Рабочие конфиги:
/etc/samba/smb.conf[global]
dos charset = CP866
workgroup = EXAMPLE
realm = EXAMPLE.COM
server string =
interfaces = 127.0.0.1, eth0
bind interfaces only = Yes
security = ADS
auth methods = winbind
allow trusted domains = No
obey pam restrictions = Yes
password server = srv01.example.com, srv02.example.com
restrict anonymous = 2
client NTLMv2 auth = Yes
client lanman auth = No
client plaintext auth = No
log level = 0 passdb:0 auth:0 winbind:0
syslog = 0
log file = /var/log/samba/%m.log
server signing = auto
max smbd processes = 512
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
cups server = localhost
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = 192.168.1.3
ldap ssl = no
idmap uid = 10000-100000000
idmap gid = 10000-100000000
template shell = /bin/bash
winbind use default domain = Yes
winbind refresh tickets = Yes
invalid users = root, bin, daemon, sync, nobody
hosts allow = 127.0.0.1, 192.168.1.
hosts deny = all
cups options = cups
message command = bash -c "/bin/mail -s 'message from %f on %m' root < %s; rm %s"
[homes]
comment = Home Directories
read only = No
create mask = 0664
browseable = No
/etc/krb5.conf[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
EXAMPLE.COM = {
kdc = srv01.example.com
kdc = srv02.example.com
admin_server = srv01.example.com
admin_server = srv02.example.com
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
1. Обрати внимание на опцию:
admin_server в разделе
[realms]2. Причём
srv01.example.com и
srv02.example.com должны резольвиться в IP.
3. После того как все изменения были успешно произведены необходимо обязательно добавить запись типа A на DNS-сервере обслуживающем Windows домен. В противном случае учётная запись SAMBA-сервера будет добавлена в каталог Active Directory, но сразу же будет заблокирована, и даже если вы её разблокируете вручную авторизация работать не будет!
4. Теперь необходимо получить Kerberos-билет для добавляемого в Windows домен SAMBA-сервера. Делается это простой командой:
kinit [email protected]5. Проверить, что билет получен можно командой
klist6. Проверим, что SAMBA собрана с поддержкой ADS:
/usr/sbin/smbd -b | grep -i ads7.
net ads join -U domain_usernameГде domain_username - это имя пользователя существующего в Windows домене и имеющего право добавлять рабочие станции в домен.
Если всё сделано правильно, но всё равно не хотит работать, проверяшь не запрещено ли чего в
iptables лишнего.
И что
SELinux ничего не блокирует (если запущен демон auditd то файл журнала тут: /var/log/audit/audit.log; если не запущен то всё пишется в /var/log/messages)
И кстати... сервис
winbind запущен? Если нет то запускать его следует после получения kerberos билета.... ну это так на всякий случай.
З.Ы. Всё это проверено и работает на ASPLinux 11 и 11.2