[Wiki] [HOWTO] Установка PDC samba4 на Ubuntu Server 10.04

[DEagle]

вот смотри у тебя в логах Dec  1 13:29:08 ad named[19266]: managed-keys-zone ./IN: loading from master file managed-keys.bind failed: file not found
походу он не может ключи загрузить, которые нужны для обновления зоны... в файле named.conf.options должна быть записи вида:

options {
...
   tkey-gssapi-credential "DNS/ad.my.domen.ru";
   tkey-domain "MY.DOMEN.RU";
...
};

и надо добавать в окружение бинда записи вида у меня на debiane это здесь /etc/default/bind9
 KEYTAB_FILE="/usr/local/samba/private/dns.keytab"
 KRB5_KTNAME="/usr/local/samba/private/dns.keytab"
 export KEYTAB_FILE
 export KRB5_KTNAME

А по поводу /var/lib/samba/private/named.conf.update, то тут всё ОК, с его помощью kerberos и должен обновлять зоны в данном случаю только прямую

про /etc/apparmor.d/usr.sbin.named ничего сказать не могу... ((

[ulan44]

добавил записи в /etc/default/bind

KEYTAB_FILE="/var/lib/samba/private/dns.keytab"
KRB5_KTNAME="/var/lib/samba/private/dns.keytab"
export KEYTAB_FILE
export KRB5_KTNAME

и в named.conf.options добавил

tkey-gssapi-credential "DNS/ad.my.domen.ru";
tkey-domain "MY.DOMEN.RU";

при страрте бинд ругаеться именно на параметры
tkey-gssapi-credential "DNS/ad.my.domen.ru";
tkey-domain "MY.DOMEN.RU";

D

Код: [Выделить]

ec  1 15:49:17 ismb4 named[24606]: default realm from krb5.conf (MY.DOMEN.RU) does not match tkey-gssapi-credential (DNS/ad.my.domen.ru)
Dec  1 15:49:17 ismb4 named[24606]: configuring TKEY: failure
Dec  1 15:49:17 ismb4 named[24606]: loading configuration: failure
Dec  1 15:49:17 ismb4 named[24606]: exiting (due to fatal error)
Пользователь решил продолжить мысль 01 Декабря 2011, 11:24:09:Видимо придется компилить bind9.8

[DEagle]

что у тебя в /var/lib/samba/private/krb5.conf и если есть в /etc/krb5.conf ?
я у себя настраивал как и bind9.7 так и с 9.8.1 брал пакет из тестового репозитория

[ulan44]

root@ismb4:/etc/bind# cat /etc/krb5.conf
[libdefaults]
        default_realm = MY.DOMEN.RU
        dns_lookup_realm = false
        dns_lookup_kdc = true

root@ismb4:/etc/bind# cat /var/lib/samba/private/krb5.conf
[libdefaults]
        default_realm = MY.DOMEN.RU
        dns_lookup_realm = false
        dns_lookup_kdc = true

[DEagle]

у меня нет идей больше..
у тебя самба какой версии? из репов брал?

[ulan44]

Samba4 alfa17 да из репов.
Вот и я заметил буквально вчера проблему... уже второй день она мне мозг выносит.

[DEagle]

у меня alpha18... Попробуй из исходников собрать по офиц. howto будешь удивлён, там зоны dns теперь в ldap'е храняться, только ,bind9.8 ставь с ним мороки меньше..

[ulan44]

ну буду второй сервак подымать на нем сделаю...
А так чет не в прикол ходить каждую неделю по офису и 96 компов пере загонять в домен =)

[DEagle]

Это верно.. у меня компов порядка 300 и я не решился их пока вообще в домен вводить, щас да января пока потестирую, там уж видно будет

[ulan44]

Трое суток и куча мукулатуры перерыто, все было не зря, сделал динамическое обновление зоны ура  товарищи, отдельное спасибо DEagle что подсказал в какую сторону капать.

Этот рецепт для Ubuntu 11.10 если конечно читали мои мессаги на предыдущих старницах, то в логах у меня были ошибки типа

Код: [Выделить]

"обновление динамической зоны отказано в доступе", причем пинговался нормально с клиентских тачек только контроллер домена, а самого контроллера домена ничего не пинговалось.
И так начнем.
Перво наперво если кто ставит сервер АД по статье, то надо до установить пакеты.

Код: [Выделить]

libkrb5-dev, libssl-dev, libgnutls-dev, libreadline5-dev, python-dnspythonбез этих пакетов не обновляется динамические зоны.
Дальше в файле

Код: [Выделить]

/etc/apparmor.d/usr.sbin.named кроме строк строк которые описаны в хаутушке по установке samba4

Код: [Выделить]

/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/* rw,

надо добавить еще строки ниже следующего содержания

Код: [Выделить]

/var/lib/samba/private/dns.keytab kr,
/var/lib/samba/private/named.conf.update kr,
/var/lib/samba/private/named.conf kr,
/var/lib/samba/private/dns/* krw,
/var/tmp/krb5_* rw,
/var/tmp/DNS_* rw,
/var/lib/samba/private/dns/ВАШ.ДОМЕН.РУ.zone.jnl kr,

Далее в каталоге

Код: [Выделить]

/usr/lib/samba/private надо выставить права на папки и файлы владельца и группу пользователя от которого запускается Bind. Конкретно в маем случае этот пользователь bind.

Код: [Выделить]

chown bind.bind -R /usr/lib/samba/private/dns/
chown bind.bind /usr/lib/samba/private/dns.keytab
chown bind.bind /var/lib/samba/private/dns_update_list

Далее идем в конфиг нашего dns сервера и добавляем в конфиг между

Код: [Выделить]

options {
добавляем строки
tkey-gssapi-credential "DNS/Имясервера.ваш.домен.ру";
tkey-domain "ВАШ.ДОМЕН.РУ";
}

Далее наконец идем в конфиг DHCP сервера и добавляем в него строки

Код: [Выделить]

ddns-domainname "ВАШ.ДОМЕН.РУ";
ddns-rev-domainname "in-addr.arpa";

после всех манипуляций надо все сервисы перезапустить

Код: [Выделить]

service apparmor reload
service bind9 reload
service isc-dhcp-server reload

ну или простым reboot =)
Если что либо не заработало читаем логи, и данную статью внимательно.

[zverg]

Добрый день, подскажите в чем косяк.
ubuntu 10.04 LTS
делаю все по инструкции
дохожу до первого старта самбы:


administrator@pdc:~$ sudo /etc/init.d/samba4 start
 * Starting Samba 4 daemon samba                                                                                                            [ OK ]
administrator@pdc:~$ /usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise
/usr/sbin/samba: symbol lookup error: /usr/sbin/samba: undefined symbol: tevent_re_initialise


беглое гугление показало что возможно старая версия самбы.
какая должна быть?
samba version 4.0.0alpha12-GIT-UNKNOWN started

Для чистоты эксперимента взял свежеустановленную Ubuntu сервер 10.04
сделал строго по инструкции

в процессе установки вижу

Get:16 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libtevent0 0.9.9~git20100522-3ubuntu1 [22.6kB]
Get:17 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libldb0 1:0.9.13~git20100908-2ubuntu1 [89.6kB]
Get:18 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libsamba-hostconfig0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [34.6kB]
Get:19 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libsamba-util0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [313kB]
Get:20 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libndr0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [145kB]
Get:21 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libndr-standard0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [648kB]
Get:22 http://ru.archive.ubuntu.com/ubuntu/ maverick-updates/main samba-common 2:3.5.4~dfsg-1ubuntu8.5 [395kB]
Get:23 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libgensec0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [1,013kB]
Get:24 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libregistry0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [78.8kB]
Get:25 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe libdcerpc0 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [1,017kB]
Get:26 http://ru.archive.ubuntu.com/ubuntu/ maverick/main libreadline5 5.2-7build1 [132kB]
Get:27 http://ru.archive.ubuntu.com/ubuntu/ maverick-updates/main libwbclient0 2:3.5.4~dfsg-1ubuntu8.5 [128kB]
Get:28 http://ru.archive.ubuntu.com/ubuntu/ maverick-updates/main python-dnspython 1.8.0-1ubuntu0.1 [91.3kB]
Get:29 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe python-ldb 1:0.9.13~git20100908-2ubuntu1 [22.7kB]
Get:30 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe python-tdb 1.2.1-2 [12.0kB]
Get:31 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe python-samba 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [1,380kB]
Get:32 http://ru.archive.ubuntu.com/ubuntu/ maverick-updates/main samba-common-bin 2:3.5.4~dfsg-1ubuntu8.5 [5,752kB]
Get:33 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe samba-ldb-tools 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [61.9kB]
Get:34 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe samba4-common-bin 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [12.8kB]
Get:35 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe samba4 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [1,975kB]
Get:36 http://ru.archive.ubuntu.com/ubuntu/ maverick/universe samba4-clients 4.0.0~alpha13+git+bzr12984.dfsg1-0ubuntu1 [232kB]


в итоге

root@pdc:~$ samba -V
Version 4.0.0alpha12-GIT-UNKNOWN

Пользователь решил продолжить мысль 07 Декабря 2011, 09:14:20:в этот раз получилось установить на 13 альфе
но дальше возникла проблема

пытаюсь включить вин2003 в домен - мне ответ
Logon failure: unknown user name or bad password

Пароль ввожу верно
Пользователь решил продолжить мысль 07 Декабря 2011, 10:51:01:Проблема была в часовом поясе (2003 не увжает президента)

[ulan44]

Обычно так и пишет, что время на клиенте отличается от времени на сервере.
Пользователь решил продолжить мысль 09 Декабря 2011, 05:42:59:Едем дальше =)
Теперь трабла с сетевыми принтерами, не с которые расшарены у пользователей, а с настоящими сетевыми принтерами у которых есть сетевой интерфейс.
Суть проблемы такова. До динамического обновления DNS у меня сетевые принтера нормально пинговались, по имени и по доменному имени:

Код: [Выделить]

ping printer
ping printer.my.domen.ruвсе было без проблем.
Теперь же только по IP адресам пингуються.
Пользователь решил продолжить мысль 09 Декабря 2011, 06:28:47:Конкретно в логе проходит такая строчка и только на принтерах сетевых
Unable to add forward map from print.my.domen.ru to 10.0.100.91: timed out

Пользователь решил продолжить мысль 09 Декабря 2011, 09:24:14:Так теперь после того как я в конфиг dhcp добавил строки

Код: [Выделить]

zone my.domen.ru. { primary 10.0.100.253; }
zone in-addr.arpa.{ primary 10.0.100.253;}в логе в место строки

Код: [Выделить]

Unable to add forward map from print.my.domen.ru to 10.0.100.91: timed out
появилась строка

Код: [Выделить]

unable to add reverse map from 199.100.0.10.in-addr.arpa to print.my.domen.ru: not authorized

[tcheredeev]

Этот рецепт для Ubuntu 11.10

Небольшие дополнения по Ubuntu 10.04.3 server

Далее идем в конфиг нашего dns сервера и добавляем в конфиг между

Код: [Выделить]

options {
добавляем строки
tkey-gssapi-credential "DNS/Имясервера.ваш.домен.ру";
tkey-domain "ВАШ.ДОМЕН.РУ";
}


У меня заработало с

Код: [Выделить]

tkey-gssapi-credential "DNS/ваш.домен.ру";
если использовать имясервера.ваш.домен, то не фурычит

И еще я сделал

Код: [Выделить]

ln -s /var/lib/samba/private/dns.keytab /etc/krb5.keytab
без этого в логах самбы:

Код: [Выделить]

[Sun Dec 11 12:54:33 2011 MSK, 0 ../dsdb/dns/dns_update.c:249:dnsupdate_nameupdate_done()]
../dsdb/dns/dns_update.c:249: Failed DNS update - NT_STATUS_NO_MEMORY
[Sun Dec 11 12:54:33 2011 MSK, 0 ../dsdb/dns/dns_update.c:278:dnsupdate_spnupdate_done()]
../dsdb/dns/dns_update.c:278: Failed SPN update - NT_STATUS_NO_MEMORY
[Sun Dec 11 12:54:48 2011 MSK, 0 ../dsdb/kcc/kcc_topology.c:3479:kcctpl_test()]
Testing kcctpl_create_intersite_connections
и, соответственно, в dns не писались данные

[ulan44]

Сегодня с утра был сюрприз неожиданный =)
не у кого не работал интернет и корпоративный jabber оказалось, что закончился пароль на Administrator. Смена пароля происходит следующей командой.

Код: [Выделить]

samba-tool user setpassword Administrator

[tcheredeev]

Код: (bash) [Выделить]

/usr/local/samba/bin/samba-tool pwsettings set --complexity=off  --history-length=0 --min-pwd-length=3  --min-pwd-age=15 --max-pwd-age=20И после команды gpupdate /force все заработало.

В 17 альфе команда выглядит несколько по другому

Код: [Выделить]

/usr/local/samba/sbin/samba-tool domain passwordsettings set --complexity=off  --history-length=1 --min-pwd-length=6  --min-pwd-age=0 --max-pwd-age=60
и работает без gpupdate /force