Страница 1 из 1
FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-11-09 12:47:43
skylego
Ситуация:
Регистрирую сервер под FreeBSD на сервере Ms2003 с AD.
Код: Выделить всё
computer# kinit -p administrator
administrator@KK.COM's Password:
kinit: NOTICE: ticket renewable lifetime is 10 hours
computer#
computer# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: administrator@KK.COM
Issued Expires Principal
Nov 9 12:08:20 Nov 9 22:08:19 krbtgt/KK.COM@KK.COM
computer#
computer# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
computer# net ads join -U igor
igor's password:
Using short domain name -- KK
Joined 'computer' to realm 'KK.COM'
computer#
computer# cat /etc/krb5.conf
[libdefaults]
default_realm = KK.COM
dns_lookup_kdc = yes
[realms]
KK.COM = {
kdc = server.kk.com
kpasswd_server = server.kk.com
default_domain = kk.com
}
[logging]
default = SYSLOG:INFO:LOCAL1
[domain_realm]
.kk.com = KK.COM
kk.com = KK.COM
computer#
Вопрос:
Почему это:
Код: Выделить всё
computer# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
не сработало, а это:
Код: Выделить всё
computer# net ads join -U igor
igor's password:
Using short domain name -- KK
Joined 'computer' to realm 'KK.COM'
computer#
сработало?
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-11-09 15:28:11
Alex Keda
файрволл например...
собсно - какая разница - заджойнился, и ладно
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-11-09 17:04:37
skylego
Просто непонятно. Оба пользователя в домене есть. А подключиться удалось только с одного. И вот еще. Теперь когда поключаюсь к CUPS требует пароль. Я ввожу пароль root - ОК, потом добавляю принтер, он опять спрашивает пароль, и пароль root не проходит. Что такое может быть?
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-11-10 14:04:41
Al
может,пароль из домена,что врядли,а может пароль,созданный smbpasswd.я для работы с купсом вообще выводил тачку из домена и ставил security= share......
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-12-27 9:01:32
n025
такая же проблема только разные логины не помогают
Код: Выделить всё
delta# net ads join -U nikola
nikola's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
delta# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
что можно ещё попробовать/посмотреть?
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-12-27 14:28:02
n025
а если я в ад его руками пропишу прокатит?
или же надо что бы он сам там себя прописал?
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-12-27 17:21:48
princeps
наверное, не прокатит, потому что ему надо с AD о паролях договориться
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2007-12-28 14:39:08
n025
Переставил систему на 6.2 вместо 6.3RC и завёлся в домен.
затык теперь в другом не пускает на комп в логах:
Код: Выделить всё
Dec 28 14:38:47 delta smbd[99301]: [2007/12/28 14:38:47, 0] lib/access.c:check_access(327)
Dec 28 14:38:47 delta smbd[99301]: Denied connection from (192.168.0.70)
а в окнах:
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2008-11-17 20:18:41
Проходящий мимо
computer# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
Administrator c заглавной буквы.(не утверждаю, у самого были такие грабли подцепился под другим пользователем а под админом не хотел)
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2008-11-18 13:44:54
MASiK
n025 писал(а):такая же проблема только разные логины не помогают
Код: Выделить всё
delta# net ads join -U nikola
nikola's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
delta# net ads join -U administrator
administrator's password:
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
что можно ещё попробовать/посмотреть?
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2008-12-02 15:04:33
Guest135
Нашел решение
" You could either use an administrative account which is not a member of so many groups (causing the "packet too big" error), or use a more recent version of samba. In any version <= 3.0.22 the tcp fallback is not implemented during the kpasswd request. The krb5.conf kdc line is not taken into account at this place. "
Мне помогло уменьшение количества групп пользователя под которым ввожу комп в домен.
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2008-12-02 15:13:05
snorlov
Вообще-то проблема известная, по умолчанию количество групп, в которые входит пользователь ограничено 16-тью, снимается перекомпиляцией ядра...
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-22 12:36:37
Akela
Возникла похожая проблема уже около года работал Freebsd 6.3 d АД с авторизацие пользователей в домене под управлением Win2003. Прешлось переименовать домен вместо Sigma на Sigma.local, netbios имя SIGMA. После таких манипуляций Freebsd на отказ не хочет входить в домен.
пишет такую ошибку.
net ads join -U bondarenko
libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password
bondarenko@SIGMA.LOCAL failed: Response too big for UDP, retry with TCP
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
krb5.conf
Код: Выделить всё
[libdefaults]
default_realm =SIGMA
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
SIGMA.LOCAl = {
kdc = osndc.sigma.local или так все ровно не работает tcp/osndc.sigma.loca
admin_server = osndc.sigma.local
}
OTHER.REALM = {
v4_instance_convert = {
kerberos = kerberos
computer = osndc.sigma.local
}
}
[domain_realm]
.sigma.local = SIGMA.LOCAL
SMB.conf
Код: Выделить всё
workgroup = SIGMA
server string = Samba Server
security = ads
osts allow = 192.168.1. 192.168.2. 127.
load printers = yes
log file = /var/log/samba/log.%m
max log size = 200
password server = osndc.sigma.local
realm = SIGMA.LOCAL
passdb backend = tdbsam
socket options = TCP_NODELAY
local master = no
os level = no
domain master = no
preferred master = no
dns proxy = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
/bin/false %u
encrypt passwords = yes
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
nt acl support = yes
inherit acls = yes
map acl inherit = yes
Подскажите куда копать.
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-22 14:22:27
snorlov
а kinit что говорит
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-22 14:37:52
Akela
Конкретно с такими настройками он билет получает.
Команда klist
Код: Выделить всё
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Admin@SIGMA
Issued Expires Principal
Apr 22 14:32:53 Apr 23 00:32:53 krbtgt/SIGMA@SIGMA
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-22 14:39:48
Akela
Он нормально билет получает.
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-22 21:25:16
snorlov
Akela писал(а):Возникла похожая проблема уже около года работал Freebsd 6.3 d АД с авторизацие пользователей в домене под управлением Win2003. Прешлось переименовать домен вместо Sigma на Sigma.local, netbios имя SIGMA. После таких манипуляций Freebsd на отказ не хочет входить в домен.
пишет такую ошибку.
net ads join -U bondarenko
libads/kerberos.c:ads_kinit_password(228)
kerberos_kinit_password
bondarenko@SIGMA.LOCAL failed: Response too big for UDP, retry with TCP
Failed to join domain: NT_STATUS_PROTOCOL_UNREACHABLE
krb5.conf
Подскажите куда копать.
мне кажется
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-23 9:48:03
Akela
С такими параметрами он выдает ошибку ту что при вводе в домен.
Код: Выделить всё
libdefaults]
default_realm =SIGMA.LOCAL
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
SIGMA.LOCAl = {
kdc = tcp/osndc.sigma.local
admin_server = tcp/osndc.sigma.local
}
OTHER.REALM = {
v4_instance_convert = {
kerberos = kerberos
computer = tcp/osndc.sigma.local
}
}
[domain_realm]
sigma.local = SIGMA.LOCAL
kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-23 11:26:20
snorlov
Akela писал(а):С такими параметрами он выдает ошибку ту что при вводе в домен.
Код: Выделить всё
libdefaults]
default_realm =SIGMA.LOCAL
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
SIGMA.LOCAl = {
kdc = tcp/osndc.sigma.local
admin_server = tcp/osndc.sigma.local
Попробуй добавить
Akela писал(а):
Код: Выделить всё
}
}
[domain_realm]
sigma.local = SIGMA.LOCAL
kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP
Почему не взялся префикс tcp/ в kdc ...
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-23 12:06:14
Akela
Уже пробывал. Есть правдо небольшие продвижения если можно так сказать. Если не указывать полное DNS имя (sigma.local) а ставить везде netbios имя (Sigma) то он получает билет нормально но не может Авторизоваться в домене пишет вот ошибку.
Код: Выделить всё
[2009/04/23 11:38:26, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers
Failed to join domain: No logon servers
А по поводу префикса я заметил что он не чего не дает. Так как не какие манипуляции с ним не проходили у меня ну на данный момент он у меня сейчас стоит.
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-23 15:55:32
snorlov
А ты не мог что-нибудь прикрыть файрволом, ...
Если очень надо, то поставь в smb.conf
да используй все хозяйство в режиме домена NT4, и потихоньку разбирайся с AD, странно, что ты билета не получаешь и tcp/ не сработало..
У меня когда про udp было сообщение именно tcp/ и помог...
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-23 16:55:21
Akela
Firefall настроен так что внутри сети все всё можно. У меня тоже как то давно было такое сообщение про TCP и справился ним гораздо проще сам конфиг был не корректен, и ключ TCP я туда не добавлял . Что делать не знаю в инети поэтому поводу что то очень мало написано хотя и проблема распространённая.
Re: FreeBSD включить в Ms Server 2003 с AD
Добавлено: 2009-04-23 21:05:31
snorlov
Akela писал(а):Firefall настроен так что внутри сети все всё можно. У меня тоже как то давно было такое сообщение про TCP и справился ним гораздо проще сам конфиг был не корректен, и ключ TCP я туда не добавлял . Что делать не знаю в инети поэтому поводу что то очень мало написано хотя и проблема распространённая.
Ну почему мало написано, я во всяком случае поступаю так, ставлю Freebsd 6.Х или 7.Х, настраиваю resolv.conf и host, так чтобы KDC пинговался по доменному имени и ip, затем проверяю работу kerberos'а, получая билет, затем ставлю openldap-client 2.3.Х, затем самбу с поддержкой LDAP, AD, WINBIND ну и дальше ковыряю smb.conf, nsswitch.conf. Если нужен сквид, но это уже отдельная песня...