forum.opennet.ru - "samba3 + AD 2008 R2" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"samba3 + AD 2008 R2"

Форум Samba, вопросы интеграции Unix и Windows (Аутентификация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"samba3 + AD 2008 R2"	+/–
Сообщение от BereZ (ok) on 19-Янв-11, 15:00
Народ, пожалуйста помогите разобраться с проблемой, сам новичек в *nix, бьюсь второй день. В поиске нашел много похожего, но данной проблемы не нашел, посему пишу тут... Задача - что бы сквид авторизовывал пользователей в AD без запроса пароля. Есть домен на 2008R2, есть FreeBSD 8.1 c samba3. Ввел самбу в домен, билет получен. Могу цеплять из AD группы и пользователей, но вот авторизацию они не проходят( -------- # wbinfo -a "user" plaintext password authentication failed error code was NT_STATUS_PIPE_DISCONNECTED (0xc00000b0) error messsage was: Named pipe dicconnected Could not authenticate user "user" with plaintext password challenge/response password authentication failed error code was NT_STATUS_PIPE_DISCONNECTED (0xc00000b0) error messsage was: Named pipe dicconnected Could not authenticate user "user" with challenge/response -------- Соответственно сквид никого не авторизовывает... Думаю дело именно в самбе, не в сквиде...хотя хз, может и не прав. Конфиг самбы: [global] dos charset = 866 unix charset = KOI8-R workgroup = ROSCAP realm = ROSCAP.COM server string = EURO (Samba Server) interfaces = 10.7.100.220 security = ADS auth methods = winbind password server = 10.200.0.20 client NTLMv2 auth = Yes log level = 0 vfs:1 log file = /var/log/samba/samba.log max log size = 0 deadtime = 360 max open files = 100000 paranoid server security = No load printers = No show add printer wizard = No os level = 8 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes winbind nested groups = No winbind refresh tickets = Yes case sensitive = No hide unreadable = Yes Конфиг кербероса: [libdefaults] default_realm = ROSCAP.COM [realms] ROSCAP.COM = { kdc = 10.200.0.20:88 admin_server = 10.200.0.20:749 default_domain = roscap.com } [domain_realm] .roscap.com = roscap.com [logging] default = FILE:/var/log/kerberos/krb5libs.log kdc = FILE:/var/log/kerberos/krb5kdc.log Данные которые выдает wbinfo: # wbinfo -D ROSCAP.COM Name : ROSCAP Alt_Name : roscap.com SID : S-1-5-21-3616840952-3700109969-2679275319 Active Directory : Yes Native : Yes Primary : Yes Sequence : 72337 # wbinfo --own-domain ROSCAP # wbinfo -u выдает список всех пользователей # wbinfo -g выводит список всех групп но вот это мне не нравится: # wbinfo -m Could not list trusted domains Такое ощущение, что он не видет этот домен. Скажите в какую сторонц копать? Все, что нужно выложу еще.
Ответить \| Правка \| Cообщить модератору

Оглавление

samba3 + AD 2008 R2, BereZ, 15:02 , 19-Янв-11, (1)

samba3 + AD 2008 R2, aaa, 10:10 , 21-Фев-11, (2)

samba3 + AD 2008 R2, BereZ, 19:05 , 21-Фев-11, (3)

samba3 + AD 2008 R2, aaa, 13:49 , 22-Фев-11, (4)

samba3 + AD 2008 R2, aaa, 13:56 , 22-Фев-11, (5)

samba3 + AD 2008 R2, aaa, 17:20 , 22-Фев-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "samba3 + AD 2008 R2" +/–

Сообщение от BereZ (ok) on 19-Янв-11, 15:02

Что самое интересное, что пока домен был на Win 2008 - все работало как часы. Как только обновили до R2 - все встало.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "samba3 + AD 2008 R2" +/–

Сообщение от aaa (??) on 21-Фев-11, 10:10

> Что самое интересное, что пока домен был на Win 2008 - все
> работало как часы. Как только обновили до R2 - все встало.
тоже проблема с 2008r2
в логах krb5_rd_req with auth failed (Bad encryption type)
krb5.conf
        default_etypes = rc4-hmac des-cbc-crc des-cbc-md5
        default_etypes_des = rc4-hmac des-cbc-crc des-cbc-md5
        fcc-mit-ticketflags = true
        default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        dns_lookup_kdc = true
        permitted_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
Явно с керберос чего то.....
в krb5.keytab всякую херню пишет...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "samba3 + AD 2008 R2" +/–

Сообщение от BereZ (ok) on 21-Фев-11, 19:05

>[оверквотинг удален]
> des-cbc-crc
>         default_tkt_enctypes = rc4-hmac des-cbc-md5
> des-cbc-crc
>         preferred_enctypes = rc4-hmac des-cbc-md5
> des-cbc-crc
>         dns_lookup_kdc = true
>         permitted_enctypes = rc4-hmac des-cbc-md5
> des-cbc-crc
> Явно с керберос чего то.....
> в krb5.keytab всякую херню пишет...
У меня все решилось обновлением самбы...
Покажи конфиг кербероса.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "samba3 + AD 2008 R2" +/–

Сообщение от aaa (??) on 22-Фев-11, 13:49

krb5.conf
[libdefaults]
        default_realm = DOMAIN.LOCAL
        default_etypes = rc4-hmac des-cbc-crc des-cbc-md5
        default_etypes_des = rc4-hmac des-cbc-crc des-cbc-md5
        fcc-mit-ticketflags = true
        default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        dns_lookup_kdc = true
        permitted_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc
        dns_lookup_realm = true
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        default_keytab_name = FILE:/etc/krb5.keytab
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true
[realms]
        TDTOBOL.LOCAL = {
                kdc = dc1.domain.local
                admin_server = dc1.domain.local
                default_domain = domain.local
        }
[domain_realm]
        .domain.local = DOMAIN.LOCAL
        domain.local = DOMAIN.LOCAL
[login]
        krb4_convert = true
        krb4_get_tickets = false

debian squeeze linux-2.6.32-5-amd64
samba-3.5.6
libkrb5-3 1.8.3+dfsg-4
wbinfo -g -u группы и пользователей кажет на ура
в домен введен, пробелемы на этом этапе были исправлены
обратную зону прописал в ручную, ошибка исчезла, НО юзера не идентифицирует
логи самбы:
[2011/02/22 15:40:17.948154,  3] libads/authdata.c:304(decode_pac_data)
  Found account name from PAC: ivanov_ii [Иванов Иван Иванович]
[2011/02/22 15:40:17.948189,  3] smbd/sesssetup.c:338(reply_spnego_kerberos)
  Ticket name is [ivanov_ii@DOMAIN.LOCAL]
[2011/02/22 15:40:17.948241,  5] lib/username.c:133(Get_Pwnam_alloc)
  Finding user DOMAIN/ivanov_ii
[2011/02/22 15:40:17.948253,  5] lib/username.c:77(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as lowercase is domain/ivanov_ii
[2011/02/22 15:40:17.948295,  5] lib/username.c:85(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as given is DOMAIN/ivanov_ii
[2011/02/22 15:40:17.948331,  5] lib/username.c:95(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as uppercase is DOMAIN/IVANOV_II
[2011/02/22 15:40:17.948366,  5] lib/username.c:104(Get_Pwnam_internals)
  Checking combinations of 0 uppercase letters in domain/ivanov_ii
[2011/02/22 15:40:17.948388,  5] lib/username.c:110(Get_Pwnam_internals)
  Get_Pwnam_internals didn't find user [DOMAIN/ivanov_ii]!
[2011/02/22 15:40:17.948399,  5] lib/username.c:133(Get_Pwnam_alloc)
  Finding user ivanov_ii
[2011/02/22 15:40:17.948408,  5] lib/username.c:77(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as lowercase is ivanov_ii
[2011/02/22 15:40:17.948441,  5] lib/username.c:95(Get_Pwnam_internals)
  Trying _Get_Pwnam(), username as uppercase is IVANOV_II
[2011/02/22 15:40:17.948476,  5] lib/username.c:104(Get_Pwnam_internals)
  Checking combinations of 0 uppercase letters in ivanov_ii
[2011/02/22 15:40:17.948488,  5] lib/username.c:110(Get_Pwnam_internals)
  Get_Pwnam_internals didn't find user [ivanov_ii]!
[2011/02/22 15:40:17.948553,  1] smbd/sesssetup.c:454(reply_spnego_kerberos)
  Username DOMAIN/ivanov_ii is invalid on this system
[2011/02/22 15:40:17.948572,  3] smbd/error.c:80(error_packet_set)
#======================= Global Settings =======================
[global]
    workgroup = domain
    realm = DOMAIN.LOCAL
    server string = Backup Server1
    dns proxy = yes
    interfaces = 192.168.99.5
    bind interfaces only = yes
    log file = /var/log/samba/log.%m
    allow trusted domains = No
    log level = 9
    max log size = 1000
    syslog only = no
    syslog = 0
    security = ADS
    encrypt passwords = true
    unix charset = LOCALE
    netbios name = SBA1
    passdb backend = tdbsam
    unix password sync = no
    domain logons = no
    preferred master = no
    local master = no
    load printers = no
    domain master = no
    password server = dc1.domain.local
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    idmap backend = idmap_rid:TDTOBOL=10000-20000
    template shell = /bin/bash
    winbind enum groups = yes
    winbind enum users = yes
    winbind use default domain = yes
    winbind nested groups = Yes
#    auth methods = winbind
    usershare max shares = 100
    winbind separator = /
    os level = 0
#    use kerberos keytab = yes
    client NTLMv2 auth = yes
#    kerberos method = system keytab
    socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192 IPTOS_THROUGHPUT
....
....
#======================= Share Definitions =======================
[backup]
    comment = Backup Directories
    browseable = no
    read only = yes
    create mask = 0700
    directory mask = 0700
    valid users = @"пользователи домена"
.....

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "samba3 + AD 2008 R2" +/–

Сообщение от aaa (??) on 22-Фев-11, 13:56

немного накосячил:)
строки
[realms]
        TDTOBOL.LOCAL = {
следует читать
[realms]
        DOMAIN.LOCAL = {
и
idmap backend = idmap_rid:TDTOBOL=10000-20000
как
idmap backend = idmap_rid:DOMAIN=10000-20000
не везде убрал реальное имя домена :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "samba3 + AD 2008 R2" +/–

Сообщение от aaa (??) on 22-Фев-11, 17:20

проблема с паролем решилась так добавлением winbind в nsswitch.conf
ща проблема с отображением шар :(
не показывает их и все тут
выствил valid users =
по идее любой юзер должен увидеть шары

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "samba3 + AD 2008 R2"	+/–
Сообщение от BereZ (ok) on 19-Янв-11, 15:02
Что самое интересное, что пока домен был на Win 2008 - все работало как часы. Как только обновили до R2 - все встало.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "samba3 + AD 2008 R2"	+/–
	Сообщение от aaa (??) on 21-Фев-11, 10:10
	> Что самое интересное, что пока домен был на Win 2008 - все > работало как часы. Как только обновили до R2 - все встало. тоже проблема с 2008r2 в логах krb5_rd_req with auth failed (Bad encryption type) krb5.conf default_etypes = rc4-hmac des-cbc-crc des-cbc-md5 default_etypes_des = rc4-hmac des-cbc-crc des-cbc-md5 fcc-mit-ticketflags = true default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc dns_lookup_kdc = true permitted_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc Явно с керберос чего то..... в krb5.keytab всякую херню пишет...
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "samba3 + AD 2008 R2"	+/–
	Сообщение от BereZ (ok) on 21-Фев-11, 19:05
	>[оверквотинг удален] > des-cbc-crc > default_tkt_enctypes = rc4-hmac des-cbc-md5 > des-cbc-crc > preferred_enctypes = rc4-hmac des-cbc-md5 > des-cbc-crc > dns_lookup_kdc = true > permitted_enctypes = rc4-hmac des-cbc-md5 > des-cbc-crc > Явно с керберос чего то..... > в krb5.keytab всякую херню пишет... У меня все решилось обновлением самбы... Покажи конфиг кербероса.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "samba3 + AD 2008 R2"	+/–
	Сообщение от aaa (??) on 22-Фев-11, 13:49
	krb5.conf [libdefaults] default_realm = DOMAIN.LOCAL default_etypes = rc4-hmac des-cbc-crc des-cbc-md5 default_etypes_des = rc4-hmac des-cbc-crc des-cbc-md5 fcc-mit-ticketflags = true default_tgs_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc default_tkt_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc preferred_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc dns_lookup_kdc = true permitted_enctypes = rc4-hmac des-cbc-md5 des-cbc-crc dns_lookup_realm = true krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true default_keytab_name = FILE:/etc/krb5.keytab v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] TDTOBOL.LOCAL = { kdc = dc1.domain.local admin_server = dc1.domain.local default_domain = domain.local } [domain_realm] .domain.local = DOMAIN.LOCAL domain.local = DOMAIN.LOCAL [login] krb4_convert = true krb4_get_tickets = false debian squeeze linux-2.6.32-5-amd64 samba-3.5.6 libkrb5-3 1.8.3+dfsg-4 wbinfo -g -u группы и пользователей кажет на ура в домен введен, пробелемы на этом этапе были исправлены обратную зону прописал в ручную, ошибка исчезла, НО юзера не идентифицирует логи самбы: [2011/02/22 15:40:17.948154, 3] libads/authdata.c:304(decode_pac_data) Found account name from PAC: ivanov_ii [Иванов Иван Иванович] [2011/02/22 15:40:17.948189, 3] smbd/sesssetup.c:338(reply_spnego_kerberos) Ticket name is [ivanov_ii@DOMAIN.LOCAL] [2011/02/22 15:40:17.948241, 5] lib/username.c:133(Get_Pwnam_alloc) Finding user DOMAIN/ivanov_ii [2011/02/22 15:40:17.948253, 5] lib/username.c:77(Get_Pwnam_internals) Trying _Get_Pwnam(), username as lowercase is domain/ivanov_ii [2011/02/22 15:40:17.948295, 5] lib/username.c:85(Get_Pwnam_internals) Trying _Get_Pwnam(), username as given is DOMAIN/ivanov_ii [2011/02/22 15:40:17.948331, 5] lib/username.c:95(Get_Pwnam_internals) Trying _Get_Pwnam(), username as uppercase is DOMAIN/IVANOV_II [2011/02/22 15:40:17.948366, 5] lib/username.c:104(Get_Pwnam_internals) Checking combinations of 0 uppercase letters in domain/ivanov_ii [2011/02/22 15:40:17.948388, 5] lib/username.c:110(Get_Pwnam_internals) Get_Pwnam_internals didn't find user [DOMAIN/ivanov_ii]! [2011/02/22 15:40:17.948399, 5] lib/username.c:133(Get_Pwnam_alloc) Finding user ivanov_ii [2011/02/22 15:40:17.948408, 5] lib/username.c:77(Get_Pwnam_internals) Trying _Get_Pwnam(), username as lowercase is ivanov_ii [2011/02/22 15:40:17.948441, 5] lib/username.c:95(Get_Pwnam_internals) Trying _Get_Pwnam(), username as uppercase is IVANOV_II [2011/02/22 15:40:17.948476, 5] lib/username.c:104(Get_Pwnam_internals) Checking combinations of 0 uppercase letters in ivanov_ii [2011/02/22 15:40:17.948488, 5] lib/username.c:110(Get_Pwnam_internals) Get_Pwnam_internals didn't find user [ivanov_ii]! [2011/02/22 15:40:17.948553, 1] smbd/sesssetup.c:454(reply_spnego_kerberos) Username DOMAIN/ivanov_ii is invalid on this system [2011/02/22 15:40:17.948572, 3] smbd/error.c:80(error_packet_set) #======================= Global Settings ======================= [global] workgroup = domain realm = DOMAIN.LOCAL server string = Backup Server1 dns proxy = yes interfaces = 192.168.99.5 bind interfaces only = yes log file = /var/log/samba/log.%m allow trusted domains = No log level = 9 max log size = 1000 syslog only = no syslog = 0 security = ADS encrypt passwords = true unix charset = LOCALE netbios name = SBA1 passdb backend = tdbsam unix password sync = no domain logons = no preferred master = no local master = no load printers = no domain master = no password server = dc1.domain.local idmap uid = 10000-20000 idmap gid = 10000-20000 idmap backend = idmap_rid:TDTOBOL=10000-20000 template shell = /bin/bash winbind enum groups = yes winbind enum users = yes winbind use default domain = yes winbind nested groups = Yes # auth methods = winbind usershare max shares = 100 winbind separator = / os level = 0 # use kerberos keytab = yes client NTLMv2 auth = yes # kerberos method = system keytab socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192 IPTOS_THROUGHPUT .... .... #======================= Share Definitions ======================= [backup] comment = Backup Directories browseable = no read only = yes create mask = 0700 directory mask = 0700 valid users = @"пользователи домена" .....
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "samba3 + AD 2008 R2"	+/–
	Сообщение от aaa (??) on 22-Фев-11, 13:56
	немного накосячил:) строки [realms] TDTOBOL.LOCAL = { следует читать [realms] DOMAIN.LOCAL = { и idmap backend = idmap_rid:TDTOBOL=10000-20000 как idmap backend = idmap_rid:DOMAIN=10000-20000 не везде убрал реальное имя домена :)
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "samba3 + AD 2008 R2"	+/–
	Сообщение от aaa (??) on 22-Фев-11, 17:20
	проблема с паролем решилась так добавлением winbind в nsswitch.conf ща проблема с отображением шар :( не показывает их и все тут выствил valid users = по идее любой юзер должен увидеть шары
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору