Tomsk Sysadmins Forum
Unix => Администрирование => Topic started by: НеЗнаюУжеКакОбозваться on October 17, 2007, 14:24:54
-
Настроил samba по описаниям (новичек я), пытаюсь подключиться командой
# net ads join -U administrator
, а в ответ выдается следующее сообщение:
[2007/10/17 14:10:09, 0] libads/kerberos.c:ads_kinit_password(208)
kerberos_kinit_password [email protected] failed: Ресурс временно недоступен
[2007/10/17 14:10:09, 0] utils/net_ads.c:ads_startup(281)
ads_connect: Ресурс временно недоступен
Что это обозначает? Где я накосячил?
Кто-нибудь может помочь моему горю?
-
Да легко, накосячил ты в /etc/krb.conf наверное : ) Еще при разборках с керберос желательно быть уверенным на сто процентов в корректности dns в обе стороны. И ессно, linux должен зону днс домена видеть.
-
---
А ты уверен что у тебя домен MY.DOMAIN.RU?
-
---
А ты уверен что у тебя домен MY.DOMAIN.RU?
Я уверен, что мой домен называется по-другому
Разве важно писать его реальное имя?
krb5.conf выглядит так:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = MY.DOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
forwardable = yes
[realms]
MY.DOMAIN.RU = {
kdc = 192.168.1.1
kdc = HOST.MY.DOMAIN.RU
default_domain = MY.DOMAIN.RU
}
[domain_realm]
.MY.DOMAIN.RU = MY.DOMAIN.RU
MY.DOMAIN.RU = MY.DOMAIN.RU
my.domain.ru = MY.DOMAIN.RU
.my.domain.ru = MY.DOMAIN.RU
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
DOMAIN #[GLOBAL] = {
kdc = my.domain.ru
}
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
-
Рабочие конфиги:
/etc/samba/smb.conf
[global]
dos charset = CP866
workgroup = EXAMPLE
realm = EXAMPLE.COM
server string =
interfaces = 127.0.0.1, eth0
bind interfaces only = Yes
security = ADS
auth methods = winbind
allow trusted domains = No
obey pam restrictions = Yes
password server = srv01.example.com, srv02.example.com
restrict anonymous = 2
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log level = 0 passdb:0 auth:0 winbind:0
syslog = 0
log file = /var/log/samba/%m.log
server signing = auto
max smbd processes = 512
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
cups server = localhost
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = 192.168.1.3
ldap ssl = no
idmap uid = 10000-100000000
idmap gid = 10000-100000000
template shell = /bin/bash
winbind use default domain = Yes
winbind refresh tickets = Yes
invalid users = root, bin, daemon, sync, nobody
hosts allow = 127.0.0.1, 192.168.1.
hosts deny = all
cups options = cups
message command = bash -c "/bin/mail -s 'message from %f on %m' root < %s; rm %s"
[homes]
comment = Home Directories
read only = No
create mask = 0664
browseable = No
/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
EXAMPLE.COM = {
kdc = srv01.example.com
kdc = srv02.example.com
admin_server = srv01.example.com
admin_server = srv02.example.com
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
1. Обрати внимание на опцию: admin_server в разделе [realms]
2. Причём srv01.example.com и srv02.example.com должны резольвиться в IP.
3. После того как все изменения были успешно произведены необходимо обязательно добавить запись типа A на DNS-сервере обслуживающем Windows домен. В противном случае учётная запись SAMBA-сервера будет добавлена в каталог Active Directory, но сразу же будет заблокирована, и даже если вы её разблокируете вручную авторизация работать не будет!
4. Теперь необходимо получить Kerberos-билет для добавляемого в Windows домен SAMBA-сервера. Делается это простой командой:
kinit [email protected]
5. Проверить, что билет получен можно командой klist
6. Проверим, что SAMBA собрана с поддержкой ADS: /usr/sbin/smbd -b | grep -i ads
7. net ads join -U domain_username
Где domain_username - это имя пользователя существующего в Windows домене и имеющего право добавлять рабочие станции в домен.
Если всё сделано правильно, но всё равно не хотит работать, проверяшь не запрещено ли чего в iptables лишнего.
И что SELinux ничего не блокирует (если запущен демон auditd то файл журнала тут: /var/log/audit/audit.log; если не запущен то всё пишется в /var/log/messages)
И кстати... сервис winbind запущен? Если нет то запускать его следует после получения kerberos билета.... ну это так на всякий случай.
З.Ы. Всё это проверено и работает на ASPLinux 11 и 11.2
-
Вошел с другим логином, т.к. под прежним не пускают
Большое спасибо за помощь, попробую Ваши конфы применить - надеюсь поможет.
Кстати, зашел на сервер Win2k3, а там не настроена обратная зона DNS! Вопрос: может из-за этого у меня не цеплялся линукс к AD?
Прежний сисадмин (фанат Линукса), похоже, с презрением отнёсся к Win серверу
-
Читать логи стоит и не фанатам линукса. Обратная зона безусловно необходима.
-
Уважаемый Xray_Linux_Root, я следовал Вашим инструкциям и все бы хорошо, но при попытке подключения выдается:
kinit(v5): Clock skew too great while getting initial credentials
при этом разница во времени между сервером и моим компьютером всего несколько секунд.
Что бы еще сделать чтобы победить этот геморрой?
Буду очень признателен за любую помощь
-
Уважаемый Xray_Linux_Root, я следовал Вашим инструкциям и все бы хорошо, но при попытке подключения выдается:
kinit(v5): Clock skew too great while getting initial credentials
при этом разница во времени между сервером и моим компьютером всего несколько секунд.
Что бы еще сделать чтобы победить этот геморрой?
Буду очень признателен за любую помощь
1. klist - чего говорит?
2. kinit [email protected] - так командуешь?
3. nslookup KDC и nslookup KDC.my.domain.ru - чего говорит?
4. ntpdate KDC - сделай на всякий пожарный
5. man krb5.conf - есть параметр в секции [libdefaults] - где clock_skew, где clockskew - можно на всякий пожарный ручками прописать равным 300
Это всё, что я пока могу добавить к написанному здесь:
http://samba.tomsk.ru/samba/docs/man/Samba...r.html#id337796 (http://samba.tomsk.ru/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id337796)
-
Может временная зона неверно настроена?
вывод date плз в студио.
-
1. klist - чего говорит?
2. kinit [email protected] - так командуешь?
3. nslookup KDC и nslookup KDC.my.domain.ru - чего говорит?
4. ntpdate KDC - сделай на всякий пожарный
5. man krb5.conf - есть параметр в секции [libdefaults] - где clock_skew, где clockskew - можно на всякий пожарный ручками прописать равным 300
Это всё, что я пока могу добавить к написанному здесь:
http://samba.tomsk.ru/samba/docs/man/Samba...r.html#id337796 (http://samba.tomsk.ru/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id337796)
СПАСИБО!!!
прописал 5 пункт - все заработало!
Да здравствует и процветает Xray_Linux_Root !
и пятый пункт (для тех, кто помнит)