proxy = no
security = ADS
password server = 192.168.1.3
client NTLMv2 auth = Yes
winbind uid = 10000-20000
winbind gid = 10000-20000
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\
client signing = Yes
disable spoolss = Yes
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
inherit acls = Yes
map acl inherit = Yes
case sensitive = No
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
guest account = nobody
guest ok = yes
На файловом сервере в /etc/krb5.conf
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.ORG
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_req_checksum_type = 2
checksum_type = 2
ccache_type = 1
forwardable = true
proxiable = true
[realms]
DOMAIN.ORG = {
kdc = 192.168.1.3:88
admin_server = 192.168.1.3:749
default_domain = domain.org
}
[domain_realm]
.domain.org = DOMAIN.ORG
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
[login]
krb4_convert = false
krb4_get_tickets = false
Делаю следующее:
1
net time set -S pdc
Комманда проходит успешно
2
kinit
admin@DOMAIN.ORG
Спрашивают пароль - ввожу, проглатывает, ничего не говорит. Если ввести неправильный - ругается.
3
klist
debian4:/etc# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal:
admin@DOMAIN.ORG
Valid starting Expires Service principal
04/29/07 13:20:15 04/29/07 20:00:15 krbtgt/
DOMAIN.ORG@DOMAIN.ORG
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
debian4:/etc#
4
net ads join -U admin
спрашивают пароль - ввожу. Все ок, к домену подцепились, на контроллере домена появляется учетная запись компьютера debian4
5
wbinfo -p
Ping to winbindd succeeded on fd 6
6
wbinfo -t
А вот тут засада...
debian4:/etc# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
debian4:/etc#
Need help вобщем
(
Добавлено: 2007-04-29 18:58:01
Alex Keda
Добавлено: 2007-04-29 19:27:20
metallic
ес-но работает, у меня же в хостс
192.168.1.3 domain.org domain
Может я керберос не тот поставил? там же разные есть или я ошибаюсь?
Добавлено: 2007-04-29 19:34:55
Alex Keda
во фре хемдайл...
Добавлено: 2007-04-29 19:54:02
metallic
а что же может быть у меня не так? по конфигам все нормально?
Добавлено: 2007-04-29 19:55:30
Alex Keda
Добавлено: 2007-04-29 20:27:17
metallic
-u и -g говорят одно и тоже, не удалось отобразить список групп/юзеров, ошибка...
Добавлено: 2007-04-30 13:54:48
metallic
сделал через winbindd без кербероса, вроде работает, я что-нить потерял не используя керберос?
Добавлено: 2007-04-30 18:25:24
InventoR
глюки
Добавлено: 2007-04-30 20:17:04
metallic
т.е. я потерял глюки?
Винбинд типа надежнее работает?
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-07 16:36:40
brujoseyes
вот точно такая же хня. единственное отличие (на первый взгляд) у меня фриха 6.2.
wbinfo -p проходит, wbinfo -t ругается
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
ковыряю целый день, уже голова перестаёт соображать, а сдаваться не в моих правилах
помогите.
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-07 17:08:48
Alex Keda
Код: Выделить всё
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
контроллдер омена найти не может.
грабли в DNS скорей всего...
по имени домена - чёнибудь пингуется?
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-10 8:45:40
brujoseyes
самый прикол что пинги ВСЕ проходят, куда угодно, хоть наружу...
команда net rpc join -S SERVER -U *имя_пользователя* выдаёт
joined SA.COM (имя домена); значит, находит?
не может быть беда с керберосом?
а днс надо бы всё же проверить
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-10 8:46:55
Alex Keda
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-10 9:10:05
brujoseyes
Код: Выделить всё
#ping SERVER
PING SERVER (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=128 time=0.327 ms
... и так далее
ну в общем-то обычный вывод...
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-10 9:53:39
brujoseyes
кстати и в днс компьютер регистрируется нормально
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-12 10:04:42
brujoseyes
переустановил всё нахрен...
теперь новый прикол: wbinfo -p проходит сразу после перезапуска самбы, через некоторое время отваливается винбайнд...
wbinfo -t говорит:
Код: Выделить всё
test02# wbinfo -t
checking the trust secret via RPC calls failed
error code was (0x0)
Could not check secret
соответственно wbinfo -u говорит Error looking up domain users
плюс с соседней линуксовой машины видит шару на фрихе, создаваемую конфигом/пинги все идут что в локалку, что наружу
о, боги!
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-12 10:15:09
Alex Keda
kinit
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-12 10:27:19
-cat-
Официальный FAQ по решению проблем NTLM авторизации, суть одна хотя и немного не по теме
http://wiki.squid-cache.org/KnowledgeBa ... %28NTLM%29
Re: Samba авторизация в AD win2003
Добавлено: 2007-09-12 10:46:04
brujoseyes
просто великолепно, теперь и
Код: Выделить всё
test02# wbinfo -p
Ping to winbindd failed on fd -1
could not ping winbindd!
а kinit это то немногое что стабильно работает, плюс к net rpc join
ЗА-ШИ-БИСЬ
Re: Samba авторизация в AD win2003
Добавлено: 2007-12-06 20:07:31
f0s
какой-то глюк случился.. аналогично все тоже самое..
имеем
Код: Выделить всё
mail.router (192.168.10.8) - самба пдс с ладпом
router.artpaint (192.168.10.7)
fileserver.artpaint (192.168.10.6)
на fileserver.artpaint все ок (значит с PDC все нормально):
Код: Выделить всё
[f0s@fileserver] /home/f0s/> wbinfo -t
checking the trust secret via RPC calls succeeded
а вот на router.artpaint случился косяк (из-за этого и сквид теперь никого не авторизовывает.. )
Код: Выделить всё
[f0s@router] /var/db/samba/> wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret
однако:
Код: Выделить всё
[f0s@router] /var/db/samba/> wbinfo -p
Ping to winbindd succeeded on fd 4
но, опять таки юзеров не видит и группы тоже:
Код: Выделить всё
[f0s@router] /var/db/samba/> wbinfo -u
Error looking up domain users
[f0s@router] /var/db/samba/> wbinfo -g
BUILTIN+administrators
BUILTIN+users
пинги до PDC идут:
Код: Выделить всё
[f0s@router] /var/db/samba/> ping mail
PING mail.artpaint (192.168.10.8): 56 data bytes
64 bytes from 192.168.10.8: icmp_seq=0 ttl=64 time=0.114 ms
64 bytes from 192.168.10.8: icmp_seq=1 ttl=64 time=0.135 ms
64 bytes from 192.168.10.8: icmp_seq=2 ttl=64 time=0.153 ms
^C
--- mail.artpaint ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.114/0.134/0.153/0.016 ms
[f0s@router] /var/db/samba/>
перезаводистя в домен отлично: удаляю все файлы из /var/db/samba/ убираю щзапис из лдапа.. и:
Код: Выделить всё
[f0s@router] /var/db/samba/> smbpasswd -w password
Setting stored password for "cn=root,dc=artpaint,dc=spb,dc=ru" in secrets.tdb
Код: Выделить всё
[f0s@router] /var/db/samba/> smbpasswd -a admin
New SMB password:
Retype new SMB password:
далее ввожу в домен (он зачем то аж в инет ломится (на этом компе две сетевухи и шлюзом по умолчанию он сомтрит в инет)
Код: Выделить всё
:
[f0s@router] /var/db/samba/> net rpc join -U admin
[2007/12/06 19:59:51, 0] libsmb/nmblib.c:send_udp(791)
Packet send failed to 84.52.64.31(137) ERRNO=Permission denied
Unable to find a suitable server
[2007/12/06 19:59:52, 0] libsmb/nmblib.c:send_udp(791)
Packet send failed to 84.52.64.31(137) ERRNO=Permission denied
Unable to find a suitable server
если указать PDC явно - все ок
Код: Выделить всё
[f0s@router] /var/db/samba/> net rpc join -S mail -U admin
Password:
Joined domain ARTPAINT.
уже больше и не знаю что и делать-то....
Re: Samba авторизация в AD win2003
Добавлено: 2007-12-07 8:22:47
Urgor
уже больше и не знаю что и делать-то
Наверно поглядеть log.winbindd и запостить кусок с ошибкой и +-10 строк от нее... да и перед этим включить логгирование (ежли отруюлено)
Re: Samba авторизация в AD win2003
Добавлено: 2007-12-07 8:48:21
Urgor
дай вывод
ping <domain_server> и
ping <realm>, должно получиться что-то вроде:
Код: Выделить всё
$ ping server
PING server.kk.com (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=128 time=0.217 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=128 time=0.188 ms
^C
--- server.kk.com ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.188/0.203/0.217/0.014 ms
$ ping kk.com
PING kk.com (192.168.0.1): 56 data bytes
64 bytes from 192.168.0.1: icmp_seq=0 ttl=128 time=0.218 ms
64 bytes from 192.168.0.1: icmp_seq=1 ttl=128 time=0.190 ms
64 bytes from 192.168.0.1: icmp_seq=2 ttl=128 time=0.188 ms
^C
--- kk.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.188/0.199/0.218/0.014 ms
Re: Samba авторизация в AD win2003
Добавлено: 2007-12-07 10:33:24
f0s
PS. домен у меня не на вин2003..
кажись решилось вроде как.. походу из-за винса в конфиге.. стояло там wins support yes, поставил в no, и прописал wins server = 192.168.10.8 #адрес гед PDC
Re: Samba авторизация в AD win2003
Добавлено: 2009-05-29 10:22:52
atomic
f0s писал(а):PS. домен у меня не на вин2003..
кажись решилось вроде как.. походу из-за винса в конфиге.. стояло там wins support yes, поставил в no, и прописал wins server = 192.168.10.8
Win2008 + Samba 3.2.11
ошибка та же самая выскакивала: error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
помогло в smb.conf как ты и написал: wins support no