HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[samoqle]

почитай howto внимательней, winbind и самбу рестартовал после изменения конфигов?

я рестартил комп полностью

сори, оказалось что винбинд был не установлен

[vlarx]

ikewise свои модули авторизации в систему прописывает, свой конфиг самбы, у тебя там каша похоже получилась, вторая переустановка - это далеко не рекорд) пока разберешься...Smiley
совет - поставь Ubuntu в vmware и экспериментируй, к дефолтным настройкам вернешься мгновенно
 записи в сетевых настройках естественно имеют значение, у тебя IP по DHCP выдается или ты ручную настройку делаешь?

Настройки IP вручную прописываю.
Кажется у меня проблема с winbind.

Код: [Выделить]

me@WORKSTATION:~$ wbinfo -p
Ping to winbindd succeeded on fd 3
me@WORKSTATION:~$ wbinfo -t
checking the trust secret via RPC calls succeeded
me@WORKSTATION:~$ wbinfo -u
Error looking up domain users
me@WORKSTATION:~$ wbinfo -p
Ping to winbindd failed on fd -1
could not ping winbindd!
При этом запущено 4 процесса winbindd.
/var/log/samba/log.winbindd

Код: [Выделить]

[2008/01/24 10:45:14, 1] nsswitch/winbindd.c:main(990)
  winbindd version 3.0.26a started.
  Copyright Andrew Tridgell and the Samba Team 1992-2007
[2008/01/24 10:45:14, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2222)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1
[2008/01/24 10:49:07, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Timed out
[2008/01/24 10:49:07, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Timed out
[2008/01/24 10:49:08, 0] libsmb/clientgen.c:cli_receive_smb(112)
  Receiving SMB: Server stopped responding
[2008/01/24 10:49:22, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2008/01/24 10:49:22, 1] libads/ldap.c:ads_find_dc(355)
  ads_find_dc: failed to find a valid DC on our site (Site-039), trying to find another DC
[2008/01/24 10:49:22, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2008/01/24 10:49:22, 1] libads/ldap_utils.c:ads_do_search_retry_internal(87)
  ads_search_retry: failed to reconnect (No logon servers)
[2008/01/24 10:49:22, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: No logon servers
[2008/01/24 10:49:26, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_1 failed: No logon servers
[2008/01/24 10:49:29, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_1 failed: No logon servers
[2008/01/24 10:49:31, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_1 failed: No logon servers
[2008/01/24 10:49:32, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_1 failed: No logon servers
[2008/01/24 10:50:20, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2008/01/24 10:50:20, 1] libads/ldap.c:ads_find_dc(355)
  ads_find_dc: failed to find a valid DC on our site (Site-039), trying to find another DC
[2008/01/24 10:50:20, 1] libads/ldap_utils.c:ads_do_search_retry_internal(87)
  ads_search_retry: failed to reconnect (No logon servers)
[2008/01/24 10:50:20, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: No logon servers
[2008/01/24 10:50:21, 0] libsmb/clientgen.c:cli_receive_smb(112)
  Receiving SMB: Server stopped responding
[2008/01/24 10:50:26, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_2 failed: No logon servers
[2008/01/24 10:50:28, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_2 failed: No logon servers
[2008/01/24 10:50:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_2 failed: No logon servers
[2008/01/24 10:50:31, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_2 failed: No logon servers
[2008/01/24 10:50:33, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain ANOTHER_SLAVE_DOMAIN_2 failed: No logon servers
[2008/01/24 10:51:56, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Timed out
[2008/01/24 10:51:56, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Timed out
[2008/01/24 10:51:57, 0] libsmb/clientgen.c:cli_receive_smb(112)
  Receiving SMB: Server stopped responding
[2008/01/24 10:52:42, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Timed out
[2008/01/24 10:52:42, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Timed out
/var/log/samba/log.wb-DOMAIN

Код: [Выделить]

[2008/01/24 10:45:42, 0] libsmb/clientgen.c:cli_receive_smb(112)
  Receiving SMB: Server stopped responding
[2008/01/24 10:45:42, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
  rpc_api_pipe: Remote machine dc.domain.ru pipe \lsarpc fnum 0x6returned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
[2008/01/24 10:47:48, 1] libsmb/clientgen.c:cli_rpc_pipe_close(387)
  cli_rpc_pipe_close: cli_close failed on pipe \lsarpc, fnum 0x6 to machine dc.domain.ru.  Error was Call timed out: server did not respond after 1000 milliseconds
[2008/01/24 10:47:48, 1] libsmb/clientgen.c:cli_rpc_pipe_close(387)
  cli_rpc_pipe_close: cli_close failed on pipe \NETLOGON, fnum 0x4 to machine dc.domain.ru.  Error was Call timed out: server did not respond after 500 milliseconds
Я завел рабочую станцию в главный домен. Может быть такое, что при команде wbinfo -u начинается опрос и всех подчиненных доменов (ANOTHER_SLAVE_DOMAIN_1, ANOTHER_SLAVE_DOMAIN_2, и т.д.), а затем, когда заканчивается время ожидания, выдается ошибка и winbindd не пингуется??
Вернуть winbindd так не получается:

Код: [Выделить]

/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
Только перезагрузка.

[chain]

мда.. я вариант со статическим IP не пробовал, и до марта не попробую, пока офис окончательно не переедет и там домен не подниму,
а DHCP где-нибудь поднят? или все компы со статическими ip? попробуй в hosts дописать еще имя домен контроллера с его ip, скажем
192.168.0.1 dc.domain.ru
 а по поводу опроса других доменов он начинается, после того, как не получается доступ к основному

[2008/01/24 10:49:22, 1] libads/ldap.c:ads_find_dc(355)
  ads_find_dc: failed to find a valid DC on our site (Site-039), trying to find another DC
так что проблема не в этом

[Denis Konstantinov]

2chain
По этому поводу есть мысли? https://forum.ubuntu.ru/index.php?topic=17941.msg137270#msg137270

[samoqle]

root@test1:/home/adminn# wbinfo -u
Error looking up domain users
root@test1:/home/adminn# wbinfo -g
Error looking up domain groups
root@test1:/home/adminn# net ads join –U administrator
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: Invalid domain role

что я делаю не так?

[vlarx]

а DHCP где-нибудь поднят? или все компы со статическими ip? попробуй в hosts дописать еще имя домен контроллера с его ip, скажем
192.168.0.1 dc.domain.ru

Да, все компы со статическим IP. И DHCP есть, сконфигурировал интерфейс на него, осталось то же самое. Также добавил в hosts строку
x.x.x.x dc.domain.ru DC
это тоже не помогло, все равно

Код: [Выделить]

me@WORKSTATION:~$ wbinfo -p
Ping to winbindd succeeded on fd 3
me@WORKSTATION:~$ wbinfo -u
Error looking up domain users
me@WORKSTATION:~$ wbinfo -p
Ping to winbindd failed on fd -1
could not ping winbindd!


[vlarx]

Кстати, из Установки/Удаления приложений можно установить GUI для самбы
- GSAMBAD - много настроек
- Настройка сервера Samba  (redhat)

[Denis Konstantinov]

Кстати, из Установки/Удаления приложений можно установить GUI для самбы
- GSAMBAD - много настроек
- Настройка сервера Samba  (redhat)

Он ужасно криво работает!

[chain]

Кстати, из Установки/Удаления приложений можно установить GUI для самбы
- GSAMBAD - много настроек
- Настройка сервера Samba  (redhat)

угу, можно, только мануалов по нему нет
хотя можно man samba.conf изучать, все настройки оттуда
счас уйду от компа, если идеи появятся, скажу

для Denis Konstantinov
я как то про скринсейверы и не вспоминал еще, но есть такая мысль
скринсэйвер у нас связан с power managment, может в этом проблема, загляни в /etc/dbus-1/system.d/hal.conf
попробуй там где строка с at_console сделать ее замену на
<policy group="powerdev">

и на всякий случай добавить руками текущего плоьзователя
sudo adduser 'user' powerdev

у меня счас нет  домена, пока офис в переезде, проверять и смотреть идеи просто не на чем, так чт отолько предположения

[Denis Konstantinov]

2chain решил так
создал файл /etc/security/pam_winbind.conf
с такими опциями

Код: [Выделить]

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#

[global]

# turn on debugging
debug = no

# request a cached login if possible
# (needs "winbind offline logon = yes" in smb.conf)
cached_login = yes

# authenticate using kerberos
krb5_auth = yes

# when using kerberos, request a "FILE" krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
krb5_ccache_type = FILE

# make successful authentication dependend on membership of one SID
# (can also take a name)
;require_membership_of =

silent = yes

а /etc/pam.d/gnome-screensaver теперь выглядит так

Код: [Выделить]

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

 /etc/pam.d/common-auth

Код: [Выделить]

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so


Теперь всё тихо

[zhenyok]

Добрый день. Настраиваю свою ru.xubuntu.7.04 по данному how-to. к сожалению без установленного кербероса подключить машину в домен не удаётся.

Код: [Выделить]

To run a command as administrator (user "root"), use "sudo <command>".
See "man sudo_root" for details.

root@ruxuws:~# net ads join -U ivanov_ii@LAN.LOCAL
ivanov_ii@LAN.LOCAL's password:
[2008/01/25 11:38:37, 0] libads/kerberos.c:ads_kinit_password(208)
  kerberos_kinit_password ivanov_ii@LAN.LOCAL failed: Cannot resolve network address for KDC in requested realm
[2008/01/25 11:38:37, 0] utils/net_ads.c:ads_startup(289)
  ads_connect: Cannot resolve network address for KDC in requested realm
root@ruxuws:~#пробовал и без @LAN.LOCAL:

Код: [Выделить]

root@ruxuws:~# net ads join -U ivanov_ii
ivanov_ii's password:
[2008/01/25 11:40:40, 0] libads/kerberos.c:ads_kinit_password(208)
  kerberos_kinit_password ivanov_ii@LAN.LOCAL failed: Cannot resolve network address for KDC in requested realm
[2008/01/25 11:40:40, 0] utils/net_ads.c:ads_startup(289)
  ads_connect: Cannot resolve network address for KDC in requested realm
root@ruxuws:~#конфиг самбы:

Код: [Выделить]

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = LAN
server string = %h server (Samba, Ubuntu)
wins support = no
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.0.201 192.168.0.200
realm = LAN.LOCAL
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0Только после установки krb5-user(+ krb5-config,libkadm55), libpam-krb5 и настройки krb5.conf:

Код: [Выделить]

[libdefaults]
default_realm = LAN.LOCAL
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
ticket_lifetime = 24000
clock_skew = 300
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
LAN.LOCAL = {
kdc = dc.lan.local
admin_server = dc.lan.local
default_domain = LAN.LOCAL
}
[domain_realm]
.LAN.LOCAL = LAN.LOCAL
LAN.LOCAL = LAN.LOCAL
[login]
krb4_convert = true
krb4_get_tickets = false
[logging]
default = FILE:/var/log/krb5.logУдалось подключится к домену:

Код: [Выделить]

root@ruxuws:~# net ads join -U ivanov_ii@LAN.LOCAL
ivanov_ii@LAN.LOCAL's password:
Using short domain name -- LAN
Joined 'RUXUWS' to realm 'LAN.LOCAL'
root@ruxuws:~#Раз десять всё переустанавливал, но без кербероса не работает

[chain]

2chain решил так
создал файл /etc/security/pam_winbind.conf
с такими опциями

Код: [Выделить]

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#

[global]

# turn on debugging
debug = no

# request a cached login if possible
# (needs "winbind offline logon = yes" in smb.conf)
cached_login = yes

# authenticate using kerberos
krb5_auth = yes

# when using kerberos, request a "FILE" krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
krb5_ccache_type = FILE

# make successful authentication dependend on membership of one SID
# (can also take a name)
;require_membership_of =

silent = yes

а /etc/pam.d/gnome-screensaver теперь выглядит так

Код: [Выделить]

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

 /etc/pam.d/common-auth

Код: [Выделить]

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so


Теперь всё тихо

спасибо за идею, мне бы долго такая в голову не пришла)

[Denis Konstantinov]

2zhenyok
а чем керберос не устраивает?

2chain
нет проблем

[xan]

Добрый день. Настраиваю свою ru.xubuntu.7.04 по данному how-to. к сожалению без установленного кербероса подключить машину в домен не удаётся.
Раз десять всё переустанавливал, но без кербероса не работает

Этот howto конкретно для 7.10
Апгрейдься на 7.10
 
Если ты хочешь иметь дело с 7.04 там есть свои моменты.
У меня 7.04 работает тоже без кербероса. на winbind одном.

[Denis Konstantinov]

Предлагаю шаги для изменения аутентификации упростить при помощи утилиты sudo apt-get install auth-client-config