Есть задача чтобы пользователи из AD авторизировались на Ubuntu и имели доступ к ресурсам сети AD.
Делаю вот по этой доке http://forum.ubuntu.ru/index.php?topic=17941.msg137431
Всё сделал по шагам. winbind и samba установленны, перезагружены.
соответственно при выполнии net ads join –U administrator
происходит следующее:utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon serversЕщё вопрос, я всё путаюсь. У нас домен COMPANY
т.е. пользователь в винде когда заходишь COMPANY\Administrator,
а в свойствах компа (видимо полное FQDN) COMPANY.firma.ru
т.е. я немного могу путать FQDN и DOMAIN и REALM, на всякий случай привожу тут свой конфиг. файл:[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = COMPANY
server string = %h server (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.0.111
realm = COMPANY.FIRMA.RU
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0
>[оверквотинг удален]
> winbind enum users = yes
> template homedir = /home/%D/%U
> client use spnego = yes
> winbind use default domain = yes
> winbind refresh tickets = yes
> restrict anonymous = 2
> domain master = no
> local master = no
> preferred master = no
> os level = 0Вполне нормальный конфиг samba. Есть пара вопросов, а именно:
1. А realm действительно такой COMPANY.FIRMA.RU ?
2. Версия Samba больше 3 ?
3. А не пробовали ли завести Linux машину в AD, командой net rpc join -U Admin (Administrator) ?
4. Пробовали ли завести машину в домен таким образом:
security = domain в samba.conf
и в командной строке net rpc join -U Admin (Administrator) ?
5. Правильно ли я понял, что kerberos настроен и выдает тиекеты ?
[оверквотинг удален]>Вполне нормальный конфиг samba. Есть пара вопросов, а именно:
>1. А realm действительно такой COMPANY.FIRMA.RU ?Ну уж незнаю. Есть у нас домен firma.ru,
у нас дочерний домен COMPANY
Ну соответственно в винде при блокировке пишется COMPANY\Администратор
А в свойствах компа compname.company.firma.ru
может я не разобрался, всё путаюсь с этими рилмами.
>2. Версия Samba больше 3 ?Да, Samba 3.0.0.28
>3. А не пробовали ли завести Linux машину в AD, командой net
>rpc join -U Admin (Administrator) ?Конечно пробовал, когда делал по другой документации:
~# net rpc join -U Administrator
Unable to find a suitable server
Unable to find a suitable server
>4. Пробовали ли завести машину в домен таким образом:
>security = domain в samba.conf
>и в командной строке net rpc join -U Admin (Administrator) ?
>5. Правильно ли я понял, что kerberos настроен и выдает тиекеты ?
>Нет, с керберос другая беда:
kinit Administrator@CONTORA.firma.ru
Password for Administrator@CONTORA.firma.ru:
kinit(v5): Preauthentication failed while getting initial credentialsВот мой конфиг # cat /etc/krb5.conf
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = CONTORA.FIRMA.RU[realms]
CONTORA.FIRMA.RU = {
kdc = dc.contora.firma.ru
admin_server = dc.contora.firma.ru
default_domain =contora.firma.ru
}[domain_realm]
.contora.firma.ru = CONTORA.FIRMA.RU
contora.firma.ru = CONTORA.FIRMA.RU
[login]
default = FILE:/var/log/krb5.logБольшие на маленькие маленькие на большие буквы уже много раз менял :)
Но по той документации, ссылку на которую я привёл вообще net ads join –U administrator
должен работать до настройки керберос.
>[оверквотинг удален]
> contora.firma.ru = CONTORA.FIRMA.RU
>
>[login]
>default = FILE:/var/log/krb5.log
>
>Большие на маленькие маленькие на большие буквы уже много раз менял :)
>
>Но по той документации, ссылку на которую я привёл вообще net ads
>join –U administrator
>должен работать до настройки керберос.Спасибо за ответы на вопросы. Должен заметить следующее. Пока не настроите kerberos на выдачу тикетов, про команду net ads join -U Administrator можно забыть. Она не будет работать.
Если у Вас в сети не используется kerberos, то его можно не настраивать, а вводить samba в домен, как я описал выше в п. №4., то есть в smb.conf выставить security = domain и вводить машину с samba в домен командой net rpc join -U Administrator.
Теперь позвольте ще несколько вопросов, а именно
1. Часы в системе синхронизированы ?
2. Samba собиралась из исходников с поддержкой winbind ?
3. Обычно выдает тикеты в керберос тоже самый PDC. Надо проверить соосветствуют ли алреса kdc и pdc друг другу.
4. Мне кажется что в krb5.conf есть неточности с буквами строчными и прописными. Попробуйте восставновить его из исходника и затем заменить название realm на ваше ?
5. Надеюсь что до ввода в домен у Вас ни winbind ни smbd c nibd не запущены ?
>>[оверквотинг удален]
>Спасибо за ответы на вопросы.Это вам спасибо, что отвечаете
Должен заметить следующее. Пока не настроите kerberos
>на выдачу тикетов, про команду net ads join -U Administrator можно
>забыть. Она не будет работать.гм. А почему же тогда в документации про это ничего? И сделано именно в такой последовательности?
>Если у Вас в сети не используется kerberos, то его можно не
>настраивать, а вводить samba в домен, как я описал выше в
>п. №4., то есть в smb.conf выставить security = domain и
>вводить машину с samba в домен командой net rpc join -U
>Administrator.Да вроде бы используется
>Теперь позвольте ще несколько вопросов, а именно
>1. Часы в системе синхронизированы ?Вроде бы да, по крайней мере команду /etc/network/if-up.d/ntpdate
он проглатывает и не ругается, и
net time set
Mon May 5 14:41:47 MSD 2008>2. Samba собиралась из исходников с поддержкой winbind ?
Нет, собиралось всё так: sudo apt-get install samba smbfs winbind libpam-mount
>3. Обычно выдает тикеты в керберос тоже самый PDC. Надо проверить соосветствуют
>ли алреса kdc и pdc друг другу.В конфиге что-ли? А так вообще домен то Windows 2003, тут как бы прописываю основной DC как kdc и pdc.
>4. Мне кажется что в krb5.conf есть неточности с буквами строчными и
>прописными. Попробуйте восставновить его из исходника и затем заменить название realm
>на ваше ?Возможно, несколько раз менял и пробовал в том, что из исходника делать по аналогии, то же самое.
Я вот неуверен, правильно ли я пишу realm ?
>5. Надеюсь что до ввода в домен у Вас ни winbind ни
>smbd c nibd не запущены ?Запущены, всё как сказанно в документации, цитирую:
------------------------------------------------------------------------------------
4. Даем команду чтобы демоны перечитали конфигурацию:
/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start5. Подключаем машину в домен
net ads join –U administrator
Далее будет запрос пароля доменного админа------------------------------------------------------------------------------------
>[оверквотинг удален]
>------------------------------------------------------------------------------------
>
>4. Даем команду чтобы демоны перечитали конфигурацию:
>/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
>
>5. Подключаем машину в домен
>net ads join –U administrator
>Далее будет запрос пароля доменного админа
>
>------------------------------------------------------------------------------------Спасибо за ответы на вопросы.
Да именно pdc и kdc этот один и тот же первичный контроллер домена. И надо укаазать его адрес. Можно и IP прямо указать.
Я бы попробовал пересобрать samba из исходников. и взял бы посвежее самбу. Хотя я впихивал в домен 2003 и самбу меньше 3-й версии.
Что касается Вашего реалма, то он и вправду странноватый. Вы его сами регистрировали или достался по наследству ?
Нет и еще раз нет. Машина с samba в домен заводится без запуска winbind и тем более smbd и nmbd.
Спасибо за ответы на вопросы.
>Да именно pdc и kdc этот один и тот же первичный контроллер
>домена. И надо укаазать его адрес. Можно и IP прямо указать.Пробовал указывать ip, но к сожалению и это не помогает.
>
>Я бы попробовал пересобрать samba из исходников. и взял бы посвежее самбу.
>Хотя я впихивал в домен 2003 и самбу меньше 3-й версии.
>Зачем пересобирать, чем плох apt-get ?
>Что касается Вашего реалма, то он и вправду странноватый. Вы его сами
>регистрировали или достался по наследству ?Достался, а чем странный, у многих вроде бы не плоская доменная структура.
>Нет и еще раз нет. Машина с samba в домен заводится без
>запуска winbind и тем более smbd и nmbd.гм. попробую.
>[оверквотинг удален]
>>Да именно pdc и kdc этот один и тот же первичный контроллер
>>домена. И надо укаазать его адрес. Можно и IP прямо указать.
>
>Пробовал указывать ip, но к сожалению и это не помогает.
>>
>>Я бы попробовал пересобрать samba из исходников. и взял бы посвежее самбу.
>>Хотя я впихивал в домен 2003 и самбу меньше 3-й версии.
>>
>
>Зачем пересобирать, чем плох apt-get ?Тем что ты не знаешь samba была собрана с поддержкой winbind или нет без оной ! И еще. Когда собираешЪ из исходников, то всегда прежде чем собирать можешъ посмотреть испустив команду ./confugure --help, какие есть опции у данного релиза и самое главное выбрать нужные тебе.
>
>>Что касается Вашего реалма, то он и вправду странноватый. Вы его сами
>>регистрировали или достался по наследству ?
>
>Достался, а чем странный, у многих вроде бы не плоская доменная структура.Да это не плоская структура. Это верно. Она хороша. Но чего ты должен указывать в качестве PDC ? По здравому смыслу это должен быть FIRMA.RU, ибо он является мастером схемы и он зарегистрирован. А твой COMPANY есть поддомен этого основного домена. FIRMA.RU и COMPANY.FIRMA.RU на разных машинах ? Узнайте, все какое из этих двух имен у Вас зарегистрировано.
>
>>Нет и еще раз нет. Машина с samba в домен заводится без
>>запуска winbind и тем более smbd и nmbd.
>
>гм. попробую.
>>[оверквотинг удален]
>>Зачем пересобирать, чем плох apt-get ?
>
>Тем что ты не знаешь samba была собрана с поддержкой winbind или
>нет без оной ! И еще. Когда собираешЪ из исходников, то
>всегда прежде чем собирать можешъ посмотреть испустив команду ./confugure --help, какие
>есть опции у данного релиза и самое главное выбрать нужные тебе.гм.. ну сервис winbind есть и он стартует, если бы была бы проблема в сборке самбы без поддержки winbind там уже написали бы.
>[оверквотинг удален]
>>>регистрировали или достался по наследству ?
>>
>>Достался, а чем странный, у многих вроде бы не плоская доменная структура.
>
>Да это не плоская структура. Это верно. Она хороша. Но чего ты
>должен указывать в качестве PDC ? По здравому смыслу это должен
>быть FIRMA.RU, ибо он является мастером схемы и он зарегистрирован. А
>твой COMPANY есть поддомен этого основного домена. FIRMA.RU и COMPANY.FIRMA.RU на
>разных машинах ? Узнайте, все какое из этих двух имен у
>Вас зарегистрировано.ну зарегестрирован у нас FIRMA.RU, к которому мы даже не имеем доступа, а у нас домен COMPANY, в котором для него же есть домен DC.COMPANY, т.е в свойствах он конечно DC.company.firma.ru, это что бы было понятнее написал. Короче запутался какой у меня должен быть realm.
>>
>>>Нет и еще раз нет. Машина с samba в домен заводится без
>>>запуска winbind и тем более smbd и nmbd.
>>
>>гм. попробую.
>[оверквотинг удален]
>>должен указывать в качестве PDC ? По здравому смыслу это должен
>>быть FIRMA.RU, ибо он является мастером схемы и он зарегистрирован. А
>>твой COMPANY есть поддомен этого основного домена. FIRMA.RU и COMPANY.FIRMA.RU на
>>разных машинах ? Узнайте, все какое из этих двух имен у
>>Вас зарегистрировано.
>
>ну зарегестрирован у нас FIRMA.RU, к которому мы даже не имеем доступа,
>а у нас домен COMPANY, в котором для него же есть
>домен DC.COMPANY, т.е в свойствах он конечно DC.company.firma.ru, это что бы
>было понятнее написал. Короче запутался какой у меня должен быть realm.Немного понятно. У Вас домен FIRMA.RU где территориално находится ?
>
>
>>>
>>>>Нет и еще раз нет. Машина с samba в домен заводится без
>>>>запуска winbind и тем более smbd и nmbd.
>>>
>>>гм. попробую.
>[оверквотинг удален]
>>>твой COMPANY есть поддомен этого основного домена. FIRMA.RU и COMPANY.FIRMA.RU на
>>>разных машинах ? Узнайте, все какое из этих двух имен у
>>>Вас зарегистрировано.
>>
>>ну зарегестрирован у нас FIRMA.RU, к которому мы даже не имеем доступа,
>>а у нас домен COMPANY, в котором для него же есть
>>домен DC.COMPANY, т.е в свойствах он конечно DC.company.firma.ru, это что бы
>>было понятнее написал. Короче запутался какой у меня должен быть realm.
>
>Немного понятно. У Вас домен FIRMA.RU где территориално находится ?Тут же, только админины другие.
>[оверквотинг удален]
>>>>Вас зарегистрировано.
>>>
>>>ну зарегестрирован у нас FIRMA.RU, к которому мы даже не имеем доступа,
>>>а у нас домен COMPANY, в котором для него же есть
>>>домен DC.COMPANY, т.е в свойствах он конечно DC.company.firma.ru, это что бы
>>>было понятнее написал. Короче запутался какой у меня должен быть realm.
>>
>>Немного понятно. У Вас домен FIRMA.RU где территориално находится ?
>
>Тут же, только админины другие.Спасибо за ответ и информацию. Если я правильно понял, то это все в одной организации, только разные здания или подразделения ? То есть все джело не выходит за рамки одного здания ?
>>[оверквотинг удален]
>
>Спасибо за ответ и информацию. Если я правильно понял, то это все
>в одной организации, только разные здания или подразделения ? То есть
>все джело не выходит за рамки одного здания ?Да, всё в одной организации, а что, это меняет суть дела? :)
>>>[оверквотинг удален]
>>
>>Спасибо за ответ и информацию. Если я правильно понял, то это все
>>в одной организации, только разные здания или подразделения ? То есть
>>все джело не выходит за рамки одного здания ?
>
>Да, всё в одной организации, а что, это меняет суть дела? :)
>Спасибо за ответ ! А где у вас настроена поддержка зоны company.firma.ru ?
>>>>[оверквотинг удален]
>Спасибо за ответ ! А где у вас настроена поддержка зоны company.firma.ruЯ не понимаю что вы имеете ввиду?
>>>>>[оверквотинг удален]
>>Спасибо за ответ ! А где у вас настроена поддержка зоны company.firma.ru
>
>Я не понимаю что вы имеете ввиду?Хммм....задам вопрос, который я уже задавал вам прежде. Домены FIRMA.RU и поддомен COMPANY.FIRMA.RU настроены разных машинах ?
>>>>>>[оверквотинг удален]
>
>Хммм....задам вопрос, который я уже задавал вам прежде. Домены FIRMA.RU и поддомен
>COMPANY.FIRMA.RU настроены разных машинах ?Да, конечно на разных машинах.
>>>>>>>[оверквотинг удален]
>>
>>Хммм....задам вопрос, который я уже задавал вам прежде. Домены FIRMA.RU и поддомен
>>COMPANY.FIRMA.RU настроены разных машинах ?
>
>Да, конечно на разных машинах.Спасибо за информацию. Поддержка зоны COMPANY.FIRMA.RU (прямого и обратного просмотра) настроена ? Где ?
>>>>>>>>[оверквотинг удален]
>>>
>>>Хммм....задам вопрос, который я уже задавал вам прежде. Домены FIRMA.RU и поддомен
>>>COMPANY.FIRMA.RU настроены разных машинах ?
>>
>>Да, конечно на разных машинах.
>
>Спасибо за информацию. Поддержка зоны COMPANY.FIRMA.RU (прямого и обратного просмотра) настроена ?
>Где ?DNS на DC.COMPANY.FIRMA.RU
>[оверквотинг удален]
>>>>
>>>>Хммм....задам вопрос, который я уже задавал вам прежде. Домены FIRMA.RU и поддомен
>>>>COMPANY.FIRMA.RU настроены разных машинах ?
>>>
>>>Да, конечно на разных машинах.
>>
>>Спасибо за информацию. Поддержка зоны COMPANY.FIRMA.RU (прямого и обратного просмотра) настроена ?
>>Где ?
>
>DNS на DC.COMPANY.FIRMA.RUДа, точнее он DC.FIRMA.RU
>[оверквотинг удален]
>>>>>COMPANY.FIRMA.RU настроены разных машинах ?
>>>>
>>>>Да, конечно на разных машинах.
>>>
>>>Спасибо за информацию. Поддержка зоны COMPANY.FIRMA.RU (прямого и обратного просмотра) настроена ?
>>>Где ?
>>
>>DNS на DC.COMPANY.FIRMA.RU
>
>Да, точнее он DC.FIRMA.RUЩас ничче не понимаю................. Увас в системе один DNS с настроенными основными зонами прямого и обратного просмотра. Верно ?
>[оверквотинг удален]
>>>>
>>>>Спасибо за информацию. Поддержка зоны COMPANY.FIRMA.RU (прямого и обратного просмотра) настроена ?
>>>>Где ?
>>>
>>>DNS на DC.COMPANY.FIRMA.RU
>>
>>Да, точнее он DC.FIRMA.RU
>
>Щас ничче не понимаю................. Увас в системе один DNS с настроенными основными
>зонами прямого и обратного просмотра. Верно ?Нет, ещё есть на линухе bind.
Сейчас обнаружил, что у нас второй контроллер dc2 не dc2.firma.ru а именно DC2.COMPANY.FIRMA.RU
В общем какая то каша, хотя они вроде равноценны. И отвечают за один домен COMPANY
>[оверквотинг удален]
>>Щас ничче не понимаю................. Увас в системе один DNS с настроенными основными
>>зонами прямого и обратного просмотра. Верно ?
>
>Нет, ещё есть на линухе bind.
>
>Сейчас обнаружил, что у нас второй контроллер dc2 не dc2.firma.ru а именно
>DC2.COMPANY.FIRMA.RU
>
>В общем какая то каша, хотя они вроде равноценны. И отвечают за
>один домен COMPANYЕсли Вы запутались в том, как у Вас построена сеть, то мне еще тяжелее. Может быть Вам следует сначала разобраться с Вашими DNS и контроллерами доменов, а потом присткпать к настройке samba ?
что показывает команда:
nslookup dc2.company.firma.ru
и что показывает команда
hostname IP адрес dc2.company.firma.ru
>[оверквотинг удален]
>>В общем какая то каша, хотя они вроде равноценны. И отвечают за
>>один домен COMPANY
>
>Если Вы запутались в том, как у Вас построена сеть, то мне
>еще тяжелее. Может быть Вам следует сначала разобраться с Вашими DNS
>и контроллерами доменов, а потом присткпать к настройке samba ?
>что показывает команда:
>nslookup dc2.company.firma.ru
>и что показывает команда
>hostname IP адрес dc2.company.firma.ruServer: dc.firma.ru
Address: 192.168.1.5Name: dc2.company.firma.ru
Address: 192.168.1.6Вот как раз dc2.company.firma.ru показывает
>[оверквотинг удален]
>>hostname IP адрес dc2.company.firma.ru
>
>Server: dc.firma.ru
>Address: 192.168.1.5
>
>Name: dc2.company.firma.ru
>Address: 192.168.1.6
>
>
>Вот как раз dc2.company.firma.ru показываетСпасибо за информацию. Прекрасно. Что показывает команда:
hostname 192.168.1.5
и что показывает команда
hostname 192.168.1.6
>[оверквотинг удален]
>>>>
>>>>Хммм....задам вопрос, который я уже задавал вам прежде. Домены FIRMA.RU и поддомен
>>>>COMPANY.FIRMA.RU настроены разных машинах ?
>>>
>>>Да, конечно на разных машинах.
>>
>>Спасибо за информацию. Поддержка зоны COMPANY.FIRMA.RU (прямого и обратного просмотра) настроена ?
>>Где ?
>
>DNS на DC.COMPANY.FIRMA.RUСпасибо за инфу. И у него если я правильно понял, настроены зоны прямого и обратного просмотра ? Это первое. И второе что показывают команды:
nslookup dc.company.firma.ru
hostname IP адрес dc.company.firma.ruИ третье. DNS который поддерживает зону FIRMA.RU знает чего-либо о DNS подерживающем зону COMPANY.FIRMA.RU ?
>[оверквотинг удален]
>>>Где ?
>>
>>DNS на DC.COMPANY.FIRMA.RU
>
>Спасибо за инфу. И у него если я правильно понял, настроены зоны
>прямого и обратного просмотра ? Это первое. И второе что показывают
>команды:
>
>nslookup dc.company.firma.ru
>hostname IP адрес dc.company.firma.ruЯ немного напутал, писал об этом выше:
nslookup dc.company.firma.ru конечно non-exist,
а вот nslookup dc.firma.ruServer: dc.firma.ru
Address: 192.168.1.5Name: dc.firma.ru
Address: 192.168.1.5
>[оверквотинг удален]
>
>Я немного напутал, писал об этом выше:
>nslookup dc.company.firma.ru конечно non-exist,
>а вот nslookup dc.firma.ru
>
>Server: dc.firma.ru
>Address: 192.168.1.5
>
>Name: dc.firma.ru
>Address: 192.168.1.5Спасибо за инфу, то есть у Вас в ситеме один DNS натроенный на поддержку только одной основной зоны FIRMA.RU (прямго и обратного просмотра). Верно ?
Что показывает команда
hostname 192.168.1.5
>[оверквотинг удален]
>>Я немного напутал, писал об этом выше:
>>nslookup dc.company.firma.ru конечно non-exist,
>>а вот nslookup dc.firma.ru
>>
>>Server: dc.firma.ru
>>Address: 192.168.1.5
>>
>>Name: dc.firma.ru
>>Address: 192.168.1.5
>Спасибо за информацию. Прекрасно. Что показывает команда:
hostname 192.168.1.5
и что показывает команда
hostname 192.168.1.6
>[оверквотинг удален]
>>>
>>>Name: dc.firma.ru
>>>Address: 192.168.1.5
>>
>
>Спасибо за информацию. Прекрасно. Что показывает команда:
>
>hostname 192.168.1.5
>и что показывает команда
>hostname 192.168.1.6Вообще так не работает, но не суть важно.
root@ubuntu:~# kinit Administrator
Password for Administrator@COMPANY.FIRMA.RU:
root@ubuntu:~#
>[оверквотинг удален]
>>
>>hostname 192.168.1.5
>>и что показывает команда
>>hostname 192.168.1.6
>
>Вообще так не работает, но не суть важно.
>
>root@ubuntu:~# kinit Administrator
>Password for Administrator@COMPANY.FIRMA.RU:
>root@ubuntu:~#Константин, Вы торопитесь немного !
Скажите мне пожалуйста, что у Вас выводит команда
hostname 192.168.1.5и что показывает команда
hostname 192.168.1.6
>[оверквотинг удален]
>>root@ubuntu:~# kinit Administrator
>>Password for Administrator@COMPANY.FIRMA.RU:
>>root@ubuntu:~#
>
>Константин, Вы торопитесь немного !
>Скажите мне пожалуйста, что у Вас выводит команда
>hostname 192.168.1.5
>
>и что показывает команда
>hostname 192.168.1.6о.к.
в винде ответ на эту команду sethostname: воспользуйтесь панелью управления для задания имени узла.,
в линухе такая команда соответственно меняет моё хостнейм.
Если вас интересует как резолвятся эти ip с линуха, тоnmap 192.168.1.5
Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-06 17:21 MSD
Interesting ports on DC.firma.runmap 192.168.1.6
Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-06 17:21 MSD
Interesting ports on DC2.COMPANY.firma.ru
>[оверквотинг удален]
>
>nmap 192.168.1.5
>
>Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-06 17:21 MSD
>Interesting ports on DC.firma.ru
>
>nmap 192.168.1.6
>
>Starting Nmap 4.53 ( http://insecure.org ) at 2008-05-06 17:21 MSD
>Interesting ports on DC2.COMPANY.firma.ruМеня именно интересует, что выдает данная команда на машине с Линуксом, на Вашей машине с Юбунту машине, на которой Вы настраиваете samba и хотите завести ее в домен. Что показывает команда
hostname 192.168.1.5
hostname 192.168.1.6
>>[оверквотинг удален]
>hostname 192.168.1.5
>hostname 192.168.1.6Я же уже писал, что в линуксе, по крайней мере в Убунту эта команда ничего не пишет, а меняет моё текущее хостнейм.
Специально приведу листингroot@Ubuntu:~# hostname 192.168.1.5
root@Ubuntu:~#root@Ubuntu:~# hostname
192.168.1.5
root@Ubuntu:~#
>[оверквотинг удален]
>Я же уже писал, что в линуксе, по крайней мере в Убунту
>эта команда ничего не пишет, а меняет моё текущее хостнейм.
>Специально приведу листинг
>
>root@Ubuntu:~# hostname 192.168.1.5
>root@Ubuntu:~#
>
>root@Ubuntu:~# hostname
>192.168.1.5
>root@Ubuntu:~#Константин спасибо за информацию ! У Вас не созданы или не настроены зоны обратного просмотра ! Для правильной работы DNS должны быть созданы хотя бы одна зона прямого просмотра и хотя бы одна зона обратного просмотра ! Я только не понял чего выдает у Вас на линукс машине команда
hostname 192.168.1.6
То есть проверить настроены ли правильно зоны просмотра на DNS, который отвечает за зону COMPANY.FIRMA.RU и находится на Вашем dc2.company.firma.ru контроллере. С этим надо разобраться сначала, затем чтобы не иметь геморроя в дальнейшем, хотя самбу можно попробовать впихнуть и без этой настройки
>[оверквотинг удален]
>Константин спасибо за информацию ! У Вас не созданы или не настроены
>зоны обратного просмотра ! Для правильной работы DNS должны быть созданы
>хотя бы одна зона прямого просмотра и хотя бы одна зона
>обратного просмотра ! Я только не понял чего выдает у Вас
>на линукс машине команда
>hostname 192.168.1.6
>То есть проверить настроены ли правильно зоны просмотра на DNS, который отвечает
>за зону COMPANY.FIRMA.RU и находится на Вашем dc2.company.firma.ru контроллере. С этим
>надо разобраться сначала, затем чтобы не иметь геморроя в дальнейшем, хотя
>самбу можно попробовать впихнуть и без этой настройкиКонстантин, я принощу Вам извинения. Вам надо попробовать выполнить по очереди следующие команды на машине с линуксом, где Вы собираетесь настраивать самбу. Итак, вот эти команды:
nslookup dc.firma.ru
nslookup 192.168.1.5 (навроде у Вас такой IP имеет Ваш dc.firma.ru ?)
host dc.firma.ru
host 192.168.1.5 (навроде у Вас такой IP имеет Ваш dc.firma.ru ?)nslookup dc2.company.firma.ru
nslookup 192.168.1.6 (навроде у Вас такой IP имеет Ваш dc2.company.firma.ru ?)
host dc2.company.firma.ru
host 192.168.1.6 (навроде у Вас такой IP имеет Ваш dc2.company.firma.ru ?)host FQDN машины с линукс, где настраиваете самбу
host IP адрес машины с линукс, где настраиваете самбуЖдем результаты выполнения этих команд
>>[оверквотинг удален]
>команды на машине с линуксом, где Вы собираетесь настраивать самбу. Итак,
>вот эти команды:
>
>nslookup dc.firma.runslookup dc.firma.ru
Server: 192.168.1.5
Address: 192.168.1.5#53Name: dc.firma.ru
Address: 192.168.1.5>nslookup 192.168.1.5 (навроде у Вас такой IP имеет Ваш dc.firma.ru ?)
nslookup 192.168.1.5
Server: 192.168.1.5
Address: 192.168.1.5#535.1.168.192.in-addr.arpa name = dc.firma.ru.
5.1.168.192.in-addr.arpa name = dc.company.firma.ru.>host dc.firma.ru
dc.firma.ru has address 192.168.1.5
>host 192.168.1.5 (навроде у Вас такой IP имеет Ваш dc.firma.ru ?)5.1.168.192.in-addr.arpa domain name pointer dc.firma.ru.
5.1.168.192.in-addr.arpa domain name pointer dc.company.firma.ru.>
>nslookup dc2.company.firma.runslookup dc2.company.firma.ru
Server: 192.168.1.5
Address: 192.168.1.5#53Name: dc2.company.firma.ru
Address: 192.168.1.6>nslookup 192.168.1.6 (навроде у Вас такой IP имеет Ваш dc2.company.firma.ru ?)
nslookup 192.168.1.6
Server: 192.168.1.5
Address: 192.168.1.5#535.1.168.192.in-addr.arpa name = dc2.company.firma.ru.
>host dc2.company.firma.rudc2.company.firma.ru has address 192.168.1.6
>host 192.168.1.6 (навроде у Вас такой IP имеет Ваш dc2.company.firma.ru ?)
6.1.168.192.in-addr.arpa domain name pointer dc2.company.firma.ru.
>
>host FQDN машины с линукс, где настраиваете самбуroot@***:/etc# cat /etc/hosts
127.0.0.1 localhost
127.0.1.1 ubuntu8.company.firma.ru ubuntu8
192.168.69.134 DC.firma.ru
192.168.70.12 DC2.COMPANY.firma.ru>host IP адрес машины с линукс, где настраиваете самбу
host 192.168.1.15
Host 15.1.168.192.in-addr.arpa. not found: 3(NXDOMAIN)host 127.0.0.1
1.0.0.127.in-addr.arpa domain name pointer localhost.>
>Ждем результаты выполнения этих командВот результаты.
>[оверквотинг удален]
>6.1.168.192.in-addr.arpa domain name pointer dc2.company.firma.ru.
>
>>
>>host FQDN машины с линукс, где настраиваете самбу
>
>root@***:/etc# cat /etc/hosts
>127.0.0.1 localhost
>127.0.1.1 ubuntu8.company.firma.ru ubuntu8
>192.168.69.134 DC.firma.ru
>192.168.70.12 DC2.COMPANY.firma.ru^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Не понял, к чему относится эта инфа ?>[оверквотинг удален]
>host 192.168.1.15
>Host 15.1.168.192.in-addr.arpa. not found: 3(NXDOMAIN)
>
>host 127.0.0.1
>1.0.0.127.in-addr.arpa domain name pointer localhost.
>
>>
>>Ждем результаты выполнения этих команд
>
>Вот результаты.
>[оверквотинг удален]
>>>host FQDN машины с линукс, где настраиваете самбу
>>
>>root@***:/etc# cat /etc/hosts
>>127.0.0.1 localhost
>>127.0.1.1 ubuntu8.company.firma.ru ubuntu8
>>192.168.1.5 DC.firma.ru
>>192.168.1.6 DC2.COMPANY.firma.ru
>
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>Не понял, к чему относится эта инфа ?Это инфа относиться к вопросу по поводу FQDN машины с линукс, точнее тогда надо только
>[оверквотинг удален]
>>host 192.168.1.15
>>Host 15.1.168.192.in-addr.arpa. not found: 3(NXDOMAIN)
>>
>>host 127.0.0.1
>>1.0.0.127.in-addr.arpa domain name pointer localhost.
>>
>>>
>>>Ждем результаты выполнения этих команд
>>
>>Вот результаты.
>[оверквотинг удален]
>>>127.0.0.1 localhost
>>>127.0.1.1 ubuntu8.company.firma.ru ubuntu8
>>>192.168.1.5 DC.firma.ru
>>>192.168.1.6 DC2.COMPANY.firma.ru
>>
>> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>Не понял, к чему относится эта инфа ?
>
>Это инфа относиться к вопросу по поводу FQDN машины с линукс, точнее
>тогда надо толькоТак ты мне показываешъ содкржание твоего файла hosts. Верно ?
Если да, то почему ты не внесешъ туда же локаоьный IP адрес твоей линукс машины ?
Он навроде у тебя 192.168.1.15 ?
>[оверквотинг удален]
>Вполне нормальный конфиг samba. Есть пара вопросов, а именно:
>1. А realm действительно такой COMPANY.FIRMA.RU ?
>2. Версия Samba больше 3 ?
>3. А не пробовали ли завести Linux машину в AD, командой net
>rpc join -U Admin (Administrator) ?
>4. Пробовали ли завести машину в домен таким образом:
>security = domain в samba.conf
>и в командной строке net rpc join -U Admin (Administrator) ?
>5. Правильно ли я понял, что kerberos настроен и выдает тиекеты ?
>После того как настроите правильно DNS и создадите необходимые зоны просмотра Вам следует, прежде чем приступать к настройке Samba, на машине с Linux, надо сделать несколько подготовительных шагов, а именно:
на DNS, который отвечает за зону COMPANY.FIRMA.RU сделать запись А о хосте, на котором установлена Ваша Юбунту и Вы собираетесь настраивать на ней Samba.
Там же сделать запись об этом хосте в зоне обратного просмотра. (На DNS от Windows это делается одновременно с созданием записи А в основной зоне просмотра). На DNS (bind) от Linux придется редактировать оба файла зон. Это если Вы собираетесь вводить Вашу линукс (юбунту) машину с настроенной самбой в домен COMPANY.FIRMA.RU
Если же собираетесь вводить эту машину в домен FIRMA.RU, то проделать тоже самое только на DNS, который отвечает за зону FIRMA.RU.
После сделанных изменений надо сохранить о них записи в файлах (если используете графический интерфейс, есди редактируете файлв то ничего не надо сохранять, так как уже все сохранено).Затем перезапустить службу DNS или перезагрузить сервер (если это будет возможнов данный момент). Вполне возможно придется выждать некоторое время после перезагрузки, пока произойдет репликация на все контроллеры, если она у вас настроена.
Далее идете на линукс машину с Юбунту и делаете следующее:
Требования:
Собираете или смотрите Samba версии 3.х.х собранна с опциями:
--with-ldap
--with-ads
--with-krb5
--with-pam
--with-winbindустановлены ли
heimdal >0.6.3(утилиты\библиотеки kerberos) (или можно установить MIT-Kerberos)
OpenLDAP >2.2.23
Если чего то нет устанавливаете,либо из исходников либо из репозитария Юбунту.
Далее пусть:
192.168.1.6 – dc2.company.firma.ru – это сервер Windows 2003 (Ваш dc2.company.firma.ru)
192.168.1.10 – ubuntu.company.firma.ru – клиентская машина Linux (Ubutnu) с SambaНастройка разрешения имен
на вашем контроллере домена поднят DNS с зонами прямого и обратного просмотра.
Если поднят, то в файле /etc/resolv.conf прописываем следующее:search dc2.company.firma.ru
domain dc2.company.firma.ru
nameserver 192.168.1.6(Если будете вводить машину в домен FIRMA.RU, то надо настроить разрешение имен на этот nameserver, заменив в вышеприведенных данных имена dc2.company.firma.ru на dc.firma.ru, а также IP адрес dc2.company.firma.ru на IP адрес dc.firma.ru, а машина с Юбунту будет иметь имя ubuntu.firma.ru)
Если же в сети нет DNS(что вряд ли) сервера - можно воспользоваться файлами hosts на обеих машинах.
На машине Юбунту с Samba в файл /etc/hosts добавляем:
192.168.1.1 dc2.company.firma.ru
192.168.1.10 ubuntu.company.firma.ruНа контроллере домена (на dc2.company.firma.ru) в файле %Systemroot%\System32\drivers\etc\hosts пишем следующее:
192.168.1.1 dc2.company.firma.ru
192.168.1.10 ubuntu.company.firma.ruВСЕ ПОДГОТОВИТЕЛЬНЫЕ ОПЕРАЦИИ СДЕЛАНЫ. Теперь настраиваете Сначала Kerberos, затем Samba.
Сихронизируете часы. НИЧЕГО НЕ ЗАПУСКАЯ (ни winbind, ни smbd, nmbd) пробуете получить тикет от Kerberos командой:
#kinit Administrator@COMPANY.FIRMA.RU (не забывать указывать @COMPANY.FIRMA.RU и именно прорисными буквами). Вводите пароль Administrator и смотрите есть ли ошибки. Если есть смотрим логи, устаняем их. Если нет, то испускаем команду
#klist -e
Которая покажет что был выдан тикет.
Далее пробуем завести Юбунту с Samba в домен
#net ads join -U Administrator
Если не входит, то пробует так
#net rpc join -U Administrator
А дальше я уже писал вам, что и как делать посмотрите плииз эти посты ? Спасибо
После того как увидете заветную надпись
Joined to COMPANY.FIRMA.RU (или Joined to FIRMA.RU, если будете вводить Юбунту в этот домен).
Далее прописываете в init.d (или где в Юбунту прописывается запуск сервисов при перезагрузке системы)
winbindd
smbd -D
nmbd -D
И перезапустив машину с Юбунту пробуете
wbinfo -p
wbinfo -t
wbinfo -u
wbinfo -g
getent passwd
getent groupРезудьтаты сами увидите. Если что не так, смотрим логи и правим.
Удачи
P.S.
%Systemroot% - папка WINNT или WINDOWS(на системном диске)
>>[оверквотинг удален]
>После того как настроите правильно DNS и создадите необходимые зоны просмотра Вам
>следует, прежде чем приступать к настройке Samba, на машине с Linux,
>надо сделать несколько подготовительных шагов, а именно:
>на DNS, который отвечает за зону COMPANY.FIRMA.RU сделать запись А о хосте,
>на котором установлена Ваша Юбунту и Вы собираетесь настраивать на ней
>Samba.Сделаю уточнение : есть домен company.firma.ru
1-ый домен контроллер dc.firma.ru, второй dc2.company.firma.ru
днс сервер для внутренней сети есть только на dc.firma.ru, он отвечает за зону firma.ru,
которая зарегестрирована, а сам домен называется company.firma.ru и он не дочерний.
Просто так назвали. В общем непонятно.
Из виндусячей сети с одной из машин пинг Юбунты: ping Ubuntu8 идёт,
пинг Ubuntu8.company.firma.ru и Ubuntu8.firma.ry не идёт.Именно для этого вы мне советуете прописать запись А на DNS сервере? Это тоже надо для введения компа в домен?
Я так понимаю главное, чтобы с Юбунты был веиден контроллер домена и днс?>Там же сделать запись об этом хосте в зоне обратного просмотра. (На
>DNS от Windows это делается одновременно с созданием записи А в
>основной зоне просмотра).Да, у нас виндусячий ДНС на 192.168.1.5, пока не добавил запись.
>
>Если поднят, то в файле /etc/resolv.conf прописываем следующее:
>
>search dc2.company.firma.ru
>domain dc2.company.firma.ru
>nameserver 192.168.1.6
>Только тогда nameserver 192.168.1.5
>[оверквотинг удален]
>а также IP адрес dc2.company.firma.ru на IP адрес dc.firma.ru, а машина
>с Юбунту будет иметь имя ubuntu.firma.ru)
>
>Если же в сети нет DNS(что вряд ли) сервера - можно воспользоваться
>файлами hosts на обеих машинах.
>
>На машине Юбунту с Samba в файл /etc/hosts добавляем:
>
>192.168.1.1 dc2.company.firma.ru
>192.168.1.10 ubuntu.company.firma.ruБыло добавлено
>
>На контроллере домена (на dc2.company.firma.ru) в файле %Systemroot%\System32\drivers\etc\hosts пишем следующее:
>
>192.168.1.1 dc2.company.firma.ru
>192.168.1.10 ubuntu.company.firma.ruТут не добавлял.
И так на данный момент (за исключением того, что не прописан на ДНС Ubuntu8 и на контроллере домена в hosts)
имеем:root@192:~#
root@192:~# net time set
Mon May 12 13:18:26 MSD 2008
root@192:~# kinit Administrator@COMPANY.FIRMA.RU
Password for Administrator@COMPANY.FIRMA.RU
root@192:~# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@COMPANY.FIRMA.RUValid starting Expires Service principal
05/06/08 19:13:55 05/07/08 01:53:55 krbtgt/COMPANY.FIRMA.RU@COMPANY.FIRMA.RU
Etype (skey, tkt): ArcFour with HMAC/md5, ArcFour with HMAC/md5
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
root@192:~# net ads join -U Administrator
Administrator password:
[2008/05/06 19:13:55, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers
Failed to join domain: No logon serversа команда
net rpc join -U Administrator
висит
>[оверквотинг удален]
>которая зарегестрирована, а сам домен называется company.firma.ru и он не дочерний.
>Просто так назвали. В общем непонятно.
>Из виндусячей сети с одной из машин пинг Юбунты: ping Ubuntu8 идёт,
>
>пинг Ubuntu8.company.firma.ru и Ubuntu8.firma.ry не идёт.Именно для этого вы мне советуете прописать
>запись А на DNS сервере? Это тоже надо для введения компа
>в домен?
>Я так понимаю главное, чтобы с Юбунты был веиден контроллер домена и
>днс?
>УГУ.
>[оверквотинг удален]
>
>>
>>Если поднят, то в файле /etc/resolv.conf прописываем следующее:
>>
>>search dc2.company.firma.ru
>>domain dc2.company.firma.ru
>>nameserver 192.168.1.6
>>
>
>Только тогда nameserver 192.168.1.5Если у вас COMPANY.FIRMA.RU имеет IP адрес 192.168.1.5 то надо вписывать его ! Если другой IP адрес, то вписывать надо его ! Хотя можно вписать их оба но в разных строках !
>[оверквотинг удален]
>>
>>Если же в сети нет DNS(что вряд ли) сервера - можно воспользоваться
>>файлами hosts на обеих машинах.
>>
>>На машине Юбунту с Samba в файл /etc/hosts добавляем:
>>
>>192.168.1.1 dc2.company.firma.ru
>>192.168.1.10 ubuntu.company.firma.ru
>
>Было добавленоХорошо
>
>>
>>На контроллере домена (на dc2.company.firma.ru) в файле %Systemroot%\System32\drivers\etc\hosts пишем следующее:
>>
>>192.168.1.1 dc2.company.firma.ru
>>192.168.1.10 ubuntu.company.firma.ru
>
>Тут не добавлял.Надо добавить !
И желательно перезапустить компьютер с Windows !
>[оверквотинг удален]
>
>Valid starting Expires
> Service principal
>05/06/08 19:13:55 05/07/08 01:53:55 krbtgt/COMPANY.FIRMA.RU@COMPANY.FIRMA.RU
> Etype (skey, tkt): ArcFour
>with HMAC/md5, ArcFour with HMAC/md5
>
>
>Kerberos 4 ticket cache: /tmp/tkt0
>klist: You have no tickets cachedKerberos настроен ! С ним больше ничего не нужно делать !
>root@192:~# net ads join -U Administrator
>Administrator password:
>[2008/05/06 19:13:55, 0] utils/net_ads.c:ads_startup_int(286)
> ads_connect: No logon servers
>Failed to join domain: No logon servers
>
>а команда
>net rpc join -U Administrator
>виситДелаете все записи в DNS и в соответствующем файле hosts на контроллере домена о хосте Юбунту (это запись А, и запись PTR в зане обратного просмотра). Перезапускате DNS, предварительно сделав сохранение записей в файле. Выжидаете некоторое время и пробуете на машине и линукс вводить ее в домен.
Сначала так: net ads join -U Administrator
затем, если первая команда не проходит, так: net rpc join -U Administrator.
На худой конец можно поменять security с ads, на domain и попробовать такую команду
net rpc join -U Administrator
>[оверквотинг удален]
>>Из виндусячей сети с одной из машин пинг Юбунты: ping Ubuntu8 идёт,
>>
>>пинг Ubuntu8.company.firma.ru и Ubuntu8.firma.ry не идёт.Именно для этого вы мне советуете прописать
>>запись А на DNS сервере? Это тоже надо для введения компа
>>в домен?
>>Я так понимаю главное, чтобы с Юбунты был веиден контроллер домена и
>>днс?
>>
>
>УГУ.Странно, только почему тогда сколько смотрел документаций по вводу linux в домен active directory про это ничего не пишут?
>[оверквотинг удален]
>>
>>Было добавлено
>
>Хорошо
>>
>>>
>>>На контроллере домена (на dc2.company.firma.ru) в файле %Systemroot%\System32\drivers\etc\hosts пишем следующее:
>>>
>>>192.168.1.1 dc2.company.firma.ru
>>>192.168.1.10 ubuntu.company.firma.ruстоп.. а зачем на dc2.company.firma.ru пистать 192.168.1.1 ?
>[оверквотинг удален]
>> Service principal
>>05/06/08 19:13:55 05/07/08 01:53:55 krbtgt/COMPANY.FIRMA.RU@COMPANY.FIRMA.RU
>> Etype (skey, tkt): ArcFour
>>with HMAC/md5, ArcFour with HMAC/md5
>>
>>
>>Kerberos 4 ticket cache: /tmp/tkt0
>>klist: You have no tickets cached
>
>Kerberos настроен ! С ним больше ничего не нужно делать !Надеюсь
>[оверквотинг удален]
>> ads_connect: No logon servers
>>Failed to join domain: No logon servers
>>
>>а команда
>>net rpc join -U Administrator
>>висит
>
>Делаете все записи в DNS и в соответствующем файле hosts на контроллере
>домена о хосте Юбунту (это запись А, и запись PTR в
>зане обратного просмотра). Перезапускате DNS, предварительно сделав сохранение записей в файле.гм...до этого вроде бы говорили только про запись A.
>[оверквотинг удален]
>>>запись А на DNS сервере? Это тоже надо для введения компа
>>>в домен?
>>>Я так понимаю главное, чтобы с Юбунты был веиден контроллер домена и
>>>днс?
>>>
>>
>>УГУ.
>
>Странно, только почему тогда сколько смотрел документаций по вводу linux в домен
>active directory про это ничего не пишут?Да дело в том, что пишут не пониамя чего пишут ! Ты же виндовую машину, например с ХР или с Вистой, как вводишъ в домен ? Сначала делаешъ запись А и PTR в DNS ! Верно ? А чем ввод в домен Линиксовой машины отличается, от ввода в домен машины с ХР или с Вистой ? Ничем ! Верно ?
>[оверквотинг удален]
>>
>>Хорошо
>>>
>>>>
>>>>На контроллере домена (на dc2.company.firma.ru) в файле %Systemroot%\System32\drivers\etc\hosts пишем следующее:
>>>>
>>>>192.168.1.1 dc2.company.firma.ru
>>>>192.168.1.10 ubuntu.company.firma.ru
>
>стоп.. а зачем на dc2.company.firma.ru пистать 192.168.1.1 ?Не обращай на это внимание. Это просто опечатка моя. Тут должны быть IP адреса твоих DC2 и машины с Юбунту. Они у тебя 192.168.1.5 и 192.168.1.15 ! Вот их и нвдо вводить !
>[оверквотинг удален]
>>>
>>>а команда
>>>net rpc join -U Administrator
>>>висит
>>
>>Делаете все записи в DNS и в соответствующем файле hosts на контроллере
>>домена о хосте Юбунту (это запись А, и запись PTR в
>>зане обратного просмотра). Перезапускате DNS, предварительно сделав сохранение записей в файле.
>
>гм...до этого вроде бы говорили только про запись A.Я тебя и просил показать вывод команд nslookup и особенно host, чтобы посмотреть настроены ли у тебя зоны обратного просмотра. Навроде настроены. И делать запись, о хосте машины с Юбунту, нужно и в зоне прямого и в зоне обратного просмотра. Чтобы запись резолвилась нормально ! Надеюсь что на Юбунту машине в файле /etc/resolv.conf уже сделаны соответствующие записи ?
>>[оверквотинг удален]
>Да дело в том, что пишут не пониамя чего пишут ! Ты
>же виндовую машину, например с ХР или с Вистой, как вводишъ
>в домен ? Сначала делаешъ запись А и PTR в DNS
>! Верно ? А чем ввод в домен Линиксовой машины отличается,
>от ввода в домен машины с ХР или с Вистой ?
>Ничем ! Верно ?Нет, не верно. Когда мы вводим машину с XP в домен, мы не делаем никаких записей в DNS.
Да и не только мы.>[оверквотинг удален]
>>>>>На контроллере домена (на dc2.company.firma.ru) в файле %Systemroot%\System32\drivers\etc\hosts пишем следующее:
>>>>>
>>>>>192.168.1.1 dc2.company.firma.ru
>>>>>192.168.1.10 ubuntu.company.firma.ru
>>
>>стоп.. а зачем на dc2.company.firma.ru пистать 192.168.1.1 ?
>
>Не обращай на это внимание. Это просто опечатка моя. Тут должны быть
>IP адреса твоих DC2 и машины с Юбунту. Они у тебя
>192.168.1.5 и 192.168.1.15 ! Вот их и надо вводить !так вот я и не понял, зачем мне вводить на dc2 адрес dc2 в файле hosts ?
>>[оверквотинг удален]
>Я тебя и просил показать вывод команд nslookup и особенно host, чтобы
>посмотреть настроены ли у тебя зоны обратного просмотра. Навроде настроены. И
>делать запись, о хосте машины с Юбунту, нужно и в зоне
>прямого и в зоне обратного просмотра. Чтобы запись резолвилась нормально !
>Надеюсь что на Юбунту машине в файле /etc/resolv.conf уже сделаны соответствующие
>записи ?Так они и были:
search dc2.company.firma.ru
domain dc2.company.firma.ru
nameserver 192.168.1.5
>[оверквотинг удален]
>>Да дело в том, что пишут не пониамя чего пишут ! Ты
>>же виндовую машину, например с ХР или с Вистой, как вводишъ
>>в домен ? Сначала делаешъ запись А и PTR в DNS
>>! Верно ? А чем ввод в домен Линиксовой машины отличается,
>>от ввода в домен машины с ХР или с Вистой ?
>>Ничем ! Верно ?
>
>Нет, не верно. Когда мы вводим машину с XP в домен, мы
>не делаем никаких записей в DNS.
>Да и не только мы.Это почему же не верно ? И кто это мы ?
>[оверквотинг удален]
>>>
>>>стоп.. а зачем на dc2.company.firma.ru пистать 192.168.1.1 ?
>>
>>Не обращай на это внимание. Это просто опечатка моя. Тут должны быть
>>IP адреса твоих DC2 и машины с Юбунту. Они у тебя
>>192.168.1.5 и 192.168.1.15 ! Вот их и надо вводить !
>
>так вот я и не понял, зачем мне вводить на dc2 адрес
>dc2 в файле hosts ?
>Если у тебя настроен DNS, то в файл hosts, на линукс машине трогать не нужно !
Для того чтобы машины нормально резолвились !
>[оверквотинг удален]
>>посмотреть настроены ли у тебя зоны обратного просмотра. Навроде настроены. И
>>делать запись, о хосте машины с Юбунту, нужно и в зоне
>>прямого и в зоне обратного просмотра. Чтобы запись резолвилась нормально !
>>Надеюсь что на Юбунту машине в файле /etc/resolv.conf уже сделаны соответствующие
>>записи ?
>
>Так они и были:
>search dc2.company.firma.ru
>domain dc2.company.firma.ru
>nameserver 192.168.1.5Хорошо.
Как с вводом машины с Линукс в домен W2003 дело обстоит ? Завел машину ?
>[оверквотинг удален]
>>>в домен ? Сначала делаешъ запись А и PTR в DNS
>>>! Верно ? А чем ввод в домен Линиксовой машины отличается,
>>>от ввода в домен машины с ХР или с Вистой ?
>>>Ничем ! Верно ?
>>
>>Нет, не верно. Когда мы вводим машину с XP в домен, мы
>>не делаем никаких записей в DNS.
>>Да и не только мы.
>
>Это почему же не верно ? И кто это мы ?Админы той организации, где я работаю.
>
>Как с вводом машины с Линукс в домен W2003 дело обстоит ?
>Завел машину ?Нет, пока не завёл.
>[оверквотинг удален]
>>>>от ввода в домен машины с ХР или с Вистой ?
>>>>Ничем ! Верно ?
>>>
>>>Нет, не верно. Когда мы вводим машину с XP в домен, мы
>>>не делаем никаких записей в DNS.
>>>Да и не только мы.
>>
>>Это почему же не верно ? И кто это мы ?
>
>Админы той организации, где я работаю.Берем и читаем причем самую первую строчку, которая написана курсивом:
http://www.xnets.ru/plugins/content/content.php?content.149.2
Навроде там все ясно написано !
>
>>
>>Как с вводом машины с Линукс в домен W2003 дело обстоит ?
>>Завел машину ?
>
>Нет, пока не завёл.В чем проблемы ?
>[оверквотинг удален]
>>>>не делаем никаких записей в DNS.
>>>>Да и не только мы.
>>>
>>>Это почему же не верно ? И кто это мы ?
>>
>>Админы той организации, где я работаю.
>
>Берем и читаем причем самую первую строчку, которая написана курсивом:
>http://www.xnets.ru/plugins/content/content.php?content.149.2
>Навроде там все ясно написано !Ну так нет там про DNS. Сами примерно так и подключаем. Не понимаю зачем мне дока по подключению XP к домену.
>>
>>>
>>>Как с вводом машины с Линукс в домен W2003 дело обстоит ?
>>>Завел машину ?
>>
>>Нет, пока не завёл.
>
>В чем проблемы ?Пока этим нет времени заняться (в этом проблема)
>[оверквотинг удален]
>>>>Это почему же не верно ? И кто это мы ?
>>>
>>>Админы той организации, где я работаю.
>>
>>Берем и читаем причем самую первую строчку, которая написана курсивом:
>>http://www.xnets.ru/plugins/content/content.php?content.149.2
>>Навроде там все ясно написано !
>
>Ну так нет там про DNS. Сами примерно так и подключаем. Не
>понимаю зачем мне дока по подключению XP к домену.Как нет ? Учетная запись для компьютера в домене это что ?
Так подключение к домену что для Виндовс что для любой другой машины одно и то же !
Что там, что там нужна учетная запись компьютера в домене, то бишъ запись в ДНС. А служба АD вообще бессмысленна без ДНС !
>[оверквотинг удален]
>>>
>>>>
>>>>Как с вводом машины с Линукс в домен W2003 дело обстоит ?
>>>>Завел машину ?
>>>
>>>Нет, пока не завёл.
>>
>>В чем проблемы ?
>
>Пока этим нет времени заняться (в этом проблема)Понятно ! Удачи ! Вся инфа у тебя есть ! Да кстати, вполневозможно придется отключить службу SELinux ! Хотя я заводил машину в домен и со включенной этой службой !
>>[оверквотинг удален]
>Так подключение к домену что для Виндовс что для любой другой машины
>одно и то же !
>Что там, что там нужна учетная запись компьютера в домене, то бишъ
>запись в ДНС. А служба АD вообще бессмысленна без ДНС !Я про то, что вручную эту запись никто не добавляет.
>[оверквотинг удален]
>>>>
>>>>Нет, пока не завёл.
>>>
>>>В чем проблемы ?
>>
>>Пока этим нет времени заняться (в этом проблема)
>
>Понятно ! Удачи ! Вся инфа у тебя есть ! Да кстати,
>вполневозможно придется отключить службу SELinux ! Хотя я заводил машину в
>домен и со включенной этой службой !Спасибо. Только в DNS прописал -
теперь из виндусячей сетки пигуется и ubuntu8.contora.firma.ru и ubuntu8.contora
толку то нет, видимо дело не в этомroot@ubuntu8:~# net ads join -U Administrator
Administrators's password:
[2008/05/13 17:22:10, 0] utils/net_ads.c:ads_startup_int(286)
ads_connect: No logon servers
Failed to join domain: No logon servers
root@ubuntu8:~Вот.
>>>[оверквотинг удален]
>>Так подключение к домену что для Виндовс что для любой другой машины
>>одно и то же !
>>Что там, что там нужна учетная запись компьютера в домене, то бишъ
>>запись в ДНС. А служба АD вообще бессмысленна без ДНС !
>
>Я про то, что вручную эту запись никто не добавляет.Да что ты гововришъ ? Не может такого быть ! Потому что ее надо добавлять !
>[оверквотинг удален]
>толку то нет, видимо дело не в этом
>
>root@ubuntu8:~# net ads join -U Administrator
>Administrators's password:
>[2008/05/13 17:22:10, 0] utils/net_ads.c:ads_startup_int(286)
> ads_connect: No logon servers
>Failed to join domain: No logon servers
>root@ubuntu8:~
>
>Вот.А у тебя щас host ubuntu8.contora.firma.ru что показывает ? И что показывает команда host 192.168.1.15 (IP алрес ubuntu8.contora.firma.ru) ? Это первое и второе.
Проверка цифровой подписи на контроллере домена отключенва ?
>[оверквотинг удален]
>толку то нет, видимо дело не в этом
>
>root@ubuntu8:~# net ads join -U Administrator
>Administrators's password:
>[2008/05/13 17:22:10, 0] utils/net_ads.c:ads_startup_int(286)
> ads_connect: No logon servers
>Failed to join domain: No logon servers
>root@ubuntu8:~
>
>Вот.Когда все прописал в ДНС, то надо это сохранит все в файле. Там в виндовом ДНС есть опция в меню. Затем надо обязательно перезагрузить ДНС или сервер со службой ДНС ! Выждать некоторое время и потом пытаться ввести машину с Линукс в домен !
Ниже я приведу твой smb.conf и сделаю некоторые поправки или если будут вопросы то задам их. Итак.
[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = COMPANY
server string = %h server (Samba, Ubuntu)
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.0.111
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
тут должен быть твой PDC, то есть IP аддес той машины где ты сделал запись о хосте ubuntu8,
навроде должно быть 192.168.1.5 Эта же машина выступвет и в роди KDC, то есть выдает тикеты в Kerberos
realm = COMPANY.FIRMA.RU
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = rootpasswd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Лабуда в этих двух строках для чего ?socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
template homedir = /home/%D/%U
client use spnego = yes
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Тут можно попробовать поставить значение nowinbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0И еще. надо попробовать вводить машиину в домен так net rpc join -U Administrator
Если это не проходит. ТО поменять security = ads на security = domain и пробовать ввести машину в домен командой net rpc join -U Administrator. Часы в сети должны быть синхронизированы ! Ну и последнее, я далек от мысли что у тебя samba собрана без поддержки kerberos и особенно winbind !
Внимательно не читал.Пропиши в hosts Linux машины PDC, KDC
и её саму:
aaa.bbb.ccc.ddd linux.domain linuxПроверь krb5.conf
потом
#kinit Administrator
введи парольПолучаешь билет? Обычно это файлики в /tmp