URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 1352
[ Назад ]

Исходное сообщение
"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести машину"

Отправлено demox , 21-Май-07 16:27 
Имеем сервер на OC AIX 5.3, Samba 3.0.21c на нём и домен на Windows 2003. Используется Kerberos.

Мне необходимо, чтобы народ смог заходить в расшаренные при этом не вводя пароль.

При попытке ввести машину в домен получаю:

root@testlpar2:/> net join -U imya
imya's password:
[2007/05/21 16:17:02, 0] libads/kerberos.c:ads_kinit_password(164)
  kerberos_kinit_password TESTLPAR2$@MSK.xxxxxx.ORG failed: Cannot resolve network address for KDC in requested realm
[2007/05/21 16:17:02, 0] utils/net_ads.c:ads_startup(191)
  ads_connect: Cannot resolve network address for KDC in requested realm
Could not connect to server DCMSK1

Выкладываю конфиги:
krb5.conf

root@testlpar2:/> more /etc/krb5/krb5.conf
[libdefaults]
        ticket_lifetime = 24000
        default_realm = MSK.XXXX.ORG
        dns_lookup_realm = false
        dns_lookup_kdc = false
#        default_keytab_name = FILE:/etc/krb5/krb5.keytab
        default_tkt_enctypes = des-cbc-md5 des-cbc-crc
        default_tgs_enctypes = des-cbc-md5 des-cbc-crc

[realms]
        MSK.XXXX.ORG = {
                kdc = dcmsk1.msk.xxxxx.org:88
                admin_server = dcmsk1.msk.xxxxx.org:749
                default_domain = msk.xxxxx.org
        }

[domain_realm]
        .msk.xxxxx.org = MSK.XXXXX.ORG
        dcmsk1.msk.xxxxx.org = MSK.XXXXX.ORG

[logging]
        kdc = FILE:/var/krb5/log/krb5kdc.log
        admin_server = FILE:/var/krb5/log/kadmin.log
        default = FILE:/var/krb5/log/krb5lib.log

[appdefaults]
        pam = {
            debug = false
            ticket_lifetime = 36000
            renew_lifetime = 36000
            forwardable = true
            krb4_convert = false
            }

RESOLV.CONF

root@testlpar2:/> more /etc/resolv.conf
nameserver      192.168.X.XXX
nameserver      192.168.X.X
domain  msk.XXXXX.org

В чём может быть дело?


Содержание

Сообщения в этом обсуждении
"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести ма..."
Отправлено riskkman , 26-Май-07 15:17 
1. Проверь разрешается ли имя контроллера домена (nslookup Netbios_domain_name), если не разрешается, пропиши в resolv.conf строку search domain_name
2. Проверь что в smb.conf в строке REALM  имя домена прописано большими буквами

Если не поможет, выложи файл smb.conf  


"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести ма..."
Отправлено demox , 28-Май-07 09:57 
Сделал как вы написали - результат тот же.

nslookup отрабатывае нормально.

smb.conf

[global]
        dos charset = CP866
        unix charset = ISO8859-5
        workgroup = XXXX
        realm = MSK.XXXX.ORG
        netbios name = TESTLPAR2
        server string = STBY
        interfaces = 192.168.X.102/255.255.255.0
        hosts allow = 192.168. 127.
        log file = /var/log/samba/log.smbd.testlpar2
        max log size = 500
        security = ads
        password server = DCMSK1
        allow trusted domains = yes
        encrypt passwords = yes
        smb passwd file = /opt/Samba/3.0.21c/private_testlpar2/smbpasswd
        unix password sync = Yes
#       passwd program = /usr/bin/passwd %u
#       passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
##      local master = no
##      domain master = no
##      preferred master = no
        private dir = /opt/Samba/3.0.21c/private_testlpar2
        wins server = 192.168.X.1, 192.168.X.142
#       ldap ssl = no
        lock directory = /opt/Samba/3.0.21c/var/locks_testlpar2
        pid directory = /opt/Samba/3.0.21c/var/locks_testlpar2
        socket address = 192.168.X.102
#       idmap uid = 10000-20000
#       idmap gid = 10000-20000
#       winbind use default domain = Yes
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
##      create mask = 0660

[FILES]
        comment = share
        path = /tmp/share
        public = no
        writable = yes
        valid users = DOMAIN\users
        create mask = 0744


"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести ма..."
Отправлено riskkman , 28-Май-07 14:10 
Ещё вспомнил такой момент - саму машину, которую ты вводишь в домен, нужно прописать в DNS на контроллере домена.  

"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести ма..."
Отправлено riskkman , 28-Май-07 14:14 
Что говорит kinit -p Administrator@DOMAIN_NAME.ORG ?
Что говорит klist ?

The best Regards from Riskkman


"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести ма..."
Отправлено riskkman , 28-Май-07 14:18 
workgroup = MSK.XXXX
что говорит kinit -p Administrator@MSK.XXXX ?
что говорит klist ?

"Samba (AIX) + windows 2003 domain Kerberos Не могу ввести ма..."
Отправлено demox , 28-Май-07 17:25 
>workgroup = MSK.XXXX
>что говорит kinit -p Administrator@MSK.XXXX ?
>что говорит klist ?


root@testlpar2:/> kinit -p imya@MSK.XXXX.ORG
Password for imya@MSK.XXXX.ORG:
root@testlpar2:/> klist
Ticket cache:  FILE:/var/krb5/security/creds/krb5cc_0
Default principal:  imya@MSK.XXXX.ORG

Valid starting     Expires            Service principal
05/28/07 17:23:07  05/29/07 03:23:12  krbtgt/MSK.XXXX.ORG@MSK.XXXX.ORG
        Renew until 05/29/07 17:23:07
root@testlpar2:/>