The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ввод linux компютера в домен windows 2000"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [ Отслеживать ]

"Ввод linux компютера в домен windows 2000"  
Сообщение от sergicus email(ok) on 07-Фев-08, 14:20 
Не могу включить в качестве клиента в контроллер  домена на windows 2000

для этого в active directory я создал пользователя sergei

Эту конфигурацию я взял из книги Стахнов Linux-сервер в windows окружении

вот smb.conf
    
workgroup = objectservice
server string = adminserver
security = domain
log file = /var/log/samba/log.otl
null passwords = yes
encrypt passwords = yes
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 1000-20000
case sensitive = no
password server = pdc
realm = objectservice
dos charset = 866
unix charset = UTF-8
auth methods = winbind
winbind separator =\ \
local master = no
preferred master = no  
winbind enum users = yes
winbind enum groups = yes  
display charset = UTF-8
realm = objectservice

#### Networking ####
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
####### Authentication #######
   security = share
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n
socket options = TCP_NODELAY

[printers]
    comment = All Printers
    browseable = no
    path = /var/spool/samba
    printable = yes
    create mode = 0700
[print$]
    comment = Printer Drivers
    path = /var/lib/samba/printers


создал файл  /etc/samba/lmhosts
вот его содержание

127.0.0.1 localhost
192.168.0.2 pdc

вот содержание файла (после правки) /etc/nsswitch.conf

passwd:         files windbind
group:          files windbind
shadow:         files windbind
hosts:          files nisplus nis dns
bootparams:    nisplus [NOTFOUND=return] files
ethers:        files
netmasks:    files
networks:       files
protocols:      files
services:       files
rpc:            files
netgroup:       nisplus
publickey:    nisplus
automount:    files nisplus
aliases:    files nisplus
hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

вот содержание файла (после правки) /etc/pam.d/samba
@include common-auth
@include common-account
@include common-session
auth required pam_winbind.so
auth required pam_nologin.so
account required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth
auth required pam_stack.so service=system-auth
account sufficient pam_winbind.so
password required pam_winbind.so


создал файл /etc/pam.d/system-auth-winbind
с таким содержанием
auth required pam_env.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so likeauth nullok use_first_pass
auth required pam_deny.so
account sufficient pam_winbind.so
account required pam_unix.so
password required pam_craclib.so retry=3
password sufficient pam_unix.so nollok ude_authtok md5 shadow
password required pam_deny.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required pam_limits.so
session required pam_unix.so


вот что выводит testparam
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
ERROR: the 'winbind separator' parameter must be a single character.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

Пробую подключится  net join -U sergei
выводится
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: Invalid domain role
ADS join did not work, falling back to RPC...
cannot join as standalone machine

Проверяю при помощи wibinfo
Ввожу  wbinfo --all-domains
выводится SERGEI-ADMIN

Ввожу wbinfo -u sergei
Выводится Error looking up domain users

ввожу wbinfo -p
выводится Ping to winbindd succeeded on fd 3

ввожу wbinfo -u
выводится Error looking up domain users

Мой компютер с других компов виден (в сетевом окружении), зайти на него конечно нельзя - требует пароль.
Где я ошибся ????

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ввод linux компютера в домен windows 2000"  
Сообщение от AndreyT on 07-Фев-08, 17:36 

>security = domain

security = ADS
#Если используеться AD


>password server = pdc

password server = server.domen.ru
#dns имя твоего доменного контроллера
#или
password server = 192.168.0.2
#Не знаю работает ли lmhosts не использовал


>realm = objectservice

realm = DOMEN.RU
#доменная часть имени большими буквами


>winbind separator =\\

#Убери строку это значение по умолчанию

>   security = share

#Противоречит ADS


>   passwd program = /usr/bin/passwd %u
>   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n

#Строки нужны если у тебя контроллер домена


>вот содержание файла (после правки) /etc/nsswitch.conf

#Здесь правильно


#pam нужен только если ты будеш входить в систему(консоль) под доменной учетной записью


Необходимо настроить /etc/krb5.conf
и получить билет
kinit sergei@DOMEN.RU
где DOMEN.RU твой realm(область керберос)

зарегистрировать в домене машину
net ads join
Пароль спрашивать не должна

Если не получилось то так:
net rpc join -U sergei

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ввод linux компютера в домен windows 2000"  
Сообщение от sergicus email(ok) on 08-Фев-08, 09:34 

Уважаемый AndreyT   большое ВАМ спасибо за помощь

smb.conf  как Вы сказали поправил

Вот вывод команды  testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
        dos charset = 866
        display charset = UTF-8
        workgroup = OBJECTSERVICE
        realm = OBJECTSERVICE
        server string = adminserver
        security = ADS
        auth methods = winbind
        null passwords = Yes
        obey pam restrictions = Yes
        password server = 192.168.0.2
        passdb backend = tdbsam
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        preferred master = No
        local master = No
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 1000-20000
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        invalid users = root
        case sensitive = No

[printers]
        comment = All Printers
        path = /var/spool/samba
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

>#pam нужен только если ты будеш входить в систему(консоль) под доменной учетной
>записью
>
>Необходимо настроить /etc/krb5.conf
>и получить билет

а значит его тоже надо настраивать - а то япрочитал что для подключения к домену на windows 2000 это не надо

Поискал в инете по настройке
вот содержание /etc/krb5.conf (это после моей правки)
[libdefaults]
        default_realm = OBJECTSERVICE

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        OBJECTSERVICE = {
                kdc = 192.168.0.2
                admin_server = 192.168.0.2
                default_domain = 192.168.0.2
        }

[domain_realm]
        .192.168.0.2 = OBJECTSERVICE

[login]
        krb4_convert = true
        krb4_get_tickets = false

Ввожу kinit sergei@OBJECTSERVICE
Password for sergei@OBJECTSERVICE:
sergei@sergei-admin:~$

если я введу неправильный пароль то так ругается
kinit(v5): Preauthentication failed while getting initial credentials

Проверяю
klist OBJECTSERVICE
Выводит   klist: No credentials cache found (ticket cache FILE:OBJECTSERVICE)


ввожу net ads join
Выводится
[2008/02/08 09:33:15, 0] passdb/secrets.c:secrets_init(66)
  Failed to open /var/lib/samba/secrets.tdb
Invalid configuration.  Exiting....
Failed to join domain: Access denied

Потом пробую так

net rpc join -U sergei   - в качестве пароля вводился пароль sergei-я
[2008/02/08 09:33:59, 0] passdb/secrets.c:secrets_init(66)
  Failed to open /var/lib/samba/secrets.tdb
[2008/02/08 09:33:59, 0] utils/net_rpc.c:rpc_oldjoin_internals(309)
  error storing domain sid for OBJECTSERVICE
Password:
[2008/02/08 09:34:12, 0] passdb/secrets.c:secrets_init(66)
  Failed to open /var/lib/samba/secrets.tdb
[2008/02/08 09:34:12, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(399)
  error storing domain sid for OBJECTSERVICE
Unable to join domain OBJECTSERVICE.

А это выводится если я вводил пароль администратора домена

Password:
Could not connect to server SERVER
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE

Не подскажете где ошибка???


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ввод linux компютера в домен windows 2000"  
Сообщение от sergicus email(ok) on 08-Фев-08, 09:42 
В догонку Вот еще странность
стоит у меня вебмин - попробовал сделать через него
зашел в пунктик Bind to Domain

Вот что вывелось

Binding to domain with command /usr/bin/net join -U sergei ..

sergei's password: Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
ADS join did not work, falling back to RPC...
Using short domain name -- OBJECTSERVICE
Disabled account for 'SERGEI-ADMIN' in realm 'OBJECTSERVICE'
Failed to join domain: Type or value exists
Joined domain OBJECTSERVICE.

.. failed! See the output above for the reason why.


пробовал там подключится через учетную запись администратора домена
Binding to domain with command /usr/bin/net join -U adm ..

adm's password: Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
ADS join did not work, falling back to RPC...
Using short domain name -- OBJECTSERVICE
Deleted account for 'SERGEI-ADMIN' in realm 'OBJECTSERVICE'
Failed to join domain: Type or value exists
Joined domain OBJECTSERVICE.

.. failed! See the output above for the reason why.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ввод linux компютера в домен windows 2000"  
Сообщение от BaldyMan email(??) on 29-Фев-08, 16:52 
Если интересно, то посмотри тут. Я тоже долго разбирался, но в итоге победил :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Ввод linux компютера в домен windows 2000"  
Сообщение от sergicus (ok) on 29-Фев-08, 17:14 
>Если интересно, то посмотри тут. Я тоже долго разбирался, но в итоге
>победил :)

Спасибо за попытку помощи, боюсь Ваша ссылка сюда не попала, повторите пожалуйста

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Ввод linux компютера в домен windows 2000"  
Сообщение от BaldyMan email(??) on 01-Мрт-08, 02:27 
Здесь же, на опеннете, тема называется Samba 3.0.23 на FC 4 + AD на Win2k3 R2.
Вот сцылка https://www.opennet.ru/openforum/vsluhforumID14/1666.html
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру