HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[chain]

вот погляди
http://www.opennet.ru/base/net/squid_ldap_ad.txt.html

[zhenyok]

Скачал, установил и настроил по howto ubuntu 6.06.1. Работает, как и 6.10...
7.04, 7.10 - нефига. В чём же может быть дело? Куда копать?

[chain]

слуш, какая-то фигня, у всех работает, а у тебя нет... давай по шагам с конфигами, как ты подключаешь

[cactys]

Ребят! Я уже и не знаю что делать! Я 1 машину ввел в домен, решил в ручную еще вторую ввести... Не выходит! + еще и первая машина не логиница в контролере....
Вот что выдает при соединение к домен:

root@1n12:/# ping 1n.domain.net
PING 1n.domain.net (10.50.3.4) 56(84) bytes of data.
64 bytes from 1n.domain.net (10.50.3.4): icmp_seq=1 ttl=128 time=0.398 ms

--- 1n.aleksinvest.net ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.398/0.398/0.398/0.000 ms
root@1n12:/# kinit 1n12@1N.DOMAIN.NET
Password for 1n12@1N.DOMAIN.NET:
root@1n12:/# klis
-bash: klis: команда не найдена
root@1n12:/# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: 1n12@1N.DOMAIN.NET

Valid starting     Expires            Service principal
03/27/08 11:17:54  03/27/08 17:57:54  krbtgt/1N.DOMAIN.NET@1N.DOMAIN.NET


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
root@1n12:/# net ads join -U 1n12@1N.DOMAIN.NET
1n12@1N.DOMAIN.NET's password:
Failed to join domain: Operations error

[chain]

сделай перед входом в домен kdestroy
и вобще билет кербероса просто для проверки настроек получают с помощью kinit, не обязательно при вводе в домен этим пользоваться

[zhenyok]

слуш, какая-то фигня, у всех работает, а у тебя нет... давай по шагам с конфигами, как ты подключаешь

1.Устанавливаю пакеты samba smbfs winbind libpam-mount
2.Создаю папку /home/LAN

3.Редактирую файл /etc/hosts

Код: [Выделить]

127.0.0.1 dd.lan.local localhost dd
192.168.0.200 dc.lan.local
192.168.0.201 dc1.lan.local
192.168.0.1 gateway.lan.local
4.Редактирую /etc/default/ntpdate

Код: [Выделить]

NTPDATE_USE_NTP_CONF=yes
NTPSERVERS="dc.lan.local"
NTPOPTIONS=""
5.Редактирую /etc/default/rcS

Код: [Выделить]

TMPTIME=0
SULOGIN=no
DELAYLOGIN=no
UTC=no
VERBOSE=no
FSCKFIX=no
6.Создаю скрипт /etc/network/if-up.d/winbr

Код: [Выделить]

#!/bin/sh
/etc/init.d/winbind restart
7.Присваиваю ему права запуска chmod  +x /etc/network/if-up.d/winbr

8.Редактирую /etc/samba/smb.conf

Код: [Выделить]

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = LAN
server string = %h server (Samba, Ubuntu)
wins support = no
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.0.200 192.168.0.201
realm = LAN.LOCAL
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0
9.Даю команду на синхр времени /etc/network/if-up.d/ntpdate

10.Даю команду на перечитку конфигурации /etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start

11.Ввожу машину в домен

Код: [Выделить]

root@dd:~# net ads join -U ivanov_ii@LAN.LOCAL
ivanov_ii@LAN.LOCAL's password:
Using short domain name -- LAN
Joined 'DD' to realm 'LAN.LOCAL'
root@dd:~#
12.Редактирую /etc/pam.d/common-account

Код: [Выделить]

account sufficient pam_winbind.so
account required pam_unix.so
13.Редактирую /etc/pam.d/common-auth

Код: [Выделить]

auth required pam_mount.so
auth optional pam_group.so
auth sufficient pam_unix.so nullok_secure  use_first_pass
auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth required pam_deny.so

14.Редактирую /etc/pam.d/common-password

Код: [Выделить]

password sufficient pam_unix.so nullok obscure md5
password sufficient pam_winbind.so
15.Редактирую /etc/pam.d/common-session

Код: [Выделить]

session required pam_winbind.so
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session optional pam_foreground.so

16.Редактирую /etc/pam.d/gdm

Код: [Выделить]

#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_env.so
@include common-auth
@include common-account
session required pam_limits.so
@include common-session
#session required pam_mount.so use_first_pass
@include common-pammount
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password
17.Редактирую /etc/pam.d/sudo

Код: [Выделить]

#%PAM-1.0
auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth required pam_deny.so
@include common-account
18.Редактирую файл /etc/nsswitch.conf

Код: [Выделить]

passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns
networks: files dns
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: files winbind

19.Редактирую /etc/security/group.conf

Код: [Выделить]

*;*;*;Wk0900-2200;adm,audio,scanner,lpadmin
*;*;usysop;Al0000-2400;adm,audio,scanner,cdrom,floppy,plugdev,admin,dip,video,netdev,lpadmin,powerdev
*;*;ivanov_ii@lan.local;Al0000-10080;adm,audio,scanner,cdrom,floppy,plugdev,admin,dip,video,netdev,lpadmin,powerdev
20.Редактирую /etc/security/pam_mount.conf

Код: [Выделить]

debug 0
mkmountpoint 1
fsckloop /dev/loop7

options_allow nosuid,nodev,loop,encryption,fsck
options_require nosuid,nodev

lsof /usr/bin/lsof %(MNTPT)
fsck /sbin/fsck -p %(FSCKTARGET)
losetup /sbin/losetup -p0 "%(before=\"-e\" CIPHER)" "%(before=\"-k\" KEYBITS)" %(FSCKLOOP) %(VOLUME)
unlosetup /sbin/losetup -d %(FSCKLOOP)
cifsmount /bin/mount -t cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o "user=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"

smbmount /usr/bin/smbmount   //%(SERVER)/%(VOLUME) %(MNTPT) -o "username=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"
ncpmount /usr/bin/ncpmount   %(SERVER)/%(USER) %(MNTPT) -o "pass-fd=0,volume=%(VOLUME)%(before=\",\" OPTIONS)"
smbumount /usr/bin/smbumount %(MNTPT)
ncpumount /usr/bin/ncpumount %(MNTPT)
fusemount  /sbin/mount.fuse    %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
fuseumount /usr/bin/fusermount -u %(MNTPT)

umount /bin/umount %(MNTPT)

lclmount /bin/mount -p0 -t %(FSTYPE) %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
cryptmount /bin/mount -t crypt "%(before=\"-o\" OPTIONS)" %(VOLUME) %(MNTPT)
nfsmount /bin/mount %(SERVER):%(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
mntagain /bin/mount --bind %(PREVMNTPT) %(MNTPT)
mntcheck /bin/mount # For BSDs (don't have /etc/mtab)
pmvarrun /usr/sbin/pmvarrun -u %(USER) -o %(OPERATION)
volume * cifs gateway setup /media/gateway/G/Setup uid=&,gid='domain users',dir_mode=0751,domain=LAN,iocharset=utf8,codepage=866 - -
volume * cifs gateway documents /media/gateway/G/Документы uid=&,gid='domain users',dir_mode=0751,domain=LAN,iocharset=utf8,codepage=866 - -
volume * cifs gateway other /media/gateway/G/Разное uid=&,gid='domain users',dir_mode=0751,domain=LAN,iocharset=utf8,codepage=866 - -
21.Перезагружаю компьютер

[OH]

Это конечно уже не смешно, но net ads join -U name password -> no logon servers и все тут...

[Denis Konstantinov]

Это конечно уже не смешно, но net ads join -U name password -> no logon servers и все тут...

это проблема с dns
нужно указывать dns сервер контроллера домена.

[OH]

Указан.
В resolv.conf > domain my.domain.ru
                      search my.domain.ru
                      nameserver 192.168.0.1
                     

[chain]

zhenyok, ты видимо читал невнимательно howto , посмотри, что у тебя с pam_mount, зачем дважды задано создавать домашнюю директорию?
это во первых
во вторых, попробуй сделать, как у меня для начала, сделай домашнюю директорию пользователя локально, закомментируй все подключения из /etc/security/pam_mount.conf   и попробуй авторизоваться
если все пройдет удачно, раскомментируй строку с сетевыми подключениями и проверь вход, не пойдет - смотри где неправильно наваял, или пиши сюда, будем разбираться
если все будет удачно, пробуй делать домашнюю директорию на шаре

ОН, проверь пинг до контроллера по имени, если пингуется, покажи samba.conf

[OH]

пинг есть и по ip и по имени - все отлично.
конфиг самбы ctrl-c - ctrl-v с первой страницы.

[OH]

единственное, что realm = MY.DOMAIN.RU, а не DOMAIN.RU

[Lerik-Co]

mcedit /etc/security/group.conf

# the syntax of the lines is as follows:
#
#       services;ttys;users;times;groups
#для пользователей.
*;*;*;Wk0900-2200;adm,audio,scanner,lpadmin

#для админов.
*;*;usysop;Al0000-2400;adm,audio,scanner,cdrom,floppy,plugdev,admin,dip,video,netdev,lpadmin,powerdev
*;*;admin-domena;Al0000-2400;adm,audio,scanner,cdrom,floppy,plugdev,admin,dip,video,netdev,lpadmin,powerdev

Первый параметр сервис, для нас это любой будет, второй терминал (консоль или терминал),
Третий это имя пользователя домена!, четвертый это разрешенное время входа для этого пользователя. Пятый параметр это локальные группы.

А нельзя сюда как-нть внести имя доменной группы, а не доменного пользователя? А то имя пользователя может (и будет) со временм измениться...

[booratino]

всем здря! а вот пробовал по мануалу от quizz, но что то у меня он не логинется никак... тока локально..
чем все это отличается? везде пишут что пример в хаюту рабочий, тока заменяй на свои имена... однако хрен (((
...может я где накосипорил?
я вот подвисал в моментах как netbios name ... чье имя? домена или мое? если не мое, то наверно dc.mydomain.ru ? а то я как то колебаюсь в правильности...

[chain]

а что за мануал от quizz?