Как подцепить Fedora Core 6 к W2k3 AD?

[НеЗнаюУжеКакОбозваться]

Настроил samba по описаниям (новичек я), пытаюсь подключиться командой  
# net ads join -U administrator
, а в ответ выдается следующее сообщение:
[2007/10/17 14:10:09, 0] libads/kerberos.c:ads_kinit_password(208)
  kerberos_kinit_password [email protected] failed: Ресурс временно недоступен
[2007/10/17 14:10:09, 0] utils/net_ads.c:ads_startup(281)
  ads_connect: Ресурс временно недоступен

Что это обозначает? Где я накосячил?
Кто-нибудь может помочь моему горю?

[deepwalker]

Да легко, накосячил ты в /etc/krb.conf наверное : ) Еще при разборках с керберос желательно быть уверенным на сто процентов в корректности dns в обе стороны. И ессно, linux должен зону днс домена видеть.

[deepwalker]

---
А ты уверен что у тебя домен MY.DOMAIN.RU?

[НеЗнаюУжеКакОбозваться]

---
А ты уверен что у тебя домен MY.DOMAIN.RU?

Я уверен, что мой домен называется по-другому  
Разве важно писать его реальное имя?

krb5.conf выглядит так:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = MY.DOMAIN.RU
 dns_lookup_realm = false
 dns_lookup_kdc = false
 forwardable = yes

[realms]
 MY.DOMAIN.RU = {
  kdc = 192.168.1.1
  kdc = HOST.MY.DOMAIN.RU
  default_domain = MY.DOMAIN.RU
 }

[domain_realm]
 .MY.DOMAIN.RU = MY.DOMAIN.RU
 MY.DOMAIN.RU = MY.DOMAIN.RU
 my.domain.ru = MY.DOMAIN.RU
 .my.domain.ru = MY.DOMAIN.RU

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

 DOMAIN    #[GLOBAL] = {
  kdc = my.domain.ru
 }

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

[Xray_Linux_Root]

Рабочие конфиги:
/etc/samba/smb.conf

Code: [Select]

[global]
        dos charset = CP866
        workgroup = EXAMPLE
        realm = EXAMPLE.COM
        server string =
        interfaces = 127.0.0.1, eth0
        bind interfaces only = Yes
        security = ADS
        auth methods = winbind
        allow trusted domains = No
        obey pam restrictions = Yes
        password server = srv01.example.com, srv02.example.com
        restrict anonymous = 2
        client NTLMv2 auth = Yes
        client lanman auth = No
        client plaintext auth = No
        log level = 0 passdb:0 auth:0 winbind:0
        syslog = 0
        log file = /var/log/samba/%m.log
        server signing = auto
        max smbd processes = 512
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        cups server = localhost
        preferred master = No
        local master = No
        domain master = No
        dns proxy = No
        wins server = 192.168.1.3
        ldap ssl = no
        idmap uid = 10000-100000000
        idmap gid = 10000-100000000
        template shell = /bin/bash
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        invalid users = root, bin, daemon, sync, nobody
        hosts allow = 127.0.0.1, 192.168.1.
        hosts deny = all
        cups options = cups
        message command = bash -c "/bin/mail -s 'message from %f on %m' root < %s; rm %s"

[homes]
        comment = Home Directories
        read only = No
        create mask = 0664
        browseable = No

/etc/krb5.conf

Code: [Select]

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes

[realms]
 EXAMPLE.COM = {
  kdc = srv01.example.com
  kdc = srv02.example.com
  admin_server = srv01.example.com
  admin_server = srv02.example.com
  default_domain = example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }
1. Обрати внимание на опцию: admin_server в разделе [realms]
2. Причём srv01.example.com и srv02.example.com должны резольвиться в IP.
3. После того как все изменения были успешно произведены необходимо обязательно добавить запись типа A на DNS-сервере обслуживающем Windows домен. В противном случае учётная запись SAMBA-сервера будет добавлена в каталог Active Directory, но сразу же будет заблокирована, и даже если вы её разблокируете вручную авторизация работать не будет!
4. Теперь необходимо получить Kerberos-билет для добавляемого в Windows домен SAMBA-сервера. Делается это простой командой:
kinit [email protected]
5. Проверить, что билет получен можно командой klist
6. Проверим, что SAMBA собрана с поддержкой ADS: /usr/sbin/smbd -b | grep -i ads
7. net ads join -U domain_username
Где domain_username - это имя пользователя существующего в Windows домене и имеющего право добавлять рабочие станции в домен.

Если всё сделано правильно, но всё равно не хотит работать, проверяшь не запрещено ли чего в iptables лишнего.
И что SELinux ничего не блокирует (если запущен демон auditd то файл журнала тут: /var/log/audit/audit.log; если не запущен то всё пишется в /var/log/messages)

И кстати... сервис winbind запущен? Если нет то запускать его следует после получения kerberos билета.... ну это так на всякий случай.

З.Ы. Всё это проверено и работает на ASPLinux 11 и 11.2

[Sanitar]

Вошел с другим логином, т.к. под прежним не пускают  
Большое спасибо за помощь, попробую Ваши конфы применить - надеюсь поможет.

Кстати, зашел на сервер Win2k3, а там не настроена обратная зона DNS! Вопрос: может из-за этого у меня не цеплялся линукс к AD?

Прежний сисадмин (фанат Линукса), похоже, с презрением отнёсся  к Win серверу

[deepwalker]

Читать логи стоит и не фанатам линукса. Обратная зона безусловно необходима.

[Sanitar]

Уважаемый Xray_Linux_Root, я следовал Вашим инструкциям и все бы хорошо, но при попытке подключения выдается:
kinit(v5): Clock skew too great while getting initial credentials
при этом разница во времени между сервером и моим компьютером всего несколько секунд.  

Что бы еще сделать чтобы победить этот геморрой?
Буду очень признателен за любую помощь

[Xray_Linux_Root]

Уважаемый Xray_Linux_Root, я следовал Вашим инструкциям и все бы хорошо, но при попытке подключения выдается:
kinit(v5): Clock skew too great while getting initial credentials
при этом разница во времени между сервером и моим компьютером всего несколько секунд.  

Что бы еще сделать чтобы победить этот геморрой?
Буду очень признателен за любую помощь

1. klist - чего говорит?
2. kinit [email protected] - так командуешь?
3. nslookup KDC и nslookup KDC.my.domain.ru - чего говорит?
4. ntpdate KDC - сделай на всякий пожарный
5. man krb5.conf - есть параметр в секции [libdefaults] - где clock_skew, где clockskew - можно на всякий пожарный ручками прописать равным 300

Это всё, что я пока могу добавить к написанному здесь:
http://samba.tomsk.ru/samba/docs/man/Samba...r.html#id337796

[deepwalker]

Может временная зона неверно настроена?
вывод date плз в студио.

[Sanitar]

1. klist - чего говорит?
2. kinit [email protected] - так командуешь?
3. nslookup KDC и nslookup KDC.my.domain.ru - чего говорит?
4. ntpdate KDC - сделай на всякий пожарный
5. man krb5.conf - есть параметр в секции [libdefaults] - где clock_skew, где clockskew - можно на всякий пожарный ручками прописать равным 300

Это всё, что я пока могу добавить к написанному здесь:
http://samba.tomsk.ru/samba/docs/man/Samba...r.html#id337796

СПАСИБО!!!

прописал 5 пункт - все заработало!

Да здравствует и процветает Xray_Linux_Root !
и пятый пункт (для тех, кто помнит)