Не могу включить в качестве клиента в контроллер домена на windows 2000для этого в active directory я создал пользователя sergei
Эту конфигурацию я взял из книги Стахнов Linux-сервер в windows окружении
вот smb.conf
workgroup = objectservice
server string = adminserver
security = domain
log file = /var/log/samba/log.otl
null passwords = yes
encrypt passwords = yes
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 1000-20000
case sensitive = no
password server = pdc
realm = objectservice
dos charset = 866
unix charset = UTF-8
auth methods = winbind
winbind separator =\ \
local master = no
preferred master = no
winbind enum users = yes
winbind enum groups = yes
display charset = UTF-8
realm = objectservice#### Networking ####
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
####### Authentication #######
security = share
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n
socket options = TCP_NODELAY[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
create mode = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
создал файл /etc/samba/lmhosts
вот его содержание127.0.0.1 localhost
192.168.0.2 pdcвот содержание файла (после правки) /etc/nsswitch.conf
passwd: files windbind
group: files windbind
shadow: files windbind
hosts: files nisplus nis dns
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
services: files
rpc: files
netgroup: nisplus
publickey: nisplus
automount: files nisplus
aliases: files nisplus
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nisвот содержание файла (после правки) /etc/pam.d/samba
@include common-auth
@include common-account
@include common-session
auth required pam_winbind.so
auth required pam_nologin.so
account required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
auth required pam_stack.so service=system-auth
account sufficient pam_winbind.so
password required pam_winbind.so
создал файл /etc/pam.d/system-auth-winbind
с таким содержанием
auth required pam_env.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so likeauth nullok use_first_pass
auth required pam_deny.so
account sufficient pam_winbind.so
account required pam_unix.so
password required pam_craclib.so retry=3
password sufficient pam_unix.so nollok ude_authtok md5 shadow
password required pam_deny.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required pam_limits.so
session required pam_unix.so
вот что выводит testparam
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
ERROR: the 'winbind separator' parameter must be a single character.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitionsПробую подключится net join -U sergei
выводится
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: Invalid domain role
ADS join did not work, falling back to RPC...
cannot join as standalone machineПроверяю при помощи wibinfo
Ввожу wbinfo --all-domains
выводится SERGEI-ADMINВвожу wbinfo -u sergei
Выводится Error looking up domain usersввожу wbinfo -p
выводится Ping to winbindd succeeded on fd 3ввожу wbinfo -u
выводится Error looking up domain usersМой компютер с других компов виден (в сетевом окружении), зайти на него конечно нельзя - требует пароль.
Где я ошибся ????
>security = domainsecurity = ADS
#Если используеться AD
>password server = pdcpassword server = server.domen.ru
#dns имя твоего доменного контроллера
#или
password server = 192.168.0.2
#Не знаю работает ли lmhosts не использовал
>realm = objectservicerealm = DOMEN.RU
#доменная часть имени большими буквами
>winbind separator =\\#Убери строку это значение по умолчанию
> security = share
#Противоречит ADS
> passwd program = /usr/bin/passwd %u
> passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n#Строки нужны если у тебя контроллер домена
>вот содержание файла (после правки) /etc/nsswitch.conf#Здесь правильно
#pam нужен только если ты будеш входить в систему(консоль) под доменной учетной записью
Необходимо настроить /etc/krb5.conf
и получить билет
kinit sergei@DOMEN.RU
где DOMEN.RU твой realm(область керберос)зарегистрировать в домене машину
net ads join
Пароль спрашивать не должнаЕсли не получилось то так:
net rpc join -U sergei
Уважаемый AndreyT большое ВАМ спасибо за помощьsmb.conf как Вы сказали поправил
Вот вывод команды testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
dos charset = 866
display charset = UTF-8
workgroup = OBJECTSERVICE
realm = OBJECTSERVICE
server string = adminserver
security = ADS
auth methods = winbind
null passwords = Yes
obey pam restrictions = Yes
password server = 192.168.0.2
passdb backend = tdbsam
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
preferred master = No
local master = No
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 1000-20000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
invalid users = root
case sensitive = No[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printable = Yes
browseable = No[print$]
comment = Printer Drivers
path = /var/lib/samba/printers>#pam нужен только если ты будеш входить в систему(консоль) под доменной учетной
>записью
>
>Необходимо настроить /etc/krb5.conf
>и получить билета значит его тоже надо настраивать - а то япрочитал что для подключения к домену на windows 2000 это не надо
Поискал в инете по настройке
вот содержание /etc/krb5.conf (это после моей правки)
[libdefaults]
default_realm = OBJECTSERVICE# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = truev4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true[realms]
OBJECTSERVICE = {
kdc = 192.168.0.2
admin_server = 192.168.0.2
default_domain = 192.168.0.2
}[domain_realm]
.192.168.0.2 = OBJECTSERVICE[login]
krb4_convert = true
krb4_get_tickets = falseВвожу kinit sergei@OBJECTSERVICE
Password for sergei@OBJECTSERVICE:
sergei@sergei-admin:~$если я введу неправильный пароль то так ругается
kinit(v5): Preauthentication failed while getting initial credentialsПроверяю
klist OBJECTSERVICE
Выводит klist: No credentials cache found (ticket cache FILE:OBJECTSERVICE)
ввожу net ads join
Выводится
[2008/02/08 09:33:15, 0] passdb/secrets.c:secrets_init(66)
Failed to open /var/lib/samba/secrets.tdb
Invalid configuration. Exiting....
Failed to join domain: Access deniedПотом пробую так
net rpc join -U sergei - в качестве пароля вводился пароль sergei-я
[2008/02/08 09:33:59, 0] passdb/secrets.c:secrets_init(66)
Failed to open /var/lib/samba/secrets.tdb
[2008/02/08 09:33:59, 0] utils/net_rpc.c:rpc_oldjoin_internals(309)
error storing domain sid for OBJECTSERVICE
Password:
[2008/02/08 09:34:12, 0] passdb/secrets.c:secrets_init(66)
Failed to open /var/lib/samba/secrets.tdb
[2008/02/08 09:34:12, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(399)
error storing domain sid for OBJECTSERVICE
Unable to join domain OBJECTSERVICE.А это выводится если я вводил пароль администратора домена
Password:
Could not connect to server SERVER
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILUREНе подскажете где ошибка???
В догонку Вот еще странность
стоит у меня вебмин - попробовал сделать через него
зашел в пунктик Bind to DomainВот что вывелось
Binding to domain with command /usr/bin/net join -U sergei ..
sergei's password: Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
ADS join did not work, falling back to RPC...
Using short domain name -- OBJECTSERVICE
Disabled account for 'SERGEI-ADMIN' in realm 'OBJECTSERVICE'
Failed to join domain: Type or value exists
Joined domain OBJECTSERVICE... failed! See the output above for the reason why.
пробовал там подключится через учетную запись администратора домена
Binding to domain with command /usr/bin/net join -U adm ..adm's password: Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
ADS join did not work, falling back to RPC...
Using short domain name -- OBJECTSERVICE
Deleted account for 'SERGEI-ADMIN' in realm 'OBJECTSERVICE'
Failed to join domain: Type or value exists
Joined domain OBJECTSERVICE... failed! See the output above for the reason why.
Если интересно, то посмотри тут. Я тоже долго разбирался, но в итоге победил :)
>Если интересно, то посмотри тут. Я тоже долго разбирался, но в итоге
>победил :)Спасибо за попытку помощи, боюсь Ваша ссылка сюда не попала, повторите пожалуйста
Здесь же, на опеннете, тема называется Samba 3.0.23 на FC 4 + AD на Win2k3 R2.
Вот сцылка http://www.opennet.me/openforum/vsluhforumID14/1666.html