Проблема с winbind

[maslonax]

конфиг самбы:

(Нажмите, чтобы показать/скрыть)

[global]
workgroup=GOU
realm = GOU.NTKP
server string=%h server (Samba, Ubuntu)
dns proxy=no
log file=/var/log/samba/log.%m
max log size=1000
syslog=0
panic action=/usr/share/samba/panic-action %d
server role=standalone server
passdb backend=tdbsam
obey pam restrictions=yes
unix password sync=yes
passwd program=/usr/bin/passwd %u
passwd chat=*Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssucc$
pam password change=yes
map to guest=bad user
usershare allow guests=yes
idmap config * : range=10000-20000
idmap config * : backend=tdb
winbind enum groups=yes
winbind enum users=yes
winbind use default domain=yes
template shell=/bin/bash
winbind refresh tickets=yes

[printers]
comment=All Printers
browseable=no
path=/var/spool/samba
printable=yes
guest ok=no
read only=yes
create mask=0700

[print$]
comment=Printer Drivers
path=/var/lib/samba/printers
browseable=yes
read only=yes
guest ok=no

krb5.conf:

(Нажмите, чтобы показать/скрыть)

[libdefaults]
ticket_lifetime = 24000
default_realm = GOU.LOCAL
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
dns_lookup_realm = true
dns_lookup_kdc = true
dns_fallback = yes
[realms]
GOU.LOCAL = {
kdc = GOU.LOCAL:88
default_domain = GOU.LOCAL
}

[domain_realm]
.GOU.LOCAL= GOU.LOCAL
GOU.LOCAL = GOU.LOCAL

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

smbclient -L localhost -U%

(Нажмите, чтобы показать/скрыть)

Domain=[GOU] OS=[Unix] Server=[Samba 4.1.23]

Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.1.23)
Domain=[GOU] OS=[Windows 6.1] Server=[Samba 4.3.11-Ubuntu]

Server Comment
--------- -------
108-1
NTKP ntkp server (Samba, Ubuntu)

Workgroup Master
--------- -------
GOU NTKP

klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@GOU.NTKP

Valid starting Expires Service principal
28.02.2018 10:02:02 28.02.2018 16:41:59 krbtgt/GOU.NTKP@GOU.NTKP


wbinfo -t
checking the trust secret for domain GOU via RPC calls failed
wbcCheckTrustCredentials(GOU): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret

wbinfo -P
checking the NETLOGON for domain[GOU] dc connection to "" failed
failed to call wbcPingDc: WBC_ERR_DOMAIN_NOT_FOUND

В чем может быть проблема? Почему winbind выдает ошибку?

[AnrDaemon]

`server role` из конфига у…берите.
И покажите

Код: [Выделить]

sudo net ads testjoin; samba-tool testparm --suppress-prompt

[maslonax]

samba-tool testparm --suppress-prompt:

(Нажмите, чтобы показать/скрыть)

# Global parameters
[global]
        workgroup = GOU
        realm = GOU.NTKP
        server string = %h server (Samba, Ubuntu)
        map to guest = Bad User
        obey pam restrictions = Yes
        passdb backend = tdbsam
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        unix password sync = Yes
        log file = /var/log/samba/log.%m
        max log size = 1000
        usershare allow guests = Yes
        panic action = /usr/share/samba/panic-action %d
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        idmap config * : backend = tdb
        idmap config * : range = 10000-20000

[printers]
        comment = All Printers
        path = /var/spool/samba
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

net ads info:

(Нажмите, чтобы показать/скрыть)

LDAP server: 192.168.0.101
LDAP server name: nttp.gou.ntkp
Realm: GOU.NTKP
Bind Path: dc=GOU,dc=NTKP
LDAP port: 389
Server time: Сб, 10 мар 2018 18:04:01 +07
KDC server: 192.168.0.101
Server time offset: 0

sudo net ads testjoin:

(Нажмите, чтобы показать/скрыть)

Enter NTTP$@GOU.NTKP's password:
kerberos_kinit_password NTTP$@GOU.NTKP failed: Cannot contact any KDC for requested realm
ads_connect: Cannot contact any KDC for requested realm
Join to domain is not valid: No logon servers

немного не понятно, он спрашивает пароль от учетки Administartor при создании конфигурции самбы?
smb.conf в каталогах /etc/samba/smb.conf и /usr/local/samba/etc/smb.conf должны быть одинаковые?

[AnrDaemon]

У вас машина в домен не заведена.

[maslonax]

Еще вопрос если я через ПК который ввел в домен использовал средства удаленного администрирования сервера для настройки пользователей и групп и не присвоил им linux attribut я могу как либо перенести на другой домен samba?

Пользователь добавил сообщение 10 Марта 2018, 23:55:20:снял с сервака образ, перевел его в vhd, запустил виртуалку заного сконфигурировал самбу, winbind работает.
 net ads testjoin; samba-tool testparm --suppress-prompt

(Нажмите, чтобы показать/скрыть)

kerberos_kinit_password GOU@GOU.NTKP failed: Client not found in Kerberos database
kerberos_kinit_password GOU@GOU.NTKP failed: Client not found in Kerberos database
Join to domain is not valid: Improperly formed account name
Global parameter guest account found in service section!
# Global parameters
[global]
        workgroup = GOU
        realm = GOU.NTKP
        netbios name = NTTP
        server string = %h server (Samba, Ubuntu)
        server role = active directory domain controller
        map to guest = Bad User
        obey pam restrictions = Yes
        passdb backend = tdbsam
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:                       * %n\n *pa$
        unix password sync = Yes
        log file = /var/log/samba/log.%m
        max log size = 1000
        panic action = /usr/share/samba/panic-action %d
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        dns forwarder = 127.0.0.1
        idmap config * : backend = tdb
        idmap config * : range = 10000-20000

[netlogon]
        path = /var/lib/samba/sysvol/gou.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

wbinfo -t
checking the trust secret for domain GOU via RPC calls succeeded

wbinfo -u
GOU\administrator
GOU\kostya
GOU\krbtgt
GOU\guest

Вот только вопрос если на рабочем сервере заного сконфигурировать самбу то пользователи и группы все полетят. Если к примеру был пользователь kostya и в новом конфиге создать такого же пользователя и на компьютере сделать индентификацию то при входе под этим же именем создается новый рабочий стол... Можно ли это это как то избежать?

[AnrDaemon]

Еще вопрос если я через ПК который ввел в домен использовал средства удаленного администрирования сервера для настройки пользователей и групп и не присвоил им linux attribut я могу как либо перенести на другой домен samba?

Чо…

Вот только вопрос если на рабочем сервере заного сконфигурировать самбу то пользователи и группы все полетят.

С чего бы?… Пользователи и группы хранятся в домене.

[maslonax]

С чего бы?… Пользователи и группы хранятся в домене.

перед повторным выполнением первоначальной настройки, необходимо удалить содержимое каталогов /usr/local/samba/private/ и /usr/local/samba/etc/ - а это сносит всех пользователей и группы. Или же заного сконфигурировать но не чистит содержимое каталогов?

Чо…

Управляю AD: при помощи Remote Server Administration Tools (RSAT) но на вкладке Unix Attributes я не указываю unix uid\gid.
По простому где монжно найти файлы в которых хранятся пользователи/группы и пароли?

[AnrDaemon]

Первожу на русский язык - что именно вы делаете?

[maslonax]

Первожу на русский язык - что именно вы делаете?

дабы не гробить рабочий сервер, перекотал образ на виртуалку для тестирования, удалил содержимое каталогов /usr/local/samba/private/ и /usr/local/samba/etc/ выполнил samba-tool domain provision создал точно с таким же именем домен, winbind работает (ранее писал). При этом сносятся все пользователи и группы.

От сюдого вопросы:
1) Можно ли конфигурацию которая в первом посте исправить чтобы работал winbind?
2) Если нельзя можно ли как то если я создам новую конфигурацию и пропишу точно таких же пользователей и при индентификации компьютеров в домене не создавался новый профиль?
3) Как сохранить всех пользователей и группы при создании новой конфигурации?

[AnrDaemon]

КАКОЙ рабочий сервер? AD DC?

[maslonax]

КАКОЙ рабочий сервер? AD DC?

Ubuntu Server в роли Samba active directory domain controller

[AnrDaemon]

Так сразу такие вещи надо говорить.
На DC testjoin не работает, а конфиг у вас по-любому не DC. Что изначально, что сейчас.
Так что в третий раз повторяю вопрос - что вы вообще творите?

[maslonax]

Так сразу такие вещи надо говорить.
На DC testjoin не работает, а конфиг у вас по-любому не DC. Что изначально, что сейчас.
Так что в третий раз повторяю вопрос - что вы вообще творите?

Можно расшифровать что вы подразумеваете под вопросом что я творю?

[AnrDaemon]

Ваш конфиг из https://forum.ubuntu.ru/index.php?topic=296859.msg2331314#msg2331314 ничего общего с AD DC не имеет от слова вообще.

[maslonax]

Ваш конфиг из https://forum.ubuntu.ru/index.php?topic=296859.msg2331314#msg2331314 ничего общего с AD DC не имеет от слова вообще.

Тогда можно просто ответ на пару вопросов:
1) В первом посте в конфиге указано passdb backend=tdbsam это механизм как хранятся пользователи, каким образом можно выдернуть список пользователей, групп и пароли? где найти этот файл?
2) Если я создам новый AD DC, можно ли чтоб профили пользователей не новые создавались, а подтягивались которые в данный момент используются?