Имеем сервер на OC AIX 5.3, Samba 3.0.21c на нём и домен на Windows 2003. Используется Kerberos.Мне необходимо, чтобы народ смог заходить в расшаренные при этом не вводя пароль.
При попытке ввести машину в домен получаю:
root@testlpar2:/> net join -U imya
imya's password:
[2007/05/21 16:17:02, 0] libads/kerberos.c:ads_kinit_password(164)
kerberos_kinit_password TESTLPAR2$@MSK.xxxxxx.ORG failed: Cannot resolve network address for KDC in requested realm
[2007/05/21 16:17:02, 0] utils/net_ads.c:ads_startup(191)
ads_connect: Cannot resolve network address for KDC in requested realm
Could not connect to server DCMSK1Выкладываю конфиги:
krb5.confroot@testlpar2:/> more /etc/krb5/krb5.conf
[libdefaults]
ticket_lifetime = 24000
default_realm = MSK.XXXX.ORG
dns_lookup_realm = false
dns_lookup_kdc = false
# default_keytab_name = FILE:/etc/krb5/krb5.keytab
default_tkt_enctypes = des-cbc-md5 des-cbc-crc
default_tgs_enctypes = des-cbc-md5 des-cbc-crc[realms]
MSK.XXXX.ORG = {
kdc = dcmsk1.msk.xxxxx.org:88
admin_server = dcmsk1.msk.xxxxx.org:749
default_domain = msk.xxxxx.org
}[domain_realm]
.msk.xxxxx.org = MSK.XXXXX.ORG
dcmsk1.msk.xxxxx.org = MSK.XXXXX.ORG[logging]
kdc = FILE:/var/krb5/log/krb5kdc.log
admin_server = FILE:/var/krb5/log/kadmin.log
default = FILE:/var/krb5/log/krb5lib.log[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}RESOLV.CONF
root@testlpar2:/> more /etc/resolv.conf
nameserver 192.168.X.XXX
nameserver 192.168.X.X
domain msk.XXXXX.orgВ чём может быть дело?
1. Проверь разрешается ли имя контроллера домена (nslookup Netbios_domain_name), если не разрешается, пропиши в resolv.conf строку search domain_name
2. Проверь что в smb.conf в строке REALM имя домена прописано большими буквамиЕсли не поможет, выложи файл smb.conf
Сделал как вы написали - результат тот же.nslookup отрабатывае нормально.
smb.conf
[global]
dos charset = CP866
unix charset = ISO8859-5
workgroup = XXXX
realm = MSK.XXXX.ORG
netbios name = TESTLPAR2
server string = STBY
interfaces = 192.168.X.102/255.255.255.0
hosts allow = 192.168. 127.
log file = /var/log/samba/log.smbd.testlpar2
max log size = 500
security = ads
password server = DCMSK1
allow trusted domains = yes
encrypt passwords = yes
smb passwd file = /opt/Samba/3.0.21c/private_testlpar2/smbpasswd
unix password sync = Yes
# passwd program = /usr/bin/passwd %u
# passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
## local master = no
## domain master = no
## preferred master = no
private dir = /opt/Samba/3.0.21c/private_testlpar2
wins server = 192.168.X.1, 192.168.X.142
# ldap ssl = no
lock directory = /opt/Samba/3.0.21c/var/locks_testlpar2
pid directory = /opt/Samba/3.0.21c/var/locks_testlpar2
socket address = 192.168.X.102
# idmap uid = 10000-20000
# idmap gid = 10000-20000
# winbind use default domain = Yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
## create mask = 0660[FILES]
comment = share
path = /tmp/share
public = no
writable = yes
valid users = DOMAIN\users
create mask = 0744
Ещё вспомнил такой момент - саму машину, которую ты вводишь в домен, нужно прописать в DNS на контроллере домена.
Что говорит kinit -p Administrator@DOMAIN_NAME.ORG ?
Что говорит klist ?The best Regards from Riskkman
workgroup = MSK.XXXX
что говорит kinit -p Administrator@MSK.XXXX ?
что говорит klist ?
>workgroup = MSK.XXXX
>что говорит kinit -p Administrator@MSK.XXXX ?
>что говорит klist ?
root@testlpar2:/> kinit -p imya@MSK.XXXX.ORG
Password for imya@MSK.XXXX.ORG:
root@testlpar2:/> klist
Ticket cache: FILE:/var/krb5/security/creds/krb5cc_0
Default principal: imya@MSK.XXXX.ORGValid starting Expires Service principal
05/28/07 17:23:07 05/29/07 03:23:12 krbtgt/MSK.XXXX.ORG@MSK.XXXX.ORG
Renew until 05/29/07 17:23:07
root@testlpar2:/>