[Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory

[Master-Lie]

Проблему я всё-таки решил..

Поясняю. Залогинился, работал, потом душа потребовала эксперимента: переключился на tty1, отрубил сеть на PDC, ввёл логин пасс... ждал.. ждал.. дождался лишь того что меня уведомили что вход отменяется так как в 60 секунд не уложился... Угу... Похоже что winbind не понял, что PDC лежит и ему надо в оффлайн уходить. Перерыл конфиги. Работать всё начало (как нужно!!!) уже после того как в smb.conf я добавил

Код: [Выделить]

password server = xxx.xxx.xxx.xxx
где xxx.xxx.xxx.xxx = IP PDC.
Для быстродействия заменил в /etc/krb5.conf упоминания о dc на xxx.xxx.xxx.xxx.
Работать стало гораздо быстрее. И для полного счастья прописал PDC и BDC в hosts. (Может еще что делал, но уже подзабыл). В итоге всё работает просто замечательно. Если во время работы пропадает pdc он уходит в offline режим, если появляется возвращается в online.

P.s. Продолжаю возиться, но на данном этапе меня всё устраивает. Тестирую устойчивость. Если еще что будет - отпишусь.

[lmasikl]

Ubuntu 11.10
Делаю так же как описано в статье из первого сообщения (https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows)
Пропускаю часть о синхронизации времени.
На шаге tesparam получаю следующее сообщение:

Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

smb.conf

Код: [Выделить]

[global]
    workgroup = MBM
    realm = MBM.LOCAL

server string = %h

dns proxy = no

log file = /var/log/samba/log.%m

max log size = 1000

syslog = 0

panic action = /usr/share/samba/panic-action %d

    security = ADS

encrypt passwords = true

obey pam restrictions = yes

unix password sync = yes

passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes

    domain logons = no
    socket options = TCP_NODELAY

    domain master = no
    local master = no
    preferred master = no
    os level = 0
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
krb5.conf

Код: [Выделить]

[libdefaults]
default_realm = MBM.LOCAL
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
MBM.LOCAL = {
kdc = mbm01
kdc = mbm03
admin_server = mbm01
default_domain = MBM.LOCAL
}
[domain_realm]
.mbm.local = MBM.LOCAL
mbm.local = MBM.LOCAL
[login]
krb4_convert = false
krb4_get_tickets = false
Не понимаю в чем проблема. Может кто чем помочь?

[Master-Lie]

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)

ты про эту строчку? Не обращал бы внимания. Но если уже делать, то делать всё нормально. Верно?

Тогда копируй:

Код: [Выделить]

sudo -s
echo "*                -       nofile          16384" >> /etc/security/limits.conf

И всё!

[lmasikl]

После этих действий все тоже самое и волновало больше не максимальное количество, а то, что

Server role: ROLE_STANDALONE

Попробовал пропустить этот шаг, но

Код: [Выделить]

net ads testjoin выдает

[2011/11/08 14:37:58.743081,  0] passdb/secrets.c:73(secrets_init)
  Failed to open /var/lib/samba/secrets.tdb
Join to domain is not valid: Access denied

Из под суперпользователя получаю следующее

Код: [Выделить]

sudo net ads testjoin

Enter KRIVODAEV$@MBM.LOCAL's password:
Join to domain is not valid: Operations error

Такого пользователя вообще не существует, но имя машины как раз krivodaev. Именно в нижнем регистре, поэтому не понятно, откуда оно берется в верхнем регистре. Может все же что-то в конфигах, но ведь до testparam все отрабатывает на отлично.

[Master-Lie]

закоментируй эти три строки и попробуй еще разок...

Код: [Выделить]


passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes

А вообще попробуй smb.conf от сюда http://paste.ubuntu.com/731744/ и снова попробуй testparm

[lmasikl]

Если закомментить эти строки
   

Код: [Выделить]

passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .

pam password change = yes
То выводится следующее:

Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
ERROR: the 'unix password sync' parameter is set and there is no valid 'passwd program' parameter.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

http://paste.ubuntu.com/731744/ с этим конфигом testparam прошел успешно.
Дальше опять остановка:

Код: [Выделить]

sudo net ads join -U krivodaev_mv -D MBM

Enter krivodaev_mv's password:
Failed to join domain: failed to lookup DC info for domain 'MBM' over rpc: The network name cannot be found

Код: [Выделить]

sudo net ads testjoin

[2011/11/08 15:24:32.485711,  0] utils/net_ads.c:285(ads_startup_int)
  ads_connect: No logon servers
Join to domain is not valid: No logon servers

Так же попробовал:

Код: [Выделить]

sudo net ads join -U krivodaev_mv -D MBM -S mbm01

Enter krivodaev_mv's password:
Failed to join domain: failed to connect to AD: Operations error

[Master-Lie]

перепроверь конфиг. выполни kinit от имени sudo. и net ads join тоже от sudo должен быть. Посмотри повнимательней. 100% где-то ошибся или недочет. Пройдись сначала...

[lmasikl]

перепроверь конфиг. выполни kinit от имени sudo. и net ads join тоже от sudo должен быть. Посмотри повнимательней. 100% где-то ошибся или недочет. Пройдись сначала...

Код: [Выделить]

sudo kinit krivodaev_mv@MBM.LOCAL

Password for krivodaev_mv@MBM.LOCAL:

все ОК

Код: [Выделить]

klist

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: krivodaev_mv@MBM.LOCAL

Valid starting     Expires            Service principal
11/08/11 16:22:11  11/09/11 02:22:16  krbtgt/MBM.LOCAL@MBM.LOCAL
   renew until 11/09/11 16:22:11

Код: [Выделить]

testparam

Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Конфиги из http://paste.ubuntu.com/731744/
А вот join и testjoin не проходят
Перезагрузился, все заработало. Дальше не пробовал пока, конец рабочего дня. Спасибо за помощь!

[Charles Malaheenee]

Master-Lie, с password-server хорошо, когда всего 1 (один) доменконтроллер. А если их 3 (три) как у нас, не прокатит. Да и в основном, чаще "ложится" сеть (по причине отключения электричества), чем сами контроллеры.

З.Ы. Кстати, дополнили бы хау-ту по этому моменту (в разделе оф-лайн авторизация) тогда уж, раз разобрались 

[Master-Lie]

стати, дополнили бы хау-ту по этому моменту (в разделе оф-лайн авторизация) тогда уж, раз разобрались

Тестирование нужно и светлые головы. Я еще потестирую, если косяков не найду, то всё окей.

. А если их 3 (три) как у нас, не прокатит.

Кого 3? Контроллера домена??? Может PDC+2xBDC? Так у меня тоже так. Или я чего-то упускаю?

[Charles Malaheenee]

PDC+2xBDC?

Так и есть (вроде, DC админим не мы), но достаточно часто логин выдает не PDC (если судить под net ads info).

[Master-Lie]

Это ничего не меняет. Если PDC ляжет то BDC не будут работать. Следовательно мои настройки подходят и в твоём случае. Ведь без PDC домен не работает, а BDC лишь помогает распределять нагрузку. В этом вся и причина...

[Charles Malaheenee]

О как. Спасибо, не знали, возьмем на заметку.
А насчет прописывания ip в krb5.conf - это давно сделали, в hosts тоже попрописывали  Но в хау-ту это писать не стоит, кому интересно - сами разберутся.

[A.i.D.]

В статье описана "Авторизация в Ubuntu через пользователей домена", но как устроить авторизацию по локальным пользователям?

[Charles Malaheenee]

как устроить авторизацию по локальным пользователям?

В смысле? "Из коробки" же все есть?