Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)  (Прочитано 197938 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Добрый вечер всем.

Нуб. Пытаюсь поставить Ubuntu на работе. Как всегда не повезло: в сети 250+ машин, развёрнут домен в котором штук 7 то ли групп, то ли ещё чего-то... Самое то для нуба! :(  Но всё-таки пытаюсь засунуться в домен, в котором уже есть учётка с виндоуз-системы, с которой всё время в него и вхожу.

Прочитал инструкцию, сделал вид, что всё понял. Изменил файлы как указано в мануале, кроме etc/pam.d/sudo -- оно мне сказало, что его попросту там нет.

Но суть не в этом. Проблемы начинаются уже с синхронизации часов. Наш домен, судя по записям, имеет название xxx.yyyyy.ru  В то же время логин/пароль подходят только для одной из его, видимо, групп (GREECE). Домен пропинговал, получил некий IP адрес. Забил домен в NTPSERVERS
Начинаю синфронизацию, получаю в ответ:
15 Feb 12:43:57 ntpdate[13621]: no servers can be used, exiting

Смена названия домена на его IP приводит к тому же самому. Что делаю не так -- не догоняю

Кстати, ничего страшного. что в том же файле записано вот это:
# List of NTP servers to use  (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
...а данный параметр стоит как раз в yes. Впрочем, изменение его в no ситуацию не исправило.

Идём далее: я так понимаю, что там где стоит DOMAIN нужно вводить наше xxx.yyyyy.ru
тогда что я должен вводить в smb.conf в поле realm ? в DOMAIN.INTERNAL ? в тот же workgroup ?

Наши одмины в ответ на данный вопрос с удивлением спросили, "а что, Ubuntu можно засунуть в  домен?..." И я понял. что помощи от них не дождусь ))))

Видимо, что-то я там ввёл всё же не так, потому как, попытавшись соединиться, получил:
root@P341:~# net ads join –U administrator
Host is not configured as a member server.
Invalid configuration.  Exiting....
Failed to join domain: Invalid domain role

и причём тут GREECE? Где оно пропишется?

UPD: поскольку терять нечего, поставил библиотеки для цербера. Попытался получить билет. В ответ вижу:

xander@P341:~$ kinit administrator@XXX.YYYYYY.RU
kinit(v5): Client not found in Kerberos database while getting initial credentials

А ещё поставил likewise-open, но так и не понял, как и откуда её запускать )))) В меню не нашёл, из терминала команду не признаёт.
« Последнее редактирование: 16 Февраля 2008, 00:39:46 от Fimir »

Оффлайн chain

  • Старожил
  • *
  • Сообщений: 1263
    • Просмотр профиля
уф, тебе тяжело будет, надо бы вначале почитать что-нидь из литературы по администрированию домена, пока ты просто тонешь в терминах
если админы не помогают ввести в домен, попроси у них, чтобы просто инфу тебе записали
тебе нужны такие вещи:
краткое имя домена, полное имя домена ( только не интернет домена, который ты судя по всему пингуешь, а того где ты авторизуешься, как я понял  - это GREECE)
ip адрес сервера, который доменом управляет (будем пока считать, что вариант упрощенный и все службы, включая dns и  dhcp, работают под его управлением, если не так, надо уточнять все сервера)
плюс нужны права на ввод твоего компьютера в домен, уточни, есть ли они у твоего пользователя
вот с этой информацией уже можно работать
 
-вечный чайник-

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Прямо скажем, уже тяжело ))) Целый день сегодня бодался со всем этим, благо работа -- не бей лежачего пока что...

Что ж, тогда если xxx.yyyyy.ru -- не домен, то почему же выполнив этот пункт

mcedit /etc/hosts
127.0.0.1   workstation.domain.ru localhost workstation
ping  workstation.domain.ru

...благополучно запинговал свою машину P341.xxx.yyyyy.ru и машину соседа?
Или так и должно быть? ))

Кстати, админы и сами балуются с линуксами. Говорят, пресс-служба уже на мандривах сидит, но судя по всему в домен они их не засовывали.

Прав на ввод в домен судя по всему точно не имею, тк сделал по зданию уже с десяток машин и каждый раз звал кого-то из админов, чтобы они засунули в домен. Однако думается, что если довести систему до состояния "введите пароль..." и позвать кого-нть из них, то они введут запрашиваемое )) Другое дело, что помочь в настройке не могут -- некогда.
« Последнее редактирование: 16 Февраля 2008, 01:03:48 от Fimir »

Оффлайн chain

  • Старожил
  • *
  • Сообщений: 1263
    • Просмотр профиля
Цитировать
mcedit /etc/hosts
127.0.0.1   workstation.domain.ru localhost workstation
ping  workstation.domain.ru

...благополучно запинговал свою машину P341.xxx.yyyyy.ru и машину соседа?
Или так и должно быть? ))
как вы яхту назовете, так она и поплывет (С) :)
ты же сам присвоил имя компьютеру, хоть ты его workstation.domain.ru.ili.ne.workstation, он у тебя с твоей машины будет по этому имени пинговаться, а за машину соседа отвечает сервер dns твоего домена
в windows есть такой же файл в c:/windows/system32/hosts
добавь там строку
127.0.0.1 www.microsoft.com
и твой браузер по этому адресу, будет тебя к тебе же возвращать)
с админами договариваться очень просто, на моем примере:)
если ко мне приходят с пивом, а не обещают налить как-нибудь на днях, я этой доброй душе, что хочешь напишу)
может не мгновенно, но буду чувствовать себя обязаным
 главное, чтобы писАли до принятия пива внутрь, а пИсали после, ни в коем случае не наоборот:)

кстати, а как ты виндовые машины вводил в сеть? какой домен прописывал? или это админы делали?
-вечный чайник-

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
С админами взаимоотношения замечательные! Они просто счастливы, что ещё кто-то в этом домен пенсионеров способен поднять и настроить машину и не дёргать их по мелочам. Они кажется, на 3й и 4й этажи вообще перестали поднматься, редиски )) А когда узнали, что я линукс ставлю, так на радостях выдали ДВД-писалку чуть ли не новую и сказали, что могу не возвращать, пока нужна... )))

А про пиво -- это мысль... )))

Вводили по-разному. Иной раз я доводил до состояния "введите пароль", а кто-то приходил и завершал начатое. А в последнее время всё роисходило как-то без меня (поэтому что вводил -- как-то в памяти не отложилось). Только они там ещё что-то мутили с группами, вот там я не очень чётко понимал что такое творится... вроде как права пользователю на свою машину раздавались.

Кстати, Windows в Computer Name пишет членство в домене xxx.yyyyy.ru , собственно потому я и решил, что мы в нём сидим.
« Последнее редактирование: 16 Февраля 2008, 01:47:01 от Fimir »

Оффлайн chain

  • Старожил
  • *
  • Сообщений: 1263
    • Просмотр профиля
в таком случае я не понимаю твою схему
что значит
Цитировать
В то же время логин/пароль подходят только для одной из его, видимо, групп (GREECE)
объясни подробнее, из чего ты сделал этот вывод, может соображу, что у вас GREECE  в таком случае

сделай
nslookup по IP какой-нибдь из машин, которая в домене уже, и ситуация станет понятней
но тем не менее вопросы по тому какой из серверов за что отвечает, тебе надо позадавать
-вечный чайник-

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Объясняю:

При старте появляется известное оконце, где логин-пароль и выбор домена (штук семь) в котором данный логин-пароль подходит только для GREECE.
Уже в системе выбираю "осмотреть сеть" и вижу там группы по названиям этих самых доменов, одна из которых GREECE. В ней моя машина и пара сотен других )))

Сделаю. И сегодня бы сделал, да команды этой не знал... Может, в понедельник или завтра, если не дотерплю )) Жаль, админов в сб-вс не ожидается.

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Понедельник наступил, продолжим )))

Натравил nslookup на компутер соседа, к которому, например, пристыкован интересующий меня для печати принтер:

Server:         10.1.1.1
Address:        10.1.1.1#53

150.0.1.10.in-addr.arpa name = p341-4.gov.kaliningrad.ru.

UPD: Узнал про сервера.

NETBIOS-имя    GREECE
DNS-имя           gov.kaliningrad.ru

Управляющие сервера 10.1.1.1 и 10.1.1.3
DNS и DHCP работают под первым.
« Последнее редактирование: 18 Февраля 2008, 11:03:40 от Fimir »

Оффлайн chain

  • Старожил
  • *
  • Сообщений: 1263
    • Просмотр профиля
значит
полное имя домена - GOV.KALININGRAD.RU ( в howto DOMAIN.RU)
краткое имя домена -GREECE (в howto DOMAIN)
в /etc/hosts
127.0.0.1   workstation.gov.kaliningrad.ru localhost workstation

кстати, а что работает под вторым? нам еще нужен контроллер домена, он и за синхронизацию времени отвечает
попробуй для времени подставить 10.1.1.1 или 10.1.1.3, что-нидь да сработает)
в общем попробуй теперь подставляя эти значения в howto

да а likewise-open где то здесь находится opt/likewise-open/ ,поэтому для начала в эту директорию и оттуда запускай

-вечный чайник-

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Синхронизация времени не проходит

xander@P341:/etc/default$ ntpdate
18 Feb 12:06:25 ntpdate[6121]: no servers can be used, exiting

Оффлайн chain

  • Старожил
  • *
  • Сообщений: 1263
    • Просмотр профиля
а если так, что на выходе получаешь?
ntpdate -d  10.1.1.1
ntpdate -d  10.1.1.3
-вечный чайник-

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
xander@P341:/etc/default$ ntpdate -d 10.1.1.1
18 Feb 12:31:01 ntpdate[6843]: ntpdate 4.2.4p0@1.1472-o Thu Oct  4 20:58:46 UTC 2007 (1)
18 Feb 12:31:01 ntpdate[6843]: bind() fails: Permission denied

xander@P341:/etc/default$ ntpdate -d 10.1.1.3
18 Feb 12:31:25 ntpdate[6854]: ntpdate 4.2.4p0@1.1472-o Thu Oct  4 20:58:46 UTC 2007 (1)
18 Feb 12:31:25 ntpdate[6854]: bind() fails: Permission denied

:)

По поводу билетов:

root@P341:/etc/samba# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: burmistrov@GOV.KALININGRAD.RU

Valid starting     Expires            Service principal
02/18/08 12:28:12  02/18/08 19:08:12  krbtgt/GOV.KALININGRAD.RU@GOV.KALININGRAD.RU

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

Так у меня есть билет или нет? Билет на админа не прошёл вообще, вводил свою учётку в домене.
Вход в домен:

root@P341:/etc/samba# net ads join -U administrator
administrator's password:
[2008/02/18 12:29:50, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password administrator@GOV.KALININGRAD.RU failed: Client not found in Kerberos database
Failed to join domain: Improperly formed account name

Можно пояснить что происходит вообще? )) Ему пароль администратора надо?

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
UPD:

Попробовал засинхронизироваться через админа, что-то новенькое нарисовалось:

xander@P341:/etc/default$ sudo ntpdate -d 10.1.1.1
[sudo] password for xander:
18 Feb 12:37:43 ntpdate[7009]: ntpdate 4.2.4p0@1.1472-o Thu Oct  4 20:58:46 UTC 2007 (1)
transmit(10.1.1.1)
receive(10.1.1.1)
transmit(10.1.1.1)
receive(10.1.1.1)
transmit(10.1.1.1)
receive(10.1.1.1)
transmit(10.1.1.1)
receive(10.1.1.1)
transmit(10.1.1.1)
server 10.1.1.1, port 123
stratum 5, precision -6, leap 00, trust 000
refid [10.1.1.1], delay 0.04160, dispersion 0.00740
transmitted 4, in filter 4
reference time:    cb63dbc7.d85c47ff  Mon, Feb 18 2008 12:26:15.845
originate timestamp: cb63de77.44647926  Mon, Feb 18 2008 12:37:43.267
transmit timestamp:  cb63de77.3a02b841  Mon, Feb 18 2008 12:37:43.226
filter delay:  0.04169  0.04195  0.04160  0.04187
         0.00000  0.00000  0.00000  0.00000
filter offset: 0.026293 0.041308 0.040754 0.040235
         0.000000 0.000000 0.000000 0.000000
delay 0.04160, dispersion 0.00740
offset 0.040754

18 Feb 12:37:43 ntpdate[7009]: Debug mode --not changing the system date
18 Feb 12:37:43 ntpdate[7009]: adjust time server 10.1.1.1 offset 0.040754 sec

Оффлайн chain

  • Старожил
  • *
  • Сообщений: 1263
    • Просмотр профиля
так ты в домен без прав вводить пытаешься, я ж уже говорил про это)
тикет ты получил нормально
сервер для синхронизации времени а значит и PDC у тебя 10.1.1.1
и в мануале ты не обратил внимание на одну маленькую строчку
Цитировать
для тех кого задалбливает набирать перед каждой командой sudo
сделайте sudo -i и все следующие команды до закрытия терминала будут от рута идти.
Все команды в этом руководстве требуют прав root так, что я обычно пользуюсь sudo -i

а чтобы в домен войти если уж ты net ads join administrator делаешь, надо и пароль виндового администратора вводить
или делай через другую учетку, с правами ввода в домен
-вечный чайник-

Оффлайн Fimir

  • Участник
  • *
  • Сообщений: 244
    • Просмотр профиля
Время с sudo я пытался делать -- тоже самое:

18 Feb 14:28:52 ntpdate[10669]: no servers can be used, exiting

А с доменом  уже догадался, что нужно под своей учёткой ломиться. Ломлюсь:

xander@P341:~$ sudo net ads join -U burmistrov@GOV.KALININGRAD.RU
[sudo] password for xander:
burmistrov@GOV.KALININGRAD.RU's password:
Failed to set password for machine account (NT_STATUS_ACCESS_DENIED)
Failed to join domain: Access denied

Какой пароль мне тогда вводить? Звать товарищей, чтобы они админский вводили? Оно же по идее мой пароль спрашивает... Немного не понял, кто что и после кого вводить должен, чтобы система в домен вошла.

UPD:
И если можно, пару слов про то, как мне в домен попадать после перезагрузки? Куда чего вводить и нужно ли спрашивать ещё билетик?

Имеется ещё какая-то проблема в разрешении экрана... заставка и логон идут в каком-то скошенном режиме, оно , кажется, максимальное разрешение монитора пытается брать. Но я с таким ничего не вижу практически. Нпр, кнопку внизу-слева... После логона разрешение выставляется на нормальное, но как его ДО логона поправить -- не понял.
« Последнее редактирование: 18 Февраля 2008, 15:40:20 от Fimir »

 

Страница сгенерирована за 0.034 секунд. Запросов: 23.