DNS update failed!

[uid0]

Давайте проще поступим ! Давайте мне IP машины, которую нужно загнать в домен, её имя, и IP адрес домен контроллера. я напишу Вам конфиги.

[Komok_Nervov]

Давайте проще поступим ! Давайте мне IP машины, которую нужно загнать в домен, её имя, и IP адрес домен контроллера. я напишу Вам конфиги.

домен: ADM.BL
ip-сервера: 192.168.5.1
ip-машины: 192.168.5.44
имя_машины: ip-admin

[uid0]

имя сервера ещё дайте плиз
Пользователь решил продолжить мысль [time]Tue Apr  5 11:41:15 2011[/time]:Значит так ! Всё с самого начала. Буду писать все подробно с установкой пакетов. Если они уже установлены, то хорошо.

sudo aptitude install krb5-user samba winbind smbclient

Идём править /etc/resolv.conf, нужно привести его к виду:

Код: [Выделить]

domain adm.bl
search adm.bl
nameserver 192.168.5.1
Если DNS сервер у Вас стоит не на DC, то меняйте ип из nameserver на свой.

Теперь проверим файл /etc/hostname, в нём должно быть имя вашей машины, а именно ip-admin

Так же нужно поправить /etc/hosts, в него нужно запихнуть:

Код: [Выделить]

127.0.0.1 localhost
192.168.5.44 ip-admin.adm.bl MyPC
ОБЯЗАТЕЛЬНО!!! нужно синхронизировать время с контроллером домена, можно сделать руками ntpdate 192.168.5.1, а можно установаить службу: sudo aptitude install ntp

правим /etc/ntp.conf

Код: [Выделить]

...
# You do need to talk to an NTP server or two (or three).
server 192.168.5.1
...

Перезагружаем sudo /etc/init.d/ntp restart, всё ок...

Меняем конфиг кербероса /etc/krb5.conf

Код: [Выделить]

[libdefaults]
default_realm = ADM.BL
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
ADM.BL = {
kdc = 192.168.5.1
admin_server = 192.168.5.1
}
[domain_realm]
 .adm.bl = ADM.BL
adm.bl = ADM.BL
[login]
krb4_convert = true
krb4_get_tickets = false

Получаем билет в домен kinit username@ADM.BL
Ошибок быть не должно, если будут, то пиши сюда - обсудим...

Идём править конфиг самбы /etc/samba/smb.conf. Я повыкидывал всё лишнее. Сначала введём в домен, а там бдем прикручивать ещё что-нить.

Код: [Выделить]

[global]
workgroup = ADM
realm = ADM.BL
security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
load printers = yes
show add printer wizard = yes
printcap name = /dev/null
disable spoolss = yes
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
template shell = /bin/bash
winbind refresh tickets = yes

На всякий проверить параметры можно testparm, но всё должно быть ок.

Вгоняем машинку в домен sudo net ads join -U username -D ADM.BL

Для авторизации пользюков на твоей машинке, нужно поправить /etc/nsswitch.conf
там изменить только:

Код: [Выделить]

passwd: compat
group: compat


На

Код: [Выделить]

passwd: compat winbind
group: compat winbind

Проверить можно выполнив getent passwd, эта херь покажет тебе все списки пользюков локальных и доменных.

И исправить опцию в файле /etc/pam.d/common-session

Код: [Выделить]

session optionalнужно привести её к виду:

Код: [Выделить]

session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
После чего выполнить

Код: [Выделить]

mv /etc/rc4.d/S20winbind /etc/rc2.d/S99winbind
mv /etc/rc4.d/S20winbind /etc/rc3.d/S99winbind
mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
mv /etc/rc4.d/S20winbind /etc/rc5.d/S99winbind

После перезагрузки машинки всё будет работать. Должно... И да.. При вводе машины в домен ты поймаешь ошибку DNS update failed, в ней нет ничего страшного. Просто добавишь в DNS руками потом свою машану и всё.

[Komok_Nervov]

большое спасибо.
DNS так и не обновляется. доменными пользователями авторизуется.
последнее команды пишет, что директория не найдена.
попутный вопрос:
можно ли сделать 1 общую папку, расшаренную по сети, чтоб была у всех, доменных пользователей?
если нет то, как сделать расшаренную папку под конкретным пользователем (пытался расшарить, ошибка 255, недостаточно прав)?

[uid0]

можно расшарить в конфиг smb.conf добавить

[share_name]
valid users = 'ADM.BLDomain Users'
writable = yes
public = yes
path = /home/shared_dir
available = yes
Пользователь решил продолжить мысль 06 Апреля 2011, 15:10:29:А лучше


[share_name]
        writeable = yes
        create mode = 777
        public = yes
        path = /home
        directory mode = 777

[Komok_Nervov]

можно расшарить в конфиг smb.conf добавить

[share_name]
valid users = 'ADM.BLDomain Users'
writable = yes
public = yes
path = /home/shared_dir
available = yes
Пользователь решил продолжить мысль 06 Апреля 2011, 15:10:29:А лучше


[share_name]
        writeable = yes
        create mode = 777
        public = yes
        path = /home
        directory mode = 777

по второму варианту папку расшаривает, но, мне нужна отдельная папка, с доступом всех пользователей(что с сети, что с компа. не делать 100 шар, а все бы пользовались одной, не зависимо под каким юзером зашли), а так получается расшарена вся папка home, чего бы очень не хотелось. пробовал указать путь, шарит только share_name и все. ни доков ни папок там не создает.

[uid0]

А в чём проблема-то ?

[share_name]
        writeable = yes
        create mode = 777
        public = yes
        path = /путь/до/любой/папки
        directory mode = 777

[Komok_Nervov]

когда авторизуются в системе под домен-пользователем, доступа на комп по сети(с других машин) нет.
комп видно в сети, но при попытке зайти выдает, мол, нет прав. хотя, с компа с убунтой, норм ходит по шарам в сети.

[uid0]

Дже не знаю чем Вам ещё помочь... Я всё рассказал, что знал. и Лично всё проверил.. Всё работает.. Ищите ошибки, читайте мануалы...

[Komok_Nervov]

спасибо большое за помощь.
машина в домене, пользователи авторизуются, шара есть.
осталась изначальная ошибка - DNS update failed
я так понимаю, что из за её winbind, при wbinfo -t пишет:

Код: [Выделить]

checking the trust secret for domain ADM via RPC calls failed
Could not check secretсоответственно права домен-пользователей на машине сикось-накось...

[Charles Malaheenee]

я так понимаю, что из за её winbind, при wbinfo -t пишет:

Код: [Выделить]

checking the trust secret for domain ADM via RPC calls failed
Could not check secretсоответственно права домен-пользователей на машине сикось-накось...

После перезагрузки все начинает нормально работать.

[uid0]

http://www.xakep.ru/magazine/xa/101/150/1.asp - почитайте, там описаны механизмы сопоставления групп AD и Unix

[Charles Malaheenee]

Кстати, сегодня выяснили, что ошибка

Код: [Выделить]

checking the trust secret for domain ADM via RPC calls failed
Could not check secret
а также "отваливание" авторизации возникает только при установке samba и winbind версии 2:3a3.4.7~dfsg-1ubuntu3.5, откат на любую раннюю версию решает проблему.

[prilipok]

была проблема DNS update failed!
решение пришло случайно
когда через webmin зашел в настройки самбы, обнаружил что поле "Имя сервера" пустое.
в smb.conf добавил строку

Код: [Выделить]

netbios name = your_comp_nameи все ок
ошибка перестала появляться
Странно, но этой мелочи в большинстве мануалов по одомениванию бунты я не встречал.
Может кому будет полезно.

[AnrDaemon]

Это скорее какой-то баг у вас, чем нормальная работа системы.

netbios name (G)
             This sets the NetBIOS name by which a Samba server is known. By default it is the same as the first component  of  the host’s DNS name. If a machine is a browse server or logon server this name (or the firstcomponent of the hosts DNS name) will be the name that these services are advertised under.

             There is a bug in Samba-3 that breaks operation of browsing and access to shares if the netbios name  is set to the literal name PIPE. To avoid this problem, do not name your Samba-3 server PIPE.

             Default: netbios name = # machine DNS name

             Example: netbios name = MYNAME

Скорее всего, у вас не было выставлено, либо выставлено неправильно, hostname системы.