URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 1344
[ Назад ]
Исходное сообщение
"samba winbind AD windows"
Отправлено boris , 15-Май-07 19:07 
Задача: наладить авторизацию linux-клиентов в AD Windows 2003
smb.conf
[global]    
workgroup = WINDOWS
server string = ALT-TEST
netbios name = ALT-TEST
security = DOMAIN
winbind cache time = 10
password server = WIN2K3
encrypt passwords = true
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash

[root@testing samba]#net join -U administrator
Password:
Joined domain WINDOWS.
[root@testing samba]# wbinfo -V
Version 3.0.25
[root@testing samba]# wbinfo -p
Ping to winbindd succeeded on fd 4
[root@testing samba]# wbinfo -u
Error looking up domain users
[root@testing samba]# wbinfo -g
BUILTIN\administrators
BUILTIN\users

[root@testing samba]# tail /var/log/samba/log.wb-WINDOWS
[2007/05/15 18:52:40, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain WINDOWS failed: Operations error
[2007/05/15 18:53:53, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain WINDOWS failed: Operations error
[2007/05/15 19:01:19, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain WINDOWS failed: Operations error
[2007/05/15 19:03:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain WINDOWS failed: Operations error
[2007/05/15 19:03:45, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain WINDOWS failed: Operations error

второй день бьюсь, видимо не туда...
подскажите че как где куда

Содержание
Сообщения в этом обсуждении
"samba winbind AD windows"
Отправлено boris , 15-Май-07 19:25 
[2007/05/15 19:20:56, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain WINDOWS failed: No logon servers

теперь вот это пишет в логе
прописал в hosts
windows
192.168.0.219 alt-test

linux
[root@testing samba]# cat /etc/samba/lmhosts
127.0.0.1 localhost
127.0.0.1 alt-test
192.168.0.24 WIN2K3

"samba winbind AD windows"
Отправлено CrazyGarf , 15-Май-07 20:54 
А Гугл отменили?

Посмотрите здесь
http://thelazyadmin.com/blogs/thelazyadmin/archive/2006/03/1...

Если не выйдет пишите. Сам боролся неделю:) Но эта статья помогла.

"samba winbind AD windows"
Отправлено thebat , 16-Май-07 16:56 
>А Гугл отменили?
>
>Посмотрите здесь
>http://thelazyadmin.com/blogs/thelazyadmin/archive/2006/03/1...
>
>Если не выйдет пишите. Сам боролся неделю:) Но эта статья помогла.


керберос настроил. тикет выдается. но:
[root@borroman ~]# cat /etc/passwd | grep test
[root@borroman ~]# wbinfo -i test
Could not get info for user test

и в логе winbind:
[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140

"samba winbind AD windows"
Отправлено CrazyGarf , 16-Май-07 17:20 
>
>керберос настроил. тикет выдается. но:
>[root@borroman ~]# cat /etc/passwd | grep test
>[root@borroman ~]# wbinfo -i test
>Could not get info for user test
>
>и в логе winbind:
>[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
>  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140

И такое бывало :)

В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ БУКВАМИ!

Плюс kdc и админ сервер попробуйте указать по ip адресу.

Ежели что шлите конфиги на почту. Посмотрю что как.


"samba winbind AD windows"
Отправлено thebat , 16-Май-07 17:58 
>>
>>керберос настроил. тикет выдается. но:
>>[root@borroman ~]# cat /etc/passwd | grep test
>>[root@borroman ~]# wbinfo -i test
>>Could not get info for user test
>>
>>и в логе winbind:
>>[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
>>  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140
>
>И такое бывало :)
>
>В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ
>БУКВАМИ!
>
>Плюс kdc и админ сервер попробуйте указать по ip адресу.
>
>Ежели что шлите конфиги на почту. Посмотрю что как.

заработало!  потомкам могу расписать

"samba winbind AD windows"
Отправлено koluchy , 30-Окт-07 17:12 
>[оверквотинг удален]
>>И такое бывало :)
>>
>>В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ
>>БУКВАМИ!
>>
>>Плюс kdc и админ сервер попробуйте указать по ip адресу.
>>
>>Ежели что шлите конфиги на почту. Посмотрю что как.
>
>заработало!  потомкам могу расписать

Распиши плиз конфиг krb5 lmhosts resolv.conf


"samba winbind AD windows"
Отправлено thebat , 16-Май-07 17:59 
>>
>>керберос настроил. тикет выдается. но:
>>[root@borroman ~]# cat /etc/passwd | grep test
>>[root@borroman ~]# wbinfo -i test
>>Could not get info for user test
>>
>>и в логе winbind:
>>[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
>>  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140
>
>И такое бывало :)
>
>В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ
>БУКВАМИ!
>
>Плюс kdc и админ сервер попробуйте указать по ip адресу.
>
>Ежели что шлите конфиги на почту. Посмотрю что как.

да, спасибо большое за консультации

"samba winbind AD windows"
Отправлено CrazyGarf , 16-Май-07 18:13 
>>>
>>>керберос настроил. тикет выдается. но:
>>>[root@borroman ~]# cat /etc/passwd | grep test
>>>[root@borroman ~]# wbinfo -i test
>>>Could not get info for user test
>>>
>>>и в логе winbind:
>>>[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
>>>  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140
>>
>>И такое бывало :)
>>
>>В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ
>>БУКВАМИ!
>>
>>Плюс kdc и админ сервер попробуйте указать по ip адресу.
>>
>>Ежели что шлите конфиги на почту. Посмотрю что как.
>
>да, спасибо большое за консультации

да не за что. сам мучался 1,5 года назад. тогда в сети по этому вопросу мало что было.

Далее возникнут проблемс с pam модулем) потому думаю вопрос еще не закрыт:)))

"samba winbind AD windows"
Отправлено thebat , 16-Май-07 18:19 
>>>>
>>>>керберос настроил. тикет выдается. но:
>>>>[root@borroman ~]# cat /etc/passwd | grep test
>>>>[root@borroman ~]# wbinfo -i test
>>>>Could not get info for user test
>>>>
>>>>и в логе winbind:
>>>>[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
>>>>  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140
>>>
>>>И такое бывало :)
>>>
>>>В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ
>>>БУКВАМИ!
>>>
>>>Плюс kdc и админ сервер попробуйте указать по ip адресу.
>>>
>>>Ежели что шлите конфиги на почту. Посмотрю что как.
>>
>>да, спасибо большое за консультации
>
>да не за что. сам мучался 1,5 года назад. тогда в сети
>по этому вопросу мало что было.
>
>Далее возникнут проблемс с pam модулем) потому думаю вопрос еще не закрыт:)))
>


не. уже все норм. все логинится. проверил=)
спасибо еще раз за отзывчивость ;-)

"samba winbind AD windows"
Отправлено CrazyGarf , 16-Май-07 18:25 
>>>>>
>>>>>керберос настроил. тикет выдается. но:
>>>>>[root@borroman ~]# cat /etc/passwd | grep test
>>>>>[root@borroman ~]# wbinfo -i test
>>>>>Could not get info for user test
>>>>>
>>>>>и в логе winbind:
>>>>>[2007/05/16 16:48:30, 1] nsswitch/winbindd_user.c:winbindd_dual_userinfo(157)
>>>>>  error getting user info for sid S-1-5-21-1275852521-4265979242-2405130601-1140
>>>>
>>>>И такое бывало :)
>>>>
>>>>В /etc/krb5.conf нужно указать realm в полном FQDN формате. ПЛЮС ОБЪЯЗАТЕЛЬНО БОЛЬШИМИ
>>>>БУКВАМИ!
>>>>
>>>>Плюс kdc и админ сервер попробуйте указать по ip адресу.
>>>>
>>>>Ежели что шлите конфиги на почту. Посмотрю что как.
>>>
>>>да, спасибо большое за консультации
>>
>>да не за что. сам мучался 1,5 года назад. тогда в сети
>>по этому вопросу мало что было.
>>
>>Далее возникнут проблемс с pam модулем) потому думаю вопрос еще не закрыт:)))
>>
>
>
>не. уже все норм. все логинится. проверил=)
>спасибо еще раз за отзывчивость ;-)

:) Всегда рад.
Кстати а хомешники автоматом создаются? Если нет тада в /etc/pam.d/system-auth
нуно добавить
session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077

ПОтому как если в ад юзеров много, а юзать будут не все, оптимальней чтоб автоматом при первом логине создавались. чем всем списком из домен юзер.

"samba winbind AD windows"
Отправлено Gem , 20-Авг-07 18:21 
таже чертовщина
все работало - вдруг упало


logging]
 default = FILE:/var/log/kerberos/krb5libs.log
 kdc = FILE:/var/log/kerberos/krb5kdc.log
 admin_server = FILE:/var/log/kerberos/kadmind.log
[libdefaults]
 ticket_lifetime = 24000
 default_realm = BEL.TRED.SU
 #default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
 #default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
 #permitted_enctypes = des3-hmac-sha1 des-cbc-crc
 dns_lookup_realm = false
 dns_lookup_kdc = false
 kdc_req_checksum_type = 2
 checksum_type = 2
 ccache_type = 1
 forwardable = true
 proxiable = true
[realms]
 BEL.TRED.SU = {
  kdc = 192.168.9.101:88
  admin_server = 192.168.9.101:749
  default_domain = BEL.TRED.SU
 }
[domain_realm]
 .bel.tred.su = BEL.TRED.SU
[kdc]
 profile = /etc/kerberos/krb5kdc/kdc.conf
[pam]
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
[login]
 krb4_convert = false
 krb4_get_tickets = false


nternal_resolve_name: looking up sevterm#20
Returning valid cache entry: key = NBT/SEVTERM#20, value = 192.168.9.101:0, timeout = Mon Aug 20 18:28:09 2007
name sevterm#20 found.
remove_duplicate_addrs2: looking for duplicate address/port pairs
get_dc_list: returning 1 ip addresses in an ordered list
get_dc_list: 192.168.9.101:389
ads_try_connect: sending CLDAP request to 192.168.9.101 (realm: bel.tred.su)
saf_store: domain = [BEL], server = [192.168.9.101], expire = [1187620331]
Adding cache entry with key = SAF/DOMAIN/BEL; value = 192.168.9.101 and timeout = Mon Aug 20 18:32:11 2007
 (900 seconds ahead)
Connected to LDAP server 192.168.9.101
ads_connect for domain BEL failed: Operations error
query_user_list: returned 0xc0000001, retrying
query_user_list: flushing connection cache
query_user_list: [Cached] - doing backend query for list for domain BEL
ads: query_user_list
ads_cached_connection
ads_find_dc: looking for realm 'bel.tred.su'
get_sorted_dc_list: attempting lookup using [ads]
Cache entry with key = SAF/DOMAIN/BEL.TRED.sU couldn't be found
saf_fetch: failed to find server for "bel.tred.su" domain
get_dc_list: preferred server list: ", sevterm"
internal_resolve_name: looking up sevterm#20
Returning valid cache entry: key = NBT/SEVTERM#20, value = 192.168.9.101:0, timeout = Mon Aug 20 18:28:09 2007
name sevterm#20 found.
remove_duplicate_addrs2: looking for duplicate address/port pairs
get_dc_list: returning 1 ip addresses in an ordered list
get_dc_list: 192.168.9.101:389
ads_try_connect: sending CLDAP request to 192.168.9.101 (realm: bel.tredis.ru)
saf_store: domain = [BEL], server = [192.168.9.101], expire = [1187620331]
Adding cache entry with key = SAF/DOMAIN/BEL; value = 192.168.9.101 and timeout = Mon Aug 20 18:32:11 2007
 (900 seconds ahead)
Connected to LDAP server 192.168.9.101
ads_connect for domain BEL failed: Operations error
query_user_list: returned 0xc0000001, retrying
query_user_list: flushing connection cache
query_user_list: [Cached] - doing backend query for list for domain BEL
ads: query_user_list
ads_cached_connection
ads_find_dc: looking for realm 'bel.tred.su'
get_sorted_dc_list: attempting lookup using [ads]
Cache entry with key = SAF/DOMAIN/BEL.TRED.SU couldn't be found
saf_fetch: failed to find server for "bel.tred.su" domain
get_dc_list: preferred server list: ", sevterm"
internal_resolve_name: looking up sevterm#20
Returning valid cache entry: key = NBT/SEVTERM#20, value = 192.168.9.101:0, timeout = Mon Aug 20 18:28:09 2007
name sevterm#20 found.
remove_duplicate_addrs2: looking for duplicate address/port pairs
get_dc_list: returning 1 ip addresses in an ordered list
get_dc_list: 192.168.9.101:389
ads_try_connect: sending CLDAP request to 192.168.9.101 (realm: bel.tred.su)
saf_store: domain = [BEL], server = [192.168.9.101], expire = [1187620331]
Adding cache entry with key = SAF/DOMAIN/BEL; value = 192.168.9.101 and timeout = Mon Aug 20 18:32:11 2007
 (900 seconds ahead)
Connected to LDAP server 192.168.9.101
ads_connect for domain BEL failed: Operations error
query_user_list: returned 0xc0000001, retrying
query_user_list: flushing connection cache
query_user_list: [Cached] - doing backend query for list for domain BEL
ads: query_user_list
ads_cached_connection
ads_find_dc: looking for realm 'bel.tred.su'
get_sorted_dc_list: attempting lookup using [ads]
Cache entry with key = SAF/DOMAIN/BEL.TRED.sU couldn't be found
saf_fetch: failed to find server for "bel.tred.su" domain                                            

"samba winbind AD windows"
Отправлено Gem , 21-Авг-07 10:06 
дык нашел
контроллер домена должен обратно резолвится, сл но его днс в /etc/resolv.conf первым
и в hosts
[адрес машины] [имя в домене] [краткое имя]
192.168.9.1 web.bel.tred.su web
"samba winbind AD windows"
Отправлено vovanj7 , 30-Авг-07 13:58 
ситуация следущая
Fedora 6 Samba 3.0.23(ставил из rpm)
сделал все по http://fedoramd.org/Install/Samba/ADS
делаю
[root@vovan-fedora ~]# kinit admin@DOMAIN.NET
Password for admin@DOMAIN.NET:  
[root@vovan-fedora ~]#
просто принимает пароль без дальнейшей реакции(нормально ли это)

[root@vovan-fedora ~]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.NET

Valid starting     Expires            Service principal
08/28/07 17:34:33  08/29/07 00:14:33  krbtgt/DOMAIN.NET@DOMAIN.NET


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

ввожу в домен
[root@vovan-fedora ~]# net ads join -U admin
admin's password:  
Using short domain name -- DOMAIN
Joined 'VOVAN-FEDORA' to realm 'DOMAIN.NET'

[root@vovan-fedora samba]# wbinfo -t
checking the trust secret via RPC calls succeeded
wbinfo -g
wbinfo -u
отрабатывают
пытаюсь войти на Linux машиту под доменной учетной записью DOMAIN\admin

"the system administrator has disabled your account"
при этом, если с виндовой машины зайти под этой учеткой, то входит нормально. В /home создалась папка DOMAIN в которой папки по именам пользователей под которыми пытался попасть на машину
пробую делать

[root@vovan-fedora ~]# getent passwd
admin:*:15000:15000:admin:/home/DOMAIN/admin:/bin/false
vovan-fedora.domain.net$:*:15008:15000:vovan-fedora.domain.net$:/home/DOMAIN/vovan-fedora.domain.net_:/bin/false

где грабли
при необходимости нужные конфиги могу выложить, делал по примеру на ссылке выше

"samba winbind AD windows"
Отправлено boris , 30-Авг-07 16:32 
А шел "/bin/false" это нормально?
"samba winbind AD windows"
Отправлено olg.d , 27-Ноя-07 12:32 
>А шел "/bin/false" это нормально?

А что с этим шелом нужно делать???


"samba winbind AD windows"
Отправлено olg.d , 27-Ноя-07 12:56 
>>А шел "/bin/false" это нормально?

у меня такая же проблема только на Suse, если разобрался - подскажи плиз..

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

"samba winbind AD windows"
Отправлено boris , 27-Ноя-07 15:55 
>>>А шел "/bin/false" это нормально?
>
>у меня такая же проблема только на Suse, если разобрался - подскажи
>плиз..
>
>Kerberos 4 ticket cache: /tmp/tkt0
>klist: You have no tickets cached

шел не должен быть /bin/false однозначно. ищи в настройках самбы "template shell" или как-то так