Ошибка: Интеграция Samba и AD

[тов. Новичок]

Доброго времени суток всем.

Преамбула:

Существует централизованная сеть, объединяющая множество филиалов в единую ЛВС, под управление контролера домена на Microsoft Windows 2008 R2. Основной контроллер домена физически располагается в центральном офисе. В филиалах установлены доп.контроллеры домена в режиме ro (только чтение) с периодической репликацией.

Суть:

Потребовалось создать файловый сервер в филиале (я нахожусь в филиале и не имею доступа к настройкам основного DC). За основу был выбран Ubuntu server. Решено было поставить ОС без графики, доступ файлов для windows-машинок решил возложить на Samba с acl. Примером для настройки послужили статьи:
"https://help.ubuntu.ru/wiki/%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80_%D0%B4%D0%BB%D1%8F_windows"
и "https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows".

Но при вводе в домен происходит ошибка:

Код: [Выделить]

# net ads join -U username -D DOMAIN.RU
Failed to join domain: failed to find DC for domain DOMAIN.RU

В принципе такая ошибка понятна и предсказуема: в филиале то контролер домена в ro, поэтому требуется указать непосредственно название DC:

Код: [Выделить]

# net ads join -U username -D DOMAIN.RU -S DC01
[2011/08/17 00:16:57,  0] libads/sasl.c:819(ads_sasl_spnego_bind)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Decrypt integrity check failed
Failed to join domain: failed to connect to AD: Decrypt integrity check failed
Вот тут то и ошибка, которую уже несколько дней не могу победить. Перелазил все возможные ссылки, которые выдают поисковики, перечитал кучу манов, но решения так и не нашел.
Из вышесказанного ответа я вижу, что киберос билетик мне дает, что в принципе kinit подтверждает:

Код: [Выделить]

# kinit username
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: username@DOMAIN.RU
Valid starting     Expires            Service principal
08/17/11 00:21:30  08/17/11 10:21:36  krbtgt/DOMAIN.RU@DOMAIN.RU
       renew until 08/18/11 00:21:30
А вот что-то с названием ads_sasl_spnego_krb5_bind выдает ошибку, не позволяющую интегрировать Samba c Active Directory, ссылаясь на ошибку шифрования (поправьте меня, если я ошибаюсь).

Что же, один результат, который выдал поисковик (http://timpage.ru/pub/ADUnixLDAPsign.html) натолкнул на мысль о подобной настройке на основном DC. Пробуем добавить в smb.conf строчку:

Код: [Выделить]

client ldap sasl wrapping = sign
после чего ребутим Samba.

В итоге результат тот же, правда с небольшим отличием. Теперь к предыдущему сообщению добавляется "Unspecified GSS failure.  Minor code may provide more information":

Код: [Выделить]

# net ads join -U username -D DOMAIN.RU -S DC01
[2011/08/17 00:54:25,  0] libads/sasl.c:819(ads_sasl_spnego_bind)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Unspecified GSS failure.  Minor code may provide more information : Decrypt integrity check failed
Failed to join domain: failed to connect to AD: Unspecified GSS failure.  Minor code may provide more information : Decrypt integrity check failed

Собственно прошу помощи разобраться, где именно допущена ошибка, и возможно ли ее вылечить? Как писал выше, сам справиться не могу, поисковики помочь не могут.

Моя конфигурация:
Ubuntu Server 10.04.3
Samba Version: 2:3.4.7~dfsg-1ubuntu3.7

Провожу содержимое ключевых конфигурационных файлов:

(Нажмите, чтобы показать/скрыть)

/etc/resolv.conf

Код: [Выделить]

domain domain.ru
search domain.ru
nameserver 192.168.10.2 #rodc01
nameserver 192.168.0.2 #dc01
nameserver 192.168.0.3 #dc02

/etc/network/interfaces

Код: [Выделить]

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.10.14
netmask 255.255.255.128
network 192.168.10.0
broadcast 192.168.10.127
gateway 192.168.10.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.10.2 192.168.0.2 192.168.0.3
dns-search domain.ru

/etc/hosts

Код: [Выделить]

127.0.0.1 localhost
192.168.10.14 fs04.domain.ru fs04

/etc/krb5.conf

Код: [Выделить]

[libdefaults]
default_realm = DOMAIN.RU
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
DOMAIN.RU = {
kdc = rodc01
kbc = dc01
kbc = dc02
default_domain = DOMAIN.RU
}
<...>
[domain_realm]
<...>
.domain.ru = DOMAIN.RU
domain.ru = DOMAIN.RU
[login]
# krb4_convert = true
krb4_convert = false
krb4_get_tickets = false

testparm /etc/samba/smb.conf

Код: [Выделить]

[global]
workgroup = DOMAIN
realm = DOMAIN.RU
server string = %h server (Samba, Linux)
security = ADS
client ldap sasl wrapping = sign
load printers = No
printcap name = /dev/null
disable spoolss = Yes
show add printer wizard = No
os level = 0
local master = No
domain master = No
dns proxy = No

Примечание:
192.168.10.0/25 - сетка в филиале
192.168.10.1 - шлюз до сетки ЦО (центрального офиса)
192.168.10.2 rodc01 - DC в филиале в режиме ro
192.168.0.1/24 - сетка в ЦО
192.168.0.1 - шлюз из сетки ЦО
192.168.0.2 dc01 - Основной DC в ЦО
192.168.0.3 dc02 - Доп. DC в ЦО

Искренне жду помощи. Заранее спасибо.

P.S.

Так же хотелось бы обратить Ваше внимание на то, что с помощью инструмента likewise-open машинка весело и не принужденно влетает в домен. Но только остается одна большая проблема: Samba ни в какую не хочет дружиться с likewise-open. В тех манах и инструкциях, которые мне удалось найти, очень мало информации об интеграции этих двух служб меду собой, и как следствие - интеграции Samba и Active Directory. Те же мануалы, которые есть, не соответствуют действительности (похоже в Ubuntu 10.04 сильно модифицирован данный пакет). Нет likewise-open демона, хотя это не беда, он просто называется по другому. Нет перечисленных в манах инструментов. Нет возможности интегрировать Samba и likewise-open посредством "ln -s" на secrets.tdb, так как secrets.tdb которым якобы руководствуется likewise-open просто отсутствует.

Возможно, в связи с тем, что средствами самого Samba и КиберОС нет возможности интеграции с AD, быть может likewise-open - это единственный выход (по крайней мере машинка вгоняется в домен), но тогда прошу помощи в настройке связи Samba и AD средствами likewise-open в Ubuntu. Быть может кто нибудь еще попадет в данную неприятную ситуацию и ему это поможет. Во всяком случая я очень нуждаюсь в помощи сейчас.

Искреннее спасибо.

[тов. Новичок]

Сегодня на англоязычных ресурсах нашел мнение (у кого то возникла та же проблема), что в файл /etc/samba/smb.conf необходимо добавить строчку

Код: [Выделить]

netbios name = DOMAIN #короткий вариант имени доменаУ меня это вызвало недоумение - напомню, что по умолчанию в данном параметре указывается короткий вариант названия машины, которая подключается к домену. Возможно, что я что то не знаю или неправильно что то понимаю, ну да пусть... Но только после добавления данной строчки именно в таком виде, возникает другая ошибка:

Код: [Выделить]

# net ads join -U username -D DOMAIN.RU -S DC01
Failed to join domain: User specified does not have administrator privileges
В данном случае ошибка сообщает мне, что указанный пользователь не обладает правами администратора. Да это действительно так, и моя учетка не обладает правами доменного администратора, однако у моей учетки есть право присоединения компьютера к домену (что с легкостью проверяется на Windows машинах). В частности напомню, что сервис likewise-open с легкостью присоединяет Ubuntu к домену с использованием этой же учетной записью.

Еще раз прошу помощи.

[bibliary]

А бавляете в домен из-под рута?

[тов. Новичок]

естественно

Код: [Выделить]

$ sudo -i
# net ads join -U username -D DOMAIN.RU -S DC01


[bibliary]

Попробуй этот мануал, я как то им пользовался и у меня все нормально бибикало. Как вариант, то надо учетку если есть возможность на время в группу администраторов в домене добавить.

[тов. Новичок]

Попробуй этот мануал

Уже пробовал. Ошибка та же.
Если netbios машины прописать как положено или вообще игнорировать его, то проблема та же (про шифрование).
Если прописать netbios name = DOMAIN, то ругается что пользак не админ домена.

Как вариант, то надо учетку если есть возможность на время в группу администраторов в домене добавить.

Вогнать учетку в группу админов домена не могу, так как уже писал - основной контролер домена находиться в ЦО, у нас в филиале только в режиме RO. И кстати, в группе Администраторов домена только одна учетка - и та встроенная, которой (насколько я знаю) никто не пользуется (или только в крайних случаях). Для разных уровней доступа созданы различные группы. Например, моя учетка входит в группу администраторов филиала и обладает правами локального админа машин внутри контейнера филиала в дереве AD, а так же задавать политики на пользователей данного контейнера, создавать группы внутри контейнера, вгонять выгонять в домен машины внурти контейнера (для чего следует сначала создать учетку компа в контейнере филиала, создавать учетки пользаков и распихивать их по группам внутри контейнера. Но! В группу админа домена я ни себя и ни какую другую учетку добавить не смогу. И ни кто ее не добавит в эту группу. Следовательно другой вопрос возник:
Неужели необходимо обладать правами встроенной учетной записью администратора домена что бы вогнать машину через Samba в домен?

[bibliary]

Вогнать учетку в группу админов домена не могу, так как уже писал - основной контролер домена находиться в ЦО, у нас в филиале только в режиме RO. И кстати, в группе Администраторов домена только одна учетка - и та встроенная, которой (насколько я знаю) никто не пользуется (или только в крайних случаях). Для разных уровней доступа созданы различные группы. Например, моя учетка входит в группу администраторов филиала и обладает правами локального админа машин внутри контейнера филиала в дереве AD, а так же задавать политики на пользователей данного контейнера, создавать группы внутри контейнера, вгонять выгонять в домен машины внурти контейнера (для чего следует сначала создать учетку компа в контейнере филиала, создавать учетки пользаков и распихивать их по группам внутри контейнера. Но! В группу админа домена я ни себя и ни какую другую учетку добавить не смогу. И ни кто ее не добавит в эту группу. Следовательно другой вопрос возник:
Неужели необходимо обладать правами встроенной учетной записью администратора домена что бы вогнать машину через Samba в домен?

Судя по тому что ты описал, при присоединении к домену Ubuntu стучиться к контроллеру домена в Центральный оффис. А там твои права ограничены, посему такие ошибки и вываливаются.

[тов. Новичок]

Именно туда то он и должен стучаться. У нас в филиале DC в режиме RO. То есть он существует только что бы отдавать инфу в филиал, выдавать тикеты, и т.п.

Все настройки в AD делаются в DC в ЦО. Именно там у меня такие права. После репликации основного DC c RODC информация становиться доступной в филиале.

То есть я естественно вгоняю компы в DC в ЦО. После репликации с RODC данные компы начинают авторизоваться на RODC и тем снижая нагрузку на сеть (на канал, который соединяет нас с ЦО).

Таким образом я обладаю перечисленными правами на основном DC. Но из за того, что RODC недоступен для изменений, следует сначала создавать учетку для компьютера в контейнере филиала в дереве AD на DC. После это ждать когда пройдет репликация с RODC. После этого подключать машину к Домену. После подключения, машина привязывается к созданной учетной записи и авторизуется в RODC.

Во всяком случае так происходит с win-машинами. Они легко подключаются к уже созданным учеткам в домене. Учетка для Ubuntu машины так же создана и реплецированна. Ошибка на убунте непонятна. Кроме того, не забывайте, что все же netbios name должен быть коротким именем машины а не домена.

[тов. Новичок]

Самое идиотское, что net ads testjoin выдает Join is OK, хотя при этом машина разумеется не присоединилась к домену.

[Immortal.1986]

Не знаю поможет или нет но глянь может надо добавить такое?!?!

В днс зоны прямого и обратного преобразования

$TTL 3h
@ SOA gate root.gate 1 1d 12h 1w 3h
        NS gate
gate A 172.16.21.1
_kerberos._udp SRV 01 00 88 gate
_kerberos._tcp SRV 01 00 88 gate
_kpasswd._udp SRV 01 00 464 gate
_kerberos-adm._tcp  SRV 01 00 749 gate
_kerberos TXT DOMAIN.RU


Кстате посмотри время может у тебя большая разница во времени по этому не как!синхронизируй мб поможет

ntpdate

[uid0]

Самое идиотское, что net ads testjoin выдает Join is OK, хотя при этом машина разумеется не присоединилась к домену.

А если при таком ответе выполнить wbinfo -g

[тов. Новичок]

Выводит список как будто в домене. Но в дереве AD учетка для данного компа с ним не связана, а после перезагрузки машинки связь пропадает.

Посмотрел с помощью онлайн переводчика западные ресурсы. У самого с языком проблемы, поэтому возможно что то не так понял. Там были такие же проблемы в больших сетях (напомню, что у меня большая сеть, а авторизация машин моего сегмента происходит в AD на DC в режиме RO). Вроде пишут что проблема из да DC в RO. Будто бы 3-я самба не умеет через посредника регистрироваться напрямую в RWDC, а RODC ее в домен принять просто не в состоянии, поэтому и ответ об отсутствии прав.

Напомню, что с помощью likewise-open машинка прекрасно добавляется в домен (что подтверждает права моей учетки о вводе машин в домен), но заставить likewise-open работать с самбой мне не удалось.

На данный момент решение интеграции самба в подобной мне сети не нашел. Временно создал на этом файловом серваке несколько учеток с различными правами. Самбу прописал к определенным IP (что бы чужой не смог просто так залезть). Пользакам прописал пути до шар с сохранением пароля (который знаю только я и мой коллега по IT).

То есть получилось что если пользаку нужно доступ на чтение, то ему сохраняем пару (логин+пароль) для чтения. Другому для записи и т.д. На самбе их IP, в iptables так же. Безопасность конечно немного хромает, но пока так. Буду ждать 4-ю самбу, где вроде это должны решить, или может это допилят в 3-ей. На данный момент вопрос можно закрыть, хотя и решенным его считать тоже не стоит.

Всем спасибо за участие, но если возникнут новые идеи - пишите, обязательно все опробую. Если самостоятельно найду решение, так же отпишусь. Спасибо.

[Conservator]

Ваша проблема не связана с client ldap sasl wrapping = sign

____

[тов. Новичок]

Ваша проблема не связана с client ldap sasl wrapping = sign

Если честно, то уже забыл про данную тему. Из ЦО пришли NAS от QNAP, которые одним кликом вогнались в домен (присоединились в DC01 игнорируя RODC01). Но проблема все еще актуальна, мало ли - может на будущее возьму на вооружение.

И хотя с озвучивания темы прошел уже достаточно большой срок, а тот сервер, на который была возложена данная работа, отработал без единого нарекания до замены на NAS, все равно было бы интересно докопаться до истинны.

Быть может на актуальной версии Ubuntu 12.04LTS данная проблема уже решена. С другой стороны, уже вышла Samba4 как Stable. Но все же, прошу озвучить Вашу версию. При наличии свободного времени попробую воспроизвести ту же ситуацию. Но к сожалению, время такое появится не раньше середины февраля.

[tolik75]

Прочитал вашу тему "Ошибка: Интеграция Samba и AD", сложилось впечатление, что я работаю в аналогичном филиале той же организации... Недавно тоже столкнулся с подобной необходимостью ввести Linux в домен под WIN2008 (структура домена вся как описываете). Дистрибутив, правда я выбрал CentOS 5.9, который был под рукой. После некоторых проб и ошибок, пришел к выводу, что samba нужна версии не ниже 3.X (с моим дистрибом ставилась 2.X которая ранее прекрасно работала с Win2003). В общем моя машинка в домен входит, пользователей авторизует и т.д. Задача у меня была не для файл-сервера поэтому с доступом к файлам (acl) не разбирался... Если будет интерес могу показать конфиги.

P.s. Параметр netbios name = DOMAIN в моем случае выдает аналогичную ошибку о правах пользователя.