| 1.3, lewap (?), 09:25, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
------
Если в сети нет DNS-сервера, то необходимо изменить файлы hosts на
контроллере домена и на FreeBSD.
-------
А как интересно виндовский домен ( 2003)и без DNS? | | |
| |
| |
| 3.5, Васильченко Евгений (?), 09:46, 29/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
 DNS естественно в домене будет, но совсем необязательно, что он будет правильно работать, к тому же он может быть настроен с какими-либо специфическими целями, поэтому хост-файлы - нормальная замена | | |
|
|
| 1.6, mxm (ok), 10:23, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А что произойдет 19-го августа в 00:50:51, когда
срок действия "билета" закончится? | | |
| |
| 2.7, sauron (ok), 10:49, 29/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
 Будет получен ответ от сервера что "билет" истек и будет получен новый. Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и необходим только на период подключения. | | |
| |
| 3.9, mxm (ok), 11:12, 29/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Будет получен ответ от сервера что "билет" истек и будет получен новый.
Точно? При тех настройках, что приводятся в статье? У меня не обновился.
И klist показывал, что "билет" не обновился.
>Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и
>необходим только на период подключения.
м-м-м...
| | |
| |
| 4.13, sauron (ok), 12:17, 29/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен обновиться ?
>м-м-м...
Вот вам и ммм... Он требуется для добавления Samba сервера в AD домен. | | |
| |
| 5.15, mxm (ok), 13:46, 29/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
>А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен
>обновиться ?
Обращался? Я? Не понял...
По поводу обновления "тикета". Можно вручную через повторный вызов klist,
а можно, говорят\пишут, автоматически (после манипуляций с kutil).
Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг
"носители знания" откликнутся...
>>м-м-м...
>Вот вам и ммм... Он требуется для добавления Samba сервера в AD
>домен.
Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
"билетом" не работает определение принадлежности пользователя к
secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
хватило мне primary-group.
| | |
| |
| 6.17, sauron (ok), 07:12, 30/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Обращался? Я? Не понял...
К другому или этому же сервису с поддержкой аутентификации Kerberos V.
>По поводу обновления "тикета". Можно вручную через повторный вызов klist,
>а можно, говорят\пишут, автоматически (после манипуляций с kutil).
Да или через klist или через выставление специального параметра policy. Хотя по умолчанию этот параметр выключен и обновление производится только, при очередном обращении к сервису и при истечении времени жизни тикета.
>Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг "носители знания" откликнутся...
Так более подробно ? Если интересует этот вопрос могу поделиться книгой O'Reilly "Kerberos Guide", в ней описано более подробно. Т.к. я описываю процесс по памяти.
>Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
>"билетом" не работает определение принадлежности пользователя к
>secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
>хватило мне primary-group.
Это суда вообще никаким боком. | | |
|
|
| 4.25, star76 (ok), 13:22, 01/09/2006 [^] [^^] [^^^] [ответить]
| +/– | |
>И klist показывал, что "билет" не обновился.
Я нашел методику обновленяи билета. Делается следующим образом:
1. На DC дается команда
ktpass /out keytab /pass пароль_польз /princ имя_польз@REALM /ptype KRB5_NT_SRV_HST
2. Потом файл keytab копируется на юниксовую машину и там периодически
дается команда
kinit -R -k -t keytab имя_польз@REALM
билет обновляется без пароля
| | |
|
|
|
| 1.8, Сщкмфч (?), 11:02, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Фантазия у Евгений Витальевича работает замечательная: домен fuck-you.ru скреативил. В остальном все замечатльно, но не хватает слов "впендюрить" и т.п.
Надо попросить его перевести на русский книгу Немет... | | |
| 1.10, Chris (??), 11:18, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Что я Вам господа скажу... Вам бы самим руки подкрутить, а то пальцы одни... Зачем человека обсирать, ведь молодец, не побоялся, выложил статью, замечтально написаную технически и альтернативы приведены и всё хорошо, так что молодец, не обращай внимания на ребят переехавших сюда с удаф.ком по воле случая. | | |
| |
| 2.11, Corvax (??), 11:36, 29/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
По технич. части притензий никаких нет. Жалко, что в серьезной по структуре и качеству статье столь неудачные примеры. :-(
Это вовсе не пальцы. | | |
|
| 1.16, неаноним (?), 17:09, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
With UTMP support (хрен знает, что такое)
workgroup = fuck-you
server string = fuck you mazefakers
Вот это все сильно поднимает авторитет? | | |
| |
| 2.18, Nikola (??), 09:11, 30/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>With UTMP support (хрен знает, что такое)
>workgroup = fuck-you
>server string = fuck you mazefakers
>
>Вот это все сильно поднимает авторитет?
О том и речь, даже в начале статьи.
>просьба некоторым сильно
>"продвинутым" товарищам воздержаться от комментариев в ее адрес, т.к. их
>мнения нахрен не нужны никому
Почему не матом? Или не "Бобруйск"
Автор хочет стать Аффтарам?
Такое впечатление что его заставляли писАть статью, а он кричал и упирался.
| | |
| 2.19, Васильченко Евгений (?), 12:57, 30/08/2005 [^] [^^] [^^^] [ответить]
| +/– | |
Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт с таким именем когда-то действительно был. Естественно, что при написании статьи учел не все. Например виндовые глюки учесть невозможно - они проявляются у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью? | | |
| |
| 3.21, mxm (ok), 13:41, 30/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
>с таким именем когда-то действительно был. Естественно, что при написании статьи
>учел не все. Например виндовые глюки учесть невозможно - они проявляются
>у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?
ага. правда раньше делали и не по статье, но так-же. спасибо огромное за
сведение "знания" в одну статью. все отлично.
| | |
| 3.23, Nikola (??), 12:28, 31/08/2005 [^] [^^] [^^^] [ответить]
| +/– |
>Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
>с таким именем когда-то действительно был. Естественно, что при написании статьи
>учел не все. Например виндовые глюки учесть невозможно - они проявляются
>у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить
>статью?
У меня когда lifetime ключа истекал переставало пускать, поэтому переделал под security = domain а не ads. Было бы всё-таки интересно узнать кто нибудь решил проблему с окончанием действия ключа kerberos? kinit -R не спасало.
| | |
|
|
| 1.20, Yotun (?), 13:31, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а почему в конфиге самбы security = domain?
для работы через керберос вроде как нужно security = ads. Во всяком случае, у меня работает именно так.
Кстати, с русскими именами пользователей отлично работает :) | | |
| 1.22, badwore (?), 18:48, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
керберос работает, самба заджойнилась, wbinfo все что нужно выдает, по id виндовых юзеров видно
НО самба никого не пускает
net view \\gate выдает Access denied, в логе запись:
smbd/sesssetup.c:reply_spnego_kerberos(250)
username DOMAIN.LOCAL\test is invalid on this system
net view \\192.168.1.254 выдает Access denied, в логе запись:
auth/auth_winbind.c:check_winbind_security(123)
check_winbind_security: ERROR! my_private_data == NULL!
при попытке залогинится под виндовым юзером в логе запись:
Failed password for test from 192.168.1.2
устал с ней биться , подскажите где копать
PS: gate=192.168.1.254
самба собиралась из сырцов, 3.0.14a
| | |
| 1.24, bb (?), 14:59, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
с правильным паролем пишет
#kinit user@domain
#kinit: password incorect
как исправить?? | | |
| |
| 2.26, DarkSide83 (?), 17:00, 31/03/2007 [^] [^^] [^^^] [ответить]
| +/– |
>с правильным паролем пишет
>#kinit user@domain
>#kinit: password incorect
>как исправить??
Сталкивался с такой бедой, после переведения все доменных имен в верхний регистр в
файлах smb.conf и krb5.conf, все заработало.
| | |
|
|
