Подключение ubuntu server к MS домену(AD)

[qqaazz]

помогите разобратся.... как присвоить  Ubuntu серверу  доменное имя...
настроил керберос  настроил самбу... керберос выдает билетики.пользователям домена.нопочему то не выдает билет пользователю с правами админа...говрит чтото типа шифровки нет такой...
домен adm72.local
контролер домена  ip 10.34.7.3       dc-perv34-1.adm72.local
                  ip  10.10.5.25      dc-root.adm72.local
имя машины сервера убунты  lod
прилагаю код krb5.conf.txt
[libdefaults]
        default_realm = ADM72.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        ADM72.LOCAL = {
                kdc = dc-perv34-1
                admin_server = dc-perv34-1
                default_domain = ADM72.LOCAL
        }

[domain_realm]
        .adm72.local = ADM72.LOCAL
        adm72.local = ADM72.LOCAL
[login]
        krb4_convert = false
        krb4_get_tickets = false

----------------------
фаил hosts :

lod
----------
что не так то я сделал ... всяко разно уже пытался...

[JoyHusky]

С помощью самбы, для примера можно взять инструкцию для FreeBSD, принцип тот же.

[qqaazz]

у меня получилось керберос настроить .. но  с самбои чето недоконца...
пишу конект в домен
 sudo net ads join -U user -D ADM72
и вот че  выдает....

Failed to join domain: failed to find DC for domain ADM72
ненаю что делать
 ввел вот эту комнаду...
$ net ads testjoin
Failed to open /var/lib/samba/secrets.tdb
Join to domain is not valid: Access denied
 вот что выдало.. что делать дальше? подскажите

[JoyHusky]

На "sudo net ads join -U user -D ADM72" вы не привели полный текст ошибки.
Может быть у вас время отличается на компе с ubuntu и контроллере домена.
А вторую команду ввели без sudo, по-этому и не хватило прав я думаю...

[qqaazz]

На "sudo net ads join -U user -D ADM72" вы не привели полный текст ошибки.
Может быть у вас время отличается на компе с ubuntu и контроллере домена.
А вторую команду ввели без sudo, по-этому и не хватило прав я думаю...

qq11@lod:~$  sudo net ads testjoin
[sudo] password for qq11:
kerberos_kinit_password LOD$@ADM72.LOCAL failed: Client not found in Kerberos database
kerberos_kinit_password LOD$@ADM72.LOCAL failed: Client not found in Kerberos database
Join to domain is not valid: Improperly formed account name
qq11@lod:~$
 вот что выдало

попробовал вот так..

qq11@lod:~$ sudo net ads join -U adminlic@ADM72.LOCAL
Enter adminlic@ADM72.LOCAL's password:
Failed to join domain: User specified does not have administrator privileges

поповоджу времени тогда да отличалось сечас все поднастроил только один момент с часовым поясом не разобрался...может ли он влиять ..? но время сейчас как и на серевере то есть 12 00 и на сервере 12 00

[JoyHusky]

попробовал вот так..

qq11@lod:~$ sudo net ads join -U adminlic@ADM72.LOCAL
Enter adminlic@ADM72.LOCAL's password:
Failed to join domain: User specified does not have administrator privileges

Не пробовали вводить данные администратора домена? Судя по ошибке не хватает у adminlic прав для добавления в домен.

[qqaazz]

попробовал вот так..

qq11@lod:~$ sudo net ads join -U adminlic@ADM72.LOCAL
Enter adminlic@ADM72.LOCAL's password:
Failed to join domain: User specified does not have administrator privileges

Не пробовали вводить данные администратора домена? Судя по ошибке не хватает у adminlic прав для добавления в домен.

но и  с под винды я им добовляю.... и ммоментик..керберос ADMILIC НЕВЫСЫЛАЕТ БИЛЕТИК... а ппростым пользователям высылает..может проблема в том что недал билета? этого?

[JoyHusky]

Так вы ключ получали для кербероса?
sudo kinit -u <имя админа домена>

проверка:
sudo klist

[qqaazz]

Так вы ключ получали для кербероса?
sudo kinit -u <имя админа домена>

проверка:
sudo klist

qq11@lod:~$ sudo kinit -u ADMINLIC
kinit: ?? ? -- <<u>>
Usage: kinit [-V] [-l lifetime] [-s start_time]
        [-r renewable_life] [-f | -F] [-p | -P] -n [-a | -A] [-C]
        [-E]
        [-v] [-R] [-k [-t keytab_file]] [-c cachename]
        [-S service_name] [-T ticket_armor_cache]
        [-X <attribute>[=<value>]] [principal]

    options:    -V verbose
        -l lifetime
        -s start time
        -r renewable lifetime
        -f forwardable
        -F not forwardable
        -p proxiable
        -P not proxiable
        -n anonymous
        -a include addresses
        -A do not include addresses
        -v validate
        -R renew
        -C canonicalize
        -E client is enterprise principal name
        -k use keytab
        -t filename of keytab to use
        -c Kerberos 5 cache name
        -S service
        -T armor credential cache
        -X <attribute>[=<value>]
qq11@lod:~$ sudo kinit  ADMINLIC@ADM72
kinit: Cannot resolve servers for KDC in realm "ADM72" while getting initial credentials
qq11@lod:~$ sudo kinit  ADMINLIC
kinit: KDC has no support for encryption type while getting initial credentials
qq11@lod:~$ sudo kinit ADMINLIC
kinit: KDC has no support for encryption type while getting initial credentials
qq11@lod:~$ sudo kinit ANANINA
Password for ANANINA@ADM72.LOCAL:
qq11@lod:~$ sudo kinit ADMINLIC
kinit: KDC has no support for encryption type while getting initial credentials
qq11@lod:~$ sudo kinit ANANINA
Password for ANANINA@ADM72.LOCAL:

ВОТ что он мне выдал, как вы поняли adminlic это  админ а ананина это пользователь обычный ..так вот  как видно из команд ananina  выдал  билет а adminlic написал ошибку..... во незнаю что делать да и если  писать вот так вот sudo kinit -u (добавлять команду -u  он выводит меню команд клинита в чем проблема пчему выводит  команды клинита?)

[JoyHusky]

sudo kinit -u (добавлять команду -u  он выводит меню команд клинита в чем проблема пчему выводит  команды клинита?)

Это моя ошибка, правильно вы вводите, опция -u не нужна с kinit

ВОТ что он мне выдал, как вы поняли adminlic это  админ а ананина это пользователь обычный ..так вот  как видно из команд ananina  выдал  билет а adminlic написал ошибку.....

Раз пользователю билет выдался, попробуйте дальше..
sudo net ads join -U ...
попробуйте подставить сюда админа или пользователя.
Хотя странно, конечно, что билет не получает при указании админа...