Главная

Debian 4.0 Etch vs Windows Domain

13.11.2008 в 12:38 — Автономный
Помогите разобраться, я второй день бьюсь, никак не настрою.

/etc/hosts:

127.0.0.1 localhost Vib-c-admin02
192.168.10.100 justpdc
192.168.20.128 Vib-c-admin02

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

/etc/:

[libdefaults]
default_realm =
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
dns_lookup_kdc = true
dns_lookup_realm = false

[realms]
= {
kdc =
admin_server =
master_kdc =
default_domain =
}

[domain_realm]
. =
=

[capaths]
= {
= .
}

[logging]
kdc = SYSLOG:INFO
admin_server = FILE=/var/


/etc/samba/:

[global]
workgroup = just
security = ads
password server = 192.168.10.100
realm =
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash/
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
restrict anonymous = 2
netbios name = Vib-c-admin02
server string = Gavryushin Anton
browseable = yes

[distr]
path = /media/other
comment = mediafiles
readonly = Yes
guest ok = Yes

[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
public = no
writable = no
create mode = 0700

/etc/:

# generated by NetworkManager, do not edit!

nameserver 192.168.10.100

domain just


Застопорился на моменте:

net ads join

Выдает следующее:

Using short domain name -- JUST
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'VIB-C-ADMIN02' in realm ''

Комментарии

13.11.2008 в 12:50 — Николай

Может в /etc/
domain
?

13.11.2008 в 16:03 — Автономный

Не помогло.

13.11.2008 в 22:56 — Николай

А если указать доменного администратора
net ads join -U JUST/Administrator
или как там это правильно пишется.
Или попробовть удалить/создать заново в домене учетную запись для VIB-C-ADMIN02

13.11.2008 в 23:46 — Автономный

Эти все варианты уже перепробовал.
Единственный мой вариант - это где-то в конфигах косяк DNS.

14.11.2008 в 02:05 — Николай

а что выдает hostname?

14.11.2008 в 11:37 — Автономный

Vib-c-admin02

14.11.2008 в 20:45 — Николай

Посмотрел у себя на работе - в /etc/hosts
127.0.0.1 только localhost
Может из-за этого?

14.11.2008 в 20:48 — Николай

Хотел сегодня, да забыл, попробую на следущей взять с собой конфиги samba и kerberos с работы

17.11.2008 в 01:17 — Egor

только на днях у себя в универе CUPS настраивал на Дебиане + АД.
2 дня проигрался так как никогда до этого дела с домейн контролером не имел, но сделал!

1. /etc/hosts -- тут порядок!
2. настройка керберос

я бы так это прописал если спроекцировать к моей среде

/etc/
#
default_realm =
dns_lookup_realm = false
dns_lookup_kdc = false
clock_skew = 300
ticket_lifetime = 24h
forwardable = yes

[realms]
= {
kdc = # здесь обязательно! домейн ЗАГЛАВНЫМИ
admin_server = # тоже САМОЕ!!
master_kdc = # ЗАГЛАВНЫМИ!!!
default_domain =
}

[domain_realm]
.er = ##здесь в левой части у тебя
.L = # ошибки поставь как у меня

[logging]
kdc = SYSLOG:INFO
admin_server = FILE=/var/

##
потом получаеш билет от кербера

:# kinit admin@ #домейная часть ЗАГЛАВНЫМИ!!!

:# klist # проверка или удачно получил билет от кербера

Ticket cache: FILE:/tmp/krb5cc_0 ... должно выдать и тд

3. /etc/samba/

[global]

workgroup = JUST
realm =
load printers = no
preferred master = no
local master = no
server string = fileserver
password server = 192.168.10.100
encrypt passwords = yes
security = ADS
netbios name = Vib-c-admin02
client signing = Yes
dns proxy = No
wins server = ip-of-your-domaincontroller
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes

4. :# /etc/init.d/samba restart

5. :# net ads join -U admin

6. /etc/

passwd: compat winbind

shadow: compat winbind
group: compat winbind

# конец! особое внимание на ЗАГЛАВНЫЕ должны быть ЗАГЛАВНЫМИ!!! - мелочь но она у меня день жизни убила!

17.11.2008 в 16:39 — Автономный

Тоже самое:
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'VIB-C-ADMIN02' in realm ''

Конфиги подправил, теперь они выглядят так:

[global]

workgroup = JUST
realm =
load printers = no
preferred master = no
local master = no
server string = fileserver
password server = 192.168.10.100
encrypt passwords = yes
security = ADS
netbios name = Vib-c-admin02
client signing = Yes
dns proxy = No
wins server = ip-of-your-domaincontroller
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes

[distr]
path = /media/other/Share
comment = mediafiles
readonly = Yes
guest ok = Yes

[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
public = no
writable = no
create mode = 0700

[libdefaults]
default_realm =
dns_lookup_realm = false
dns_lookup_kdc = false
clock_skew = 300
ticket_lifetime = 24h
forwardable = yes

[realms]
= {
kdc =
admin_server =
master_kdc =
default_domain =
}

[domain_realm]
.er =
L =

[logging]
kdc = SYSLOG:INFO
admin_server = FILE=/var/

17.11.2008 в 23:17 — Egor

Вот мои конфиги

[libdefaults]
default_realm =
dns_lookup_realm = false
dns_lookup_kdc = false
clock_skew = 300
ticket_lifetime = 24h

krb4_config = /etc/
krb4_realms = /etc/ms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
= {
kdc =
admin_server =
default_domain =
}

[domain_realm]
.er =
. =

[login]
krb4_convert = false
krb4_get_tickets = false

[global]

workgroup = RUS
realm =
netbios name = wc544
preferred master = no
local master = no
client signing = Yes
server string = %h server

wins server = 1x.16x.0.2x
dns proxy = no

log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ADS
password server =
encrypt passwords = true
passdb backend = tdbsam

obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u

load printers = yes
printing = cups
printcap name = cups
socket options = TCP_NODELAY
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
winbind nested groups = Yes
inherit acls = Yes
map acl inherit = Yes

[homes]
comment = Home Directories
path = /home/DOMAIN
valid users = %S
read only = no
create mask = 0775
directory mask = 0775
browseable = no
public = yes
writeable = yes
force create mode = 0775
force directory mode = 0775
force security mode = 0775
guest ok = no
inherit permissions = yes
nt acl support = yes
valid users = %S
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
public = yes
writable = no
create mode = 0700
printer admin = root

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no

write list = root

passwd: compat winbind
group: compat winbind
shadow: compat winbind

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis

не скажу что все идеально работает Но аутентикация работает нормально

18.11.2008 в 17:15 — Автономный

Что-то у вас все иначе, чем мне объясняли. :)

19.11.2008 в 00:35 — Egor

наверняка были неточности, но ты зделал?

19.11.2008 в 01:12 — Автономный

Так и не получилось. В домен не пускает.

19.11.2008 в 18:42 — Egor

1. нужно получить билетик от krb.
# kinit login_name@

проверить или получил билетик через
# klist

2. подключится к домейну

# net ads join -U login_name

если получается получить билет но не получается подключится к домейну ищи ошибки в файле

19.11.2008 в 23:38 — Автономный

Билет получается. Теперь хоть знаю, где копать надо.

02.12.2008 в 13:36 — Автономный

Я это сделал. :D