присоединение к домену

[aquezar]

Всем доброго времени суток!
Прошу помочь с присоединением машины к AD
Предупрежу сразу, что с Ubuntu начал работать всего-то месяц назад 
И так у меня ubuntu 12.04.1 LTS x64 на которой развернут веб-сервер с 1С-Битрикс Корпоративный портал в котором необходимо настроить NTLM авторизацию. Нашел по этому поводу детальный мануал, по которому настраивал kerberos, samba, winbind под все это дело.

(Нажмите, чтобы показать/скрыть)

Необходимые нам службы samba, winbind, kerberos

apt-get install -y system-config-samba samba-client winbind krb5-config krb5-user

Редактируем /etc/hosts, чтобы привести первые две строчки к виду

127.0.0.1       localhost.localdomain   localhost
192.168.1.XXX  myhost.mydomain.ru      myhost

Замечу, что здесь и дальше myhost обозначает имя машины в нашем домене, mydomain.ru- название домена. dc.mydomain.ru- наш Kerberos сервер. Как правило, он же домен контроллер. 192.168.1.XXX- IP адрес нашей машины. В дальнейшем, если что- то написано заглавными буквами, то именно так и надо писать в конфигах. Это критично.

В /etc/krb5.conf вносим следующие строки:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = yes

[realms]
MYDOMAIN.RU = {
  kdc = dc.mydomain.ru:88
  admin_server = dc.mydomain.ru:749
}

Настраиваем Samba. Отметьте, имя домена вписывается без расширения.

  workgroup = MYDOMAIN
  netbios name = MYHOST
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  winbind enum users = yes
  winbind enum groups = yes
  template homedir = /home/%D/%U
  template shell = /bin/bash
  security = ads
  encrypt passwords = yes
  realm = mydomain.ru
  password server = dc.mydomain.ru

В оригинале файла уже была запись “encrypt passwords = true”. Её удаляем, чтобы не дублировалась.

Рестартуем Samba.

service smbd restart

Замечу, в оригинале используют  /etc/init.d/samba restart. Сейчас так не выйдет.

Присоединяем нашу машину к домену.

net ads join -U Administrator

Вместо Administrator можно использовать учетку любого другого админа, имеющего право на присоединение к домену.

Редактируем /etc/nsswitch.conf.

Вместо

passwd: compat
group: compat

вписываем

passwd: compat winbind
group: compat winbind

Перезапускаем samba и winbind

service smbd restart

service winbind restart

Проверяем, видим ли мы домен командой wbinfo с ключом –g или –u. С первым получим список групп в домене, во втором- пользователей.

Уже весь мозг себе расчесал с самбой
Делаю все по мануалу, но после

Код: [Выделить]

# net ads join -U Administrator
Administrator's password:
не получаю никакого результата кроме мигающего в терминале курсора.

Буду весьма благодарен за помощь в определении направления в котором следует копать

[kilolife]

не получаю никакого результата кроме мигающего в терминале курсора.

Это приглашение ввода пароля пользователя Administrator. Нужно ввести пароль и нажать ввод.

[aquezar]

это понятно, пароль был введен после чего, собственно и нет никакого результата.
под спойлером скриншот

(Нажмите, чтобы показать/скрыть)

Руководство по добавлению изображений на форум

--Сперанский

[Сперанский]

А домен-контроллер пингуется?

Я на днях вводил в домен по инструкции, которая у нас в вики, всё получилось норм. Проверьте, что ваша соответствует нашей?

[aquezar]

Сперанский, DC пингуется, от kerberos тикет получаю.
читаю вики, спасибо!
в предыдущем своем посте исправил изображение под спойлером

[kilolife]

template homedir = /home/%D/%U
Меня смущает попытка выполнить net ads join -U Administrator от имени суперпользователя, который как известно, не живет в /home
Как то это неправильно.
Но, признаться, я с виндоменами дела не имел.

[aquezar]

kilolife, как тогда запускать посоветуете?

все чего добился настраивая по мануалу из вики

Код: [Выделить]

# net ads testjoin
ads_connect: No logon servers
Join to domain is not valid: No logon serversудалял\устанавливал по новой самбу и керберос, конфигурировал "с нуля"
я так понимаю где-то в конфигах у меня косяк.
под спойлером конфиги

(Нажмите, чтобы показать/скрыть)

krb5.conf

Код: [Выделить]

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log

[libdefaults]
default_realm = DOMAIN.LOCAL
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
DOMAIN.LOCAL = {
kdc = DC
admin_server = DC
default_domain = DOMAIN.LOCAL
}

[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL

[login]
krb4_convert = false
krb4_get_tickets = false
smb.conf [начальный этап конфигурации из вики]

Код: [Выделить]

[global]
workgroup = DOMAIN
realm = DOMAIN.LOCAL
security = ADS
encrypt passwords = true
password server = DC.DOMAIN.LOCAL
dns proxy = no
socket options = TCP_NODELAY
template homedir = /home/%D/%U
testparm смущает, так как выдает предупреждения. насколько они критичны?

Код: [Выделить]

# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER


[Сперанский]

testparm смущает, так как выдает предупреждения. насколько они критичны?

Код: [Выделить]

# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER


Так написано же, что security=ads не должно сочетаться с параметром password server, который у вас почему то указан. В вики его нет.
И перед testjoin надо сделать

Код: [Выделить]

sudo net ads join -U usernameс указанием username администратора домена.

[aquezar]

Так написано же, что security=ads не должно сочетаться с параметром password server, который у вас почему то указан. В вики его нет.

password server добавил вычитав на другом форуме. без него то же самое было, сейчас удалил, результат тот же.
тут еще один "бок" вылез, возможно подскажет кто
под убунтой пингую контроллер домена

Код: [Выделить]

ping dc - пингует
ping dc.domain.local
ping: unknown host dc.domain.local, (под виндой пинг проходит)

[Сперанский]

aquezar, как может быть тот же результат, если вы удалили конфликтующий параметр?
с domain.local где то видел тему на форуме, не нужно так домен называть вроде, поищите.

[aquezar]

фух, разобрался!
в /etc/nsswitch.conf было:

Код: [Выделить]

hosts: files mdns4_minimal [NOTFOUND=return] mdns4добавил dns после files

Код: [Выделить]

hosts:files dns mdns4_minimal [NOTFOUND=return] mdns4и все заработало, пошли пинги, включилась машинка в домен.
Сперанский, спасибо за "пинок" в поиск по форуму

[AnrDaemon]

фух, разобрался!
в /etc/nsswitch.conf было:

Код: [Выделить]

hosts: files mdns4_minimal [NOTFOUND=return] mdns4добавил dns после files

Код: [Выделить]

hosts:files dns mdns4_minimal [NOTFOUND=return] mdns4и все заработало, пошли пинги, включилась машинка в домен.
Сперанский, спасибо за "пинок" в поиск по форуму

Это вы не разобрались, это вы поломали работу системы. Вам правильно сказали, домен .local зарезервирован для самоорганизующихся сетей. В вашем случае правильным решением было бы переименовать домен.

[aquezar]

AnrDaemon, возможно так и есть. К сожалению доменом я не управляю и переименовывать его наши админы не собираются, так как работает он с таким именем уже несколько лет.
По крайней мере я добился того, что машину смог в домен включить и wbinfo -g -u -t выдает корректный результат. Буду смотреть дальше в там уже и рашать

в общем свою задачу, для которой и требовалось ввести в домен машину, я успешно решил и закрыл. NTLM авторизация на сайте работает.
не буду спорить с более опытными людьми по поводу домена .local, но пока работает как есть.