Сервер 20 как AD

[reiss]

показывайте.

Ось, бачьте

Код: [Выделить]

[root@gkb34dc log]# getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:65534:65534:Kernel Overflow User:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
systemd-coredump:x:999:997:systemd Core Dumper:/:/sbin/nologin
systemd-resolve:x:193:193:systemd Resolver:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
polkitd:x:998:996:User for polkitd:/:/sbin/nologin
geoclue:x:997:995:User for geoclue:/var/lib/geoclue:/sbin/nologin
rtkit:x:172:172:RealtimeKit:/proc:/sbin/nologin
pulse:x:171:171:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
qemu:x:107:107:qemu user:/:/sbin/nologin
usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
unbound:x:996:991:Unbound DNS resolver:/etc/unbound:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
gluster:x:995:990:GlusterFS daemons:/run/gluster:/sbin/nologin
chrony:x:994:989::/var/lib/chrony:/sbin/nologin
libstoragemgmt:x:993:987:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
pipewire:x:992:986:PipeWire System Daemon:/var/run/pipewire:/sbin/nologin
saslauth:x:991:76:Saslauthd user:/run/saslauthd:/sbin/nologin
setroubleshoot:x:990:985::/var/lib/setroubleshoot:/sbin/nologin
dnsmasq:x:984:984:Dnsmasq DHCP and DNS server:/var/lib/dnsmasq:/sbin/nologin
radvd:x:75:75:radvd user:/:/sbin/nologin
clevis:x:983:982:Clevis Decryption Framework unprivileged user:/var/cache/clevis:/sbin/nologin
cockpit-ws:x:982:980:User for cockpit-ws:/nonexisting:/sbin/nologin
sssd:x:981:979:User for sssd:/:/sbin/nologin
colord:x:980:978:User for colord:/var/lib/colord:/sbin/nologin
gdm:x:42:42::/var/lib/gdm:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
gnome-initial-setup:x:979:977::/run/gnome-initial-setup/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
adminsec:x:1000:1000:gkb34:/home/adminsec:/bin/bash
apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin
custodia:x:978:976:User for custodia:/:/sbin/nologin
ods:x:977:975:softhsm private keys owner:/var/lib/softhsm:/sbin/nologin
dirsrv:x:389:389:user for 389-ds-base:/usr/share/dirsrv:/sbin/nologin
tomcat:x:91:91:Apache Tomcat:/usr/share/tomcat:/sbin/nologin
pkiuser:x:17:17:Certificate System:/usr/share/pki:/sbin/nologin
kdcproxy:x:388:388:IPA KDC Proxy User:/:/sbin/nologin
ipaapi:x:387:387:IPA Framework User:/:/sbin/nologin
named:x:25:25:Named:/var/named:/bin/false
linusr:x:1001:1001::/home/linusr:/bin/bash
Это на сервере

[AnrDaemon]

У вас система не видит пользователей домена.
показывайте

Код: [Выделить]

sudo net ads testjoin
sudo samba-tool testparm --suppress-prompt

[reiss]

У вас система не видит пользователей домена.

1. откуда это видно?
2. все чудастее и чудастее. Я спецом завел такого юзера adduser'ом и его же с тем же пассом в домене

показывайте

Нема их

Код: [Выделить]

[root@gkb34dc log]# net ads testjoin
bash: net: команда не найдена...
[root@gkb34dc log]# samba-tool testparm --suppress-prompt
bash: samba-tool: команда не найдена...
[root@gkb34dc log]#
Кстати, только сейчас заметил... а в той инструкции ничего про самбу и нет.
Я был уверен, что она поставится с сервером вместе. Ан и нет по ходу.
Видимо IPA как-то без самбы обошелся

Апдейт 2 - как не видит, ежели по ССШ'у пускает?
Апдейт 3 - может поможет, в логах кербероса такое:

Код: [Выделить]

дек 04 10:38:02 gkb34dc.gkb34.ipa krb5kdc[2841](info): TGS_REQ (6 etypes {aes256-cts-hmac-sha1-96(18), aes128-cts-hmac-sha1-96(17), UNSUPPORTED:des3-hmac-sha1(16), DEPRECATED:arcfour-hmac(23), camellia128-cts-cmac(25), camellia256-cts-cmac(2
6)}) 10.174.39.43: ISSUE: authtime 1607053082, etypes {rep=aes256-cts-hmac-sha1-96(18), tkt=aes256-cts-hmac-sha1-96(18), ses=aes256-cts-hmac-sha1-96(18)}, host/comp01.gkb34.ipa@GKB34.IPA for ldap/gkb34dc.gkb34.ipa@GKB34.IPA
дек 04 10:38:02 gkb34dc.gkb34.ipa krb5kdc[2841](info): closing down fd 12
Чего он ансуппортед? Я так соображаю, что ИПА не поддарживает какого-то шифрования. В итоге он не может распознать пасс. А по ССШу проверяет не сервак, а сама система, по этому ей норм. Если это так, как лечить?

[AnrDaemon]

1. откуда это видно?

Это просто видно. Сравнивайте:

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

$ getent passwd
root:x:0:0:root,,,,umask=0022:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:106::/var/run/dbus:/bin/false
landscape:x:103:109::/var/lib/landscape:/bin/false
sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin
dnsmasq:x:105:65534:dnsmasq,,,:/var/lib/misc:/bin/false
lxc-dnsmasq:x:106:112:LXC dnsmasq,,,:/var/lib/lxc:/bin/false
bind:x:107:113::/var/cache/bind:/bin/false
dhcpd:x:108:114::/var/run:/bin/false
stunnel4:x:109:115::/var/run/stunnel4:/bin/false
ntp:x:110:116::/home/ntp:/bin/false
sslca:x:1000:1000:OpenSSL CA administrator,,,,umask=0077:/home/.CA:/bin/bash
statd:x:111:65534::/var/lib/nfs:/bin/false
vboxuser:x:1001:121:VirtualBox user,,,,umask=0027:/home/vboxuser:/bin/bash
domainuser:*:10005:10001:Пользователь:/home/domainuser:/bin/bash
anrdaemon:*:10000:10001:Andrey Repin,,,,umask=0027:/home/anrdaemon:/bin/bash
mc-superflat:*:10002:10002:MC Superflat! 1.7.10,,,,umask=0027:/home/mc-superflat:/bin/bash
mc-testing-1-7-10:*:10003:10002:MC testing 1.7.10,,,,umask=0027:/home/mc-testing-1-7-10:/bin/bash
administrator:*:10001:10001:Administrator:/home/Administrator:/bin/bash

2. все чудастее и чудастее. Я спецом завел такого юзера adduser'ом и его же с тем же пассом в домене

И какого пользователя должна выбрать система?

bash: net: команда не найдена...
bash: samba-tool: команда не найдена...

Вы не завели машину в AD, просто настроили krb авторизацию. Причём непрозрачную, только для избранных приложений. Это мусор.

может поможет, в логах кербероса такое:

Это значит, что тип хэша распознан, но данной реализацией не поддерживается.
В частности, 3DES шифры считаются нестойкими и их применимость ограничена.
В данном случае ни на что не влияет, MS AD использует AES.

[reiss]

Вы не завели машину в AD

нету у меня АД. нету и не будет. IPA сервер мне и должен заменить этот самый AD.
https://www.freeipa.org/page/Main_Page

[valrust]

Стоит задача сделать контроллер домена на самбе.

нету у меня АД. нету и не будет. IPA сервер мне и должен заменить этот самый AD.

Так что в конечно итоге хотите сделать?

[reiss]

Так что в конечно итоге хотите сделать?

В итоге - линуксовый аналог АД.
На чем, SambaDC или IPA мне уже пофиг. Только бы работало.

[AnrDaemon]

Если вы будете мотаться из стороны в сторону, у вас ничего работать не будет.

[reiss]

Хорошо. Давайте начнем сначала.
Изначальная цель - создать аналог АД. Потому что, как сказано, нам сервер от MS никто не купит.
Что мы хотим видеть, помимо централизованного хранилища паролей?
1. Наличие аналога групповых политик. Возможность удаленно запускать скрипты и регулировать переменные окружения
2. Возможность централизованного обновления программ и ОС
3. Возможность создания динамических профилей. Чтобы человек, залогинившись с любого ПК, получил свой рабочий стол, ярлыки, настройки и пассы браузера

Честно вам скажу, про само существование IPA узнал неделю назад.
Не, с линуксом я имею дело с 2004 г, но вот на уровне сетей и доменов не приходилось.
Максимум, как шлюз инета, апач, днс и прочее.
Реализуем ли такой функционал в принципе на свободной платформе? Не важно, ИПА или Самба.

[AnrDaemon]

нам сервер от MS никто не купит.

При чём тут "сервер от MS" ?

[valrust]

1. Наличие аналога групповых политик. Возможность удаленно запускать скрипты и регулировать переменные окружения
2. Возможность централизованного обновления программ и ОС

Возможно с этим справится ansible.

3. Возможность создания динамических профилей. Чтобы человек, залогинившись с любого ПК, получил свой рабочий стол, ярлыки, настройки и пассы браузера

Может вот так. На всех workstation монтировать в /mnt/nfs/home удаленную файловую систему NFS с домашними каталогами пользователей. А в базе с пользователями задавать для них домашний каталог как /mnt/nfs/home/username. Нужно будет предусмотреть при создании пользователя создавать ему домашний каталог в удаленной файловой системе.