URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 1666
[ Назад ]

Исходное сообщение
"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено BaldyMan , 25-Фев-08 15:49

Всем добрый вечер или чего у кого...
1. Есть Win2k3 R2, на нем поднята AD, DNS, Wins.
Сделано Raise Domain Level до windows 2003.
2. Есть Samba 3.0.23 на Fodora Core 4.
Вот конфиг:
[global]
log file = /var/log/samba/log.%m
winbind separator = +
winbind cache time = 10
template shell = /bin/bash
template homedir = /home/%D/%U
idmap uid = 10000-20000
idmap gid = 10000-20000
workgroup = INET
security = domain
password server = 172.16.22.2
wins server = 172.16.22.2
Самба запускается, winbind тоже.
Пытаюсь сделать net ads join -U Administrator
Пишет в ответ вот такое:
[2008/02/25 22:40:49, 0] utils/net_ads.c:ads_startup(286)
ads_connect: Invalid or incomplete multibyte or wide character

net rpc join проходит без ошибок.
Облазил много всего, но ничего толком накопать и на смог. Помогите кто чем может...

Содержание

Samba 3.0.23 на FC 4 + AD на Win2k3 R2.,BaldyMan, 15:57 , 25-Фев-08
- Samba 3.0.23 на FC 4 + AD на Win2k3 R2.,andrey, 00:36 , 26-Фев-08
  - Samba 3.0.23 на FC 4 + AD на Win2k3 R2.,BaldyMan, 08:23 , 26-Фев-08
    - Samba 3.0.23 на FC 4 + AD на Win2k3 R2.,Сергей, 14:08 , 26-Фев-08
      - Samba 3.0.23 на FC 4 + AD на Win2k3 R2.,BaldyMan, 15:48 , 26-Фев-08
        
        Samba 3.0.23 на FC 4 + AD на Win2k3 R2.,BaldyMan, 17:36 , 26-Фев-08

Сообщения в этом обсуждении

"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено BaldyMan , 25-Фев-08 15:57

Вот кусок лога, что появляется после запуска:
[2008/02/25 22:49:51, 1] libads/dns.c:ads_dns_lookup_srv(266)
  ads_dns_lookup_srv: Failed to resolve _ldap._tcp.dc._msdcs.inet.local (Success)
[2008/02/25 22:49:51, 1] nsswitch/winbindd_ads.c:ads_cached_connection(114)
  ads_connect for domain INET failed: Operations error
Вот ещё кусок из /var/log/messages:
Feb 25 22:46:14 gw winbindd[11839]: [2008/02/25 22:46:14, 0] nsswitch/winbindd_dual.c:child_read_request(49)
Feb 25 22:46:14 gw winbindd[11839]:   Got invalid request length: 0
Feb 25 22:46:14 gw winbindd[11685]: [2008/02/25 22:46:14, 0] nsswitch/winbindd_dual.c:child_read_request(49)
Feb 25 22:46:14 gw winbindd[11685]:   Got invalid request length: 0
Feb 25 22:46:14 gw winbindd[11482]: [2008/02/25 22:46:14, 0] nsswitch/winbindd_dual.c:child_read_request(49)
Feb 25 22:46:14 gw winbindd[11482]:   Got invalid request length: 0
.........................................................................
Feb 25 22:55:42 gw winbindd[12879]: [2008/02/25 22:55:42, 0] sam/idmap_tdb.c:db_allocate_id(98)
Feb 25 22:55:42 gw winbindd[12879]:   idmap Fatal Error: GID range full!! (max: 20000)
Feb 25 22:55:42 gw smbd[12878]: [2008/02/25 22:55:42, 0] auth/auth_util.c:create_builtin_administrators(763)
Feb 25 22:55:42 gw smbd[12878]:   create_builtin_administrators: Failed to create Administrators
Feb 25 22:55:42 gw smbd[12878]: [2008/02/25 22:55:42, 0] auth/auth_util.c:create_local_nt_token(872)
Feb 25 22:55:42 gw smbd[12878]:   create_local_nt_token: Failed to create BUILTIN\Administrators group!

"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено andrey , 26-Фев-08 00:36

>[оверквотинг удален]
>.........................................................................
>Feb 25 22:55:42 gw winbindd[12879]: [2008/02/25 22:55:42, 0] sam/idmap_tdb.c:db_allocate_id(98)
>Feb 25 22:55:42 gw winbindd[12879]:   idmap Fatal Error: GID range
>full!! (max: 20000)
>Feb 25 22:55:42 gw smbd[12878]: [2008/02/25 22:55:42, 0] auth/auth_util.c:create_builtin_administrators(763)
>Feb 25 22:55:42 gw smbd[12878]:   create_builtin_administrators: Failed to create Administrators
>
>Feb 25 22:55:42 gw smbd[12878]: [2008/02/25 22:55:42, 0] auth/auth_util.c:create_local_nt_token(872)
>Feb 25 22:55:42 gw smbd[12878]:   create_local_nt_token: Failed to create BUILTIN\Administrators
>group!
Kerberos настраивал????

"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено BaldyMan , 26-Фев-08 08:23

Да, вот /etc/krb5.conf
[libdefaults]
default_realm = INET.LOCAL
[realms]
INET.LOCAL = {
kdc = aqua.inet.local
admin_server = aqua.inet.local
}
[domain_realms]
.inet.local = INET.LOCAL
Делаю если kinit <имя пользователя> или kinit -p <имя пользователя> то пишет:
kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials

"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено Сергей , 26-Фев-08 14:08

>[оверквотинг удален]
>INET.LOCAL = {
>kdc = aqua.inet.local
>admin_server = aqua.inet.local
>}
>[domain_realms]
>.inet.local = INET.LOCAL
>
>Делаю если kinit <имя пользователя> или kinit -p <имя пользователя> то пишет:
>kinit(v5): Cannot resolve network address for KDC in requested realm while getting
>initial credentials
У тебя не разрешает kdc, надо его поставить первым в resolve.conf или же вместо имен в krb5.conf прописать ip-адреса, только после выдачи билета, можно на что-то надеятся...

"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено BaldyMan , 26-Фев-08 15:48

Вопрос такой ещё возник... Из-за проблем с кодировкой может такая фигня быть или нет??? Просто всё это хозяйство досталось по наследству: Win2003 SP2 R2 Rus и Fedora Core 4 с локалью UTF-8.

"Samba 3.0.23 на FC 4 + AD на Win2k3 R2."
Отправлено BaldyMan , 26-Фев-08 17:36

Проблему решил сам. Если кому интересно, то вот решение:
/etc/krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = INET.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
INET.LOCAL = {
  kdc = 172.16.22.2:88
  admin_server = 172.16.22.2:749
  default_domain = inet.local
}
[domain_realm]
.inet.local = INET.LOCAL
inet.local = INET.LOCAL
[kdc]
profile = /var/lib/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
_______________________________________________________________________
/etc/samba/smb.conf:
[global]
   workgroup = INET
   server string =  linux-gw
   local master = no
   log file = /var/log/samba/log.%m
   max log size = 50
   realm = inet.local
   security = ads
   password server = aqua
   encrypt passwords = yes
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   dns proxy = no
   use sendfile = yes
_______________________________________________________________________
Далее net ads join -S 172.16.22.2 -U baldyman
_______________________________________________________________________
/etc/pam.d/bindconf:
#%PAM-1.0
auth       sufficient   pam_rootok.so
auth       sufficient   pam_timestamp.so
auth       required     pam_stack.so service=system-auth
session    required     pam_permit.so
session    optional     pam_xauth.so
session    optional     pam_timestamp.so
account    required     pam_permit.so
_______________________________________________________________________
/etc/pam.d/samba:
auth required pam_winbind.so
auth required pam_nologim.so
account required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
auth required pam_stack.so service=system-auth
account sufficient pam_winbind.so
password required pam_winbind.so
_______________________________________________________________________
/etc/pam.d/squid:
#%PAM-1.0
auth            required        pam_stack.so service=system-auth
account         required        pam_stack.so service=system-auth
_______________________________________________________________________
/etc/nsswitch.conf:
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files nisplus nis dns
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
netgroup: nisplus
publickey: nisplus
automount: files nisplus
aliaces:files nisplus
_______________________________________________________________________
Вот впринципе и всё :)
Закрываем.