URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2618
[ Назад ]

Исходное сообщение
"Kerberos FreeBSD"
Отправлено Gromophon , 17-Мрт-14 11:00

Не выдается список пользователей самба по команде wbinfo -u а также список групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже авторизует, в логе сообщение
tail -100 log.wb-[DOMAIN]
[2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
  kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested realm
пример krb5.conf
[libdefaults]
        default_realm = DOMAIN.XXXX.RU
#    kdc_timesync = 1
#    ccache_type = 4
#    forwardable = true
#    proxiable = true
#    fcc-mit-ticketflags = true
#    default_keytab_name = FILE:/etc/krb5.keytab
        clockskew = 300
        v4_instance_resolv = false
        v4_name_convert = {
        host = {
        rcmd = host
        ftp = ftp
        }
        plain = {
        something = something-else
        }
        }
[realms]
        DOMAIN.XXXX.RU = {
                dns_lookup_kdc = true
#                kdc = dc1
#                kdc = dc2
                kdc = tcp/DOMAIN.XXXX.RU
                admin_server = tcp/DOMAIN.XXXX.RU
        }
[domain_realm]
.domain.xxxx.ru = DOMAIN.XXXX.RU
domain.xxxx.ru = DOMAIN.XXXX.RU
[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON
система FreeBSD 9.2 , на рядом стоящей 9.1 с аналогичными настройками все работает, как переустановить собственно клиента керберос, во фряхе он уже вроде встроенный heimdal? Если ставить из портов другой керберос то же самое. Самба 3.6, авторизация доменная.

Содержание

Kerberos FreeBSD,Сергей, 01:28 , 18-Мрт-14
- Kerberos FreeBSD,Gromophon, 02:30 , 18-Мрт-14
  - Kerberos FreeBSD,Gromophon, 05:19 , 18-Мрт-14
    - Kerberos FreeBSD,Gromophon, 02:56 , 20-Мрт-14

Сообщения в этом обсуждении

"Kerberos FreeBSD"
Отправлено Сергей , 18-Мрт-14 01:28

> Не выдается список пользователей самба по команде wbinfo -u а также список
> групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже
> авторизует, в логе сообщение
>  tail -100 log.wb-[DOMAIN]
> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
>     kdc = tcp/DOMAIN.XXXX.RU
  У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите что вам ответят

"Kerberos FreeBSD"
Отправлено Gromophon , 18-Мрт-14 02:30

>> Не выдается список пользователей самба по команде wbinfo -u а также список
>> групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже
>> авторизует, в логе сообщение
>>  tail -100 log.wb-[DOMAIN]
>> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
>>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
>>     kdc = tcp/DOMAIN.XXXX.RU
>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
> что вам ответят
да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список доменов корректно

"Kerberos FreeBSD"
Отправлено Gromophon , 18-Мрт-14 05:19

>[оверквотинг удален]
>>> авторизует, в логе сообщение
>>>  tail -100 log.wb-[DOMAIN]
>>> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
>>>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
>>>     kdc = tcp/DOMAIN.XXXX.RU
>>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
>> что вам ответят
> да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
> но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список
> доменов корректно
список выходит даже по команде net ads user, но wbinfo не работает, все-таки что кривое керберос или самба интересно?
Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя уже приходит мысль переделать под net ads user

"Kerberos FreeBSD"
Отправлено Gromophon , 20-Мрт-14 02:56

>[оверквотинг удален]
>>>> kdc = tcp/DOMAIN.XXXX.RU
>>> У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
>>> что вам ответят
>> да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
>> но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список
>> доменов корректно
> список выходит даже по команде net ads user, но wbinfo не работает,
> все-таки что кривое керберос или самба интересно?
> Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя
> уже приходит мысль переделать под net ads user
Вобщем кому интересно, wbinfo -u так и не заработало, альтернативный вариант через
net rpc user info [user] -U [user_domain] -S [server] работает пока стабильно хорошо, отображается принадлежность пользователя группам, перепилил скрипт wbinfo_group.pl под выполнение этой команды, сократилось количество вызовов с 3, как в стандартном скрипте до 1, сделал по мелочи проверку домен-контроллеров на живучесть, чтоб при перезагрузке одного из двух выбирался тот, который в апе, оставил так. Сделал вывод, что глюк где-то в связке samba+kerberos, в чем именно хз, причем сначала при установке системы все работало хорошо, но при накате какого-то пакета произошел сбой (где, какой?), который привел к отказу wbinfo.