Народ, пожалуйста помогите разобраться с проблемой, сам новичек в *nix, бьюсь второй день.

В поиске нашел много похожего, но данной проблемы не нашел, посему пишу тут...

Задача - что бы сквид авторизовывал пользователей в AD без запроса пароля.
Есть домен на 2008R2, есть FreeBSD 8.1 c samba3.

Ввел самбу в домен, билет получен. Могу цеплять из AD группы и пользователей, но вот авторизацию они не проходят(

--------
# wbinfo -a "user"
plaintext password authentication failed
error code was NT_STATUS_PIPE_DISCONNECTED (0xc00000b0)
error messsage was: Named pipe dicconnected
Could not authenticate user "user" with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_PIPE_DISCONNECTED (0xc00000b0)
error messsage was: Named pipe dicconnected
Could not authenticate user "user" with challenge/response
--------
Соответственно сквид никого не авторизовывает...

Думаю дело именно в самбе, не в сквиде...хотя хз, может и не прав.

Конфиг самбы:
[global]
        dos charset = 866
        unix charset = KOI8-R
        workgroup = ROSCAP
        realm = ROSCAP.COM
        server string = EURO (Samba Server)
        interfaces = 10.7.100.220
        security = ADS
        auth methods = winbind
        password server = 10.200.0.20
        client NTLMv2 auth = Yes
        log level = 0 vfs:1
        log file = /var/log/samba/samba.log
        max log size = 0
        deadtime = 360
        max open files = 100000
        paranoid server security = No
        load printers = No
        show add printer wizard = No
        os level = 8
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind nested groups = No
        winbind refresh tickets = Yes
        case sensitive = No
        hide unreadable = Yes

Конфиг кербероса:
[libdefaults]
default_realm = ROSCAP.COM

[realms]
ROSCAP.COM = {
        kdc = 10.200.0.20:88
        admin_server = 10.200.0.20:749
        default_domain = roscap.com
        }

[domain_realm]
.roscap.com = roscap.com

[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log

Данные которые выдает wbinfo:
# wbinfo -D ROSCAP.COM
Name              : ROSCAP
Alt_Name          : roscap.com
SID               : S-1-5-21-3616840952-3700109969-2679275319
Active Directory  : Yes
Native            : Yes
Primary           : Yes
Sequence          : 72337

# wbinfo --own-domain
ROSCAP

# wbinfo -u
выдает список всех пользователей

# wbinfo -g
выводит список всех групп

но вот это мне не нравится:
# wbinfo -m
Could not list trusted domains

Такое ощущение, что он не видет этот домен.

Скажите в какую сторонц копать? Все, что нужно выложу еще.

• samba3 + AD 2008 R2,BereZ, 15:02 , 19-Янв-11
  • samba3 + AD 2008 R2,aaa, 10:10 , 21-Фев-11
    • samba3 + AD 2008 R2,BereZ, 19:05 , 21-Фев-11
      • samba3 + AD 2008 R2,aaa, 13:49 , 22-Фев-11
        • samba3 + AD 2008 R2,aaa, 13:56 , 22-Фев-11
          • samba3 + AD 2008 R2,aaa, 17:20 , 22-Фев-11

Что самое интересное, что пока домен был на Win 2008 - все работало как часы. Как только обновили до R2 - все встало.

> Что самое интересное, что пока домен был на Win 2008 - все
> работало как часы. Как только обновили до R2 - все встало.

тоже проблема с 2008r2

в логах krb5_rd_req with auth failed (Bad encryption type)

krb5.conf

        default_etypes = rc4-hmac des-cbc-crc des-cbc-md5
        default_etypes_des = rc4-hmac des-cbc-crc des-cbc-md5
        fcc-mit-ticketflags = true
        default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        dns_lookup_kdc = true
        permitted_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc

Явно с керберос чего то.....
в krb5.keytab всякую херню пишет...

>[оверквотинг удален]
> des-cbc-crc
>         default_tkt_enctypes = rc4-hmac des-cbc-md5
> des-cbc-crc
>         preferred_enctypes = rc4-hmac des-cbc-md5
> des-cbc-crc
>         dns_lookup_kdc = true
>         permitted_enctypes = rc4-hmac des-cbc-md5
> des-cbc-crc
> Явно с керберос чего то.....
> в krb5.keytab всякую херню пишет...

У меня все решилось обновлением самбы...
Покажи конфиг кербероса.

krb5.conf

[libdefaults]
        default_realm = DOMAIN.LOCAL
        default_etypes = rc4-hmac des-cbc-crc des-cbc-md5
        default_etypes_des = rc4-hmac des-cbc-crc des-cbc-md5
        fcc-mit-ticketflags = true
        default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        dns_lookup_kdc = true
        permitted_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        dns_lookup_realm = true
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        default_keytab_name = FILE:/etc/krb5.keytab
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        TDTOBOL.LOCAL = {
                kdc = dc1.domain.local
                admin_server = dc1.domain.local
                default_domain = domain.local
        }

[domain_realm]
        .domain.local = DOMAIN.LOCAL
        domain.local = DOMAIN.LOCAL

[login]
        krb4_convert = true
        krb4_get_tickets = false

debian squeeze linux-2.6.32-5-amd64
samba-3.5.6
libkrb5-3 1.8.3+dfsg-4
wbinfo -g -u группы и пользователей кажет на ура
в домен введен, пробелемы на этом этапе были исправлены
обратную зону прописал в ручную, ошибка исчезла, НО юзера не идентифицирует
логи самбы:

[2011/02/22 15:40:17.948154,  3] libads/authdata.c:304(decode_pac_data)
  Found account name from PAC: ivanov_ii [Иванов Иван Иванович]
[2011/02/22 15:40:17.948189,  3] smbd/sesssetup.c:338(reply_spnego_kerberos)
  Ticket name is [ivanov_ii@DOMAIN.LOCAL]
[2011/02/22 15:40:17.948241,  5] lib/username.c:133(Get_Pwnam_alloc)
  Finding user DOMAIN/ivanov_ii
[2011/02/22 15:40:17.948253,  5] lib/username.c:77(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as lowercase is domain/ivanov_ii
[2011/02/22 15:40:17.948295,  5] lib/username.c:85(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as given is DOMAIN/ivanov_ii
[2011/02/22 15:40:17.948331,  5] lib/username.c:95(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as uppercase is DOMAIN/IVANOV_II
[2011/02/22 15:40:17.948366,  5] lib/username.c:104(Get_Pwnam_internals)
  Checking combinations of 0 uppercase letters in domain/ivanov_ii
[2011/02/22 15:40:17.948388,  5] lib/username.c:110(Get_Pwnam_internals)
  Get_Pwnam_internals didn't find user [DOMAIN/ivanov_ii]!
[2011/02/22 15:40:17.948399,  5] lib/username.c:133(Get_Pwnam_alloc)
  Finding user ivanov_ii
[2011/02/22 15:40:17.948408,  5] lib/username.c:77(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as lowercase is ivanov_ii
[2011/02/22 15:40:17.948441,  5] lib/username.c:95(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as uppercase is IVANOV_II
[2011/02/22 15:40:17.948476,  5] lib/username.c:104(Get_Pwnam_internals)
  Checking combinations of 0 uppercase letters in ivanov_ii
[2011/02/22 15:40:17.948488,  5] lib/username.c:110(Get_Pwnam_internals)
  Get_Pwnam_internals didn't find user [ivanov_ii]!
[2011/02/22 15:40:17.948553,  1] smbd/sesssetup.c:454(reply_spnego_kerberos)
  Username DOMAIN/ivanov_ii is invalid on this system
[2011/02/22 15:40:17.948572,  3] smbd/error.c:80(error_packet_set)

#======================= Global Settings =======================

[global]

    workgroup = domain
    realm = DOMAIN.LOCAL
    server string = Backup Server1
    dns proxy = yes
    interfaces = 192.168.99.5
    bind interfaces only = yes
    log file = /var/log/samba/log.%m
    allow trusted domains = No
    log level = 9
    max log size = 1000
    syslog only = no
    syslog = 0
    security = ADS
    encrypt passwords = true
    unix charset = LOCALE
    netbios name = SBA1
    passdb backend = tdbsam
    unix password sync = no
    domain logons = no
    preferred master = no
    local master = no
    load printers = no
    domain master = no
    password server = dc1.domain.local
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    idmap backend = idmap_rid:TDTOBOL=10000-20000
    template shell = /bin/bash
    winbind enum groups = yes
    winbind enum users = yes
    winbind use default domain = yes
    winbind nested groups = Yes
#    auth methods = winbind
    usershare max shares = 100
    winbind separator = /
    os level = 0
#    use kerberos keytab = yes
    client NTLMv2 auth = yes
#    kerberos method = system keytab
    socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192 IPTOS_THROUGHPUT
....
....
#======================= Share Definitions =======================

[backup]
    comment = Backup Directories
    browseable = no
    read only = yes
    create mask = 0700
    directory mask = 0700
    valid users = @"пользователи домена"

.....

немного накосячил:)

строки
[realms]
        TDTOBOL.LOCAL = {
следует читать
[realms]
        DOMAIN.LOCAL = {

и

idmap backend = idmap_rid:TDTOBOL=10000-20000

как

idmap backend = idmap_rid:DOMAIN=10000-20000

не везде убрал реальное имя домена :)

проблема с паролем решилась так добавлением winbind в nsswitch.conf

ща проблема с отображением шар :(

не показывает их и все тут

выствил valid users =

по идее любой юзер должен увидеть шары