HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[booratino]

JohnRD
а в /etc/resolv.conf  что написано

[JohnRD]

booratino
john@radionov-eal:~$ cat /etc/resolv.conf
search domain.local
nameserver 192.168.52.5
john@radionov-eal:~$

[booratino]

nameserver 192.168.52.5 это есть днс?
у меня нет поиска домен.локала

[JohnRD]

нашел Ёлки

Ok, just disabled avahi through network configuration tool...
Now i can access my local ftp/http server with fqdn again! Ping does also work again!
Don't know anything about avahi, but deactivated it seems to be a working workaround.
Hope that someone with detailed information about avahi could solve this bug.

кильнул и пошел пиннг
что за дрянь
Мультикаст ДНС какойто........

[Fimir]

Методом тыка обнаружил интересную деталь... поправьте меня, если это было в 7.10
Ощущение, что что-то не так с sudo, точнее с его использованием. Нпр вот тот же файл smb.conf в обычном режиме даже не читается, а я практически уверен, что cups пытается его читать БЕЗ sudo и поэтому не может открыть, ссылаясь на отсутствие доступа...

Кто-то может подтвердить/опровергнуть?

UPD: туда же. Уже говорил, что не вижу папок на сервере, хотя вижу сам сервер. При этом наутилус никаких паролей не спрашивает. А вот Гном-Коммандер спросил -- и тут же получил все папки в своём нормальном виде.

Где грабли? sudoers?

[JohnRD]

скажите пожалуйста что за строка в /etc/samba/smb.conf

Код: [Выделить]

passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword                                                                              :* %n\n *passwd:*password\supdated\ssuccessfully* .
что за пробелы так и должно быть??

и почему после заведения в домен, в домене роль машины - Domain Controller ??

[Fimir]

2 JohnRD

Ммм, а зачем оно? В моей версии smb.conf этого параметра вообще нет.

[konstantin81]

заработала
и после net ads join  получаю
Using short domain name -- DONALD
Joined 'MIKKY-DESKTOP' to realm 'DUCK.COM'

гм... я уже по другому всё попробовал, другая проблемва, так как вы говорите realm тоже писал, разницы нет:

cat /etc/krb5.conf
[libdefaults]
ticket_lifetime = 24000
dns_lookup_realm = false
dns_lookup_kdc = false
forwardable = yes
default_realm = CONTORA.RU

[realms]
CONTORA.RU = {
kdc = 192.168.1.5:88
admin_server = 192.168.1.5:749
default_domain = contora.ru
}

[domain_realm]
        .contora.ru = CONTORA.RU
         contora.ru = CONTORA.RU
[login]
default = FILE:/var/log/krb5.log

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

cat /etc/samba/smb.conf
[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = FIRMA
server string = %h server (Samba, Ubuntu)
; У кого есть wins можете включить   wins support = no
; и прописать wins сервер
; wins server = 192.168…

dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
# вот тут мы показываем, что используем AD
security = ads
auth methods = winbind
# если стоит * то samba сама будет искать домен контроллер через dc, или же можно перечислить их IP адреса через пробел в явном виде. Или указать один #IP для того dc на котором хотите авторизоваться. Для отказоустойчивости лучше указать несколько dc или *
password server = 192.168.1.5
realm = CONTORA.RU  #Внимание realm пишется большими буквами !!!
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword                                                                              :* %n\n *passwd:*password\supdated\ssuccessfully* .


socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
winbind separator = + # недавно добавил из рук-ва altlinux
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
#домашняя папку у пользователя будет в папке с именем домена. Лучше ее создать заранее вручную.
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
# строки ниже, чтобы рабочая станция не пыталась стать обозревателем в сети.
domain master = no
local master = no
preferred master = no
os level = 0

[konstantin81]

ах да, пишет kinit Admin@FIRMA.contora.ru
kinit(v5): Cannot find KDC for requested realm while getting initial credentials

после собаки и FIRMA и CONTORA.RU пробовал.

[JohnRD]

Fimir
вот в конфиге konstantin81 тоже есть, это из инструкции с 1й страницы..

[Fimir]

ах да, пишет kinit Admin@FIRMA.contora.ru
kinit(v5): Cannot find KDC for requested realm while getting initial credentials

после собаки и FIRMA и CONTORA.RU пробовал.

 А ты уверен что по нужному адресу билетик спрашиваешь? Он вообще-то ругается на то, что "кондуктора" найти не может ))
На работу завтра приду -- гляну что меня в керберосе написано

[chain]

JohnRD, обрати внимание на эти строчки
domain master = no
local master = no
preferred master = no
os level = 0
это как раз чтобы машина не пыталась стать домен контроллером

а это
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword
можешь заремить , это смена пароля с машины, которую заводишь, насколько я помню не работает
пробелы там, потому что копи-паст неудачный видимо был

konstantin81, а можно сначала и поподробнее, в смысле описать структуру домена, ну скажем как Windows станцию туда вводить, какие сервисы где расположены на вин серверах
и кстати, зачем вобще керберос?

[Fimir]

2 chain

Без цербера на некоторых настройках серверов не работает )) По крайней мере у меня ругался на что-то, уже не помню, я пробовал как-то.
Короче, мешать -- не мешает, настраивает легко и билетик получать приятно ))

По моим проблемам не подскажешь, раз уж заглянул? Я уже подумываю про откат на 7.10 с добавлением в репы 8.04 и массовую замену пакетов оттуда.... ( Гуглю весь вечер, но тырнет молчит про мои траблы напрочь (

[JohnRD]

chain
спасибо
т.е. то что роль машины в домене -домен котроллер (по мнению домена) это нормально? я заводил в домен уже с этими параметрами..
domain master = no
local master = no
preferred master = no
os level = 0

т.е не реально сделать чтобы роль была как у всех машин?

[mazzo]

всем привет, очень интересная тема.....у меня вопрос - речь идет только о GNOME?..на виртуалке стоит Fluxbuntu (для старых компов нада), настраивал по ману с первой страницы, в /etc/pam.d нет файла gdm, редактировал файл login вместо него (навреняка зря, поэтому резервная копия есть, и файл gdm нашел на домашнем компе, только можно ли его использовать?).....или выкладывать конфиги ?
 к домену присоединился....не заходит под доменной учеткой...