HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[tubo]

У меня точно такая же проблема, как и у KateKate - на команду "net ads join -U admin" выдаётся ошибка "Failed to join domain: failed to find DC for domain". Я делал всё по инструкции с первой страницы, все симптомы такие же как и у KateKate до Ответа #335 . Сделал как требуется файлы nsswitch и hosts и прочие. Но результата никакого.

[chain]

обычно в трех случаях проблема, синхронизация времени c контроллером домена, неправильный /etc/hosts или /ets/resolv.conf

[tubo]

обычно в трех случаях проблема, синхронизация времени c контроллером домена, неправильный /etc/hosts или /ets/resolv.conf

Да, вы оказались правы. На последок я решил добавить в /etc/resolv.conf строчку "nameserver" с указанием на контроллер домена. Но я не помню чтобы здесь писалось о том что это нужно делать. В общем произошло чудо и на экране появились долгожданные строчки
Using short domain name – DOMAIN
Joined  ‘namepc'  to realm ‘DOMAIN.RU'

Но, правда, ниже этих строк появились ещё пара строк, почти как у KateKate:

Код: [Выделить]

libads/kerberos.c:ads_kinit_password(365)
kerberos.c:ads_kinit_password MY_HOSTNAME@DOMAIN.DOMAIN failed: Client not found in Kerberos database
DNS update failed!
Я старался всё делать по инструкции с первой страницы этой темы форума. Так что перед тем как дать команду net join, никаких манипуляций с Kerberos я не делал. Сейчас посмотрю в инструкции что делать дальше.

Кстати, а никто не знает как на стороне Linux вывести компьютер из домена? Так, на всякий случай. Я посмотрел хелп команды net, но что-то не нашёл там ничего.

[tubo]

Блин! После перезагрузки Ubuntu Server, который вводился в домен, появился такой глюк: при входе в систему, после ввода логина, появляется надпись Login incorrect и снова предлагается ввести логин. Даже не спрашивает пароль (при нормальной работе спрашивает даже если логин неверный). То есть я теперь не могу залогиниться. Что делать не знаю. Искал инфрмацию по этой проблеме в интете, но подходящего ответа не нашёл. Я отредактировал файлы в каталоге /etc/pam.d СТРОГО как указано в здешней инструкции. Наверное что-то нарушилось именно в связи с этим. Попробую вернуть всё обратно...

Но что же не так?

[tubo]

Да, вернул оригинальные файлы /etc/pam.d/common-* и глюк исчез, но теперь почему-то после ввода пары логин-пароль система задумывается на секунд 15 и только потом пускает.

[chain]

ну секунд на 15 это ты загнул наверно, но вобще авторизация не мгновенно проходит

[tubo]

Сейчас замерил секундомером - 7 секунд. Это не много, но всё равно есть некое отклонение от обычного "поведения".

[chain]

то есть в домене авторизацию проходит нормально, просто долго? а если не перегружать машину а сеанс перезапустить?

[AlexShap]

Народ помогите. Делал все по инструкции... Ubuntu 8.10 в домен WINDOWS 2003 R2 входит. все хорошо. Но я хотел бы чтобы домашние директории хранились на сервере. Монтирую их через pam_mount вроде все монтируется, файлы настроек создаются в директории на сервере. Но не работают программы... Тот же OpenOffice ругается на внутреннюю ошибку. Я так полагаю что проблема с правами. Что где прописать подскажите. Неделю уже мучаюсь.

В винде права даны всем полные. Я уже пробовал создать раздел ext2 на сервере и подключал его там через драйвер www.fs-driver.org/ . Но проблема не решилась. Вот мои конфиги:

------------------------------------------
smb.conf

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = MARKIZ
server string = %h server (Samba, Ubuntu)
wins support = no
; и прописать wins сервер
wins server = 192.168.0.25

dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d

security = ads

password server = 192.168.0.25

 
realm = MARKIZ.MZ 
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword                                                                              :* %n\n *passwd:*password\supdated\ssuccessfully* .


socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes

template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2

create mask = 0777
create mode = 0777
directory mode = 0777
directory mask = 0777


domain master = no
local master = no
preferred master = no
os level = 0

-----------------------------------------------------------------------------------

nsswitch.conf

----------------------------------------------------------------------------------

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       files winbind

--------------------------------------------------------------------------------------

krb5.conf

-------------------------------------------------------------------------------------
[libdefaults]
   default_realm = MARKIZ.MZ

# The following krb5.conf variables are only for MIT Kerberos.
   krb4_config = /etc/krb.conf
   krb4_realms = /etc/krb.realms
   kdc_timesync = 1
   ccache_type = 4
   forwardable = true
   proxiable = true

   v4_instance_resolve = false
   v4_name_convert = {
      host = {
         rcmd = host
         ftp = ftp
      }
      plain = {
         something = something-else
      }
   }
   fcc-mit-ticketflags = true

[realms]
   MARKIZ.MZ = {
      kdc = SERVMZ.MARKIZ.MZ
      admin_server = SERVMZ.MARKIZ.MZ
   }

[domain_realm]
   .MARKIZ.MZ = MARKIZ.MZ
   MARKIZ.MZ = MARKIZ.MZ

[login]
   krb4_convert = true
   krb4_get_tickets = false

-------------------------------------------------------------------------------------

common-account
-------------------------------------------------------------------------------------

account sufficient        pam_winbind.so
account required        pam_unix.so

-------------------------------------------------------------------------------------

common-auth

-------------------------------------------------------------------------------------
auth    required        pam_mount.so
auth    optional        pam_group.so

auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug use_first_pass
auth    sufficient      pam_unix.so nullok_secure
auth    required        pam_deny.so

-------------------------------------------------------------------------------------

common-pammount

-------------------------------------------------------------------------------------
auth       optional   pam_mount.so try_first_pass
session    optional   pam_mount.so try_first_pass
-------------------------------------------------------------------------------------

common-password
-------------------------------------------------------------------------------------
password   sufficient   pam_unix.so nullok obscure md5
password sufficient pam_winbind.so
-------------------------------------------------------------------------------------

common-session

-------------------------------------------------------------------------------------
session required        pam_winbind.so
session required        pam_unix.so
session optional        pam_foreground.so
-------------------------------------------------------------------------------------

gdm

-------------------------------------------------------------------------------------

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so

@include common-auth
@include common-account
session required        pam_limits.so
@include common-session
@include common-pammount

session required        pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password
-------------------------------------------------------------------------------------

И наконец pam_mount.conf.xml

-------------------------------------------------------------------------------------

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
   See pam_mount.conf(5) for a description.
-->

<pam_mount>


      <!-- Volume definitions -->


      <!-- pam_mount parameters: General tunables -->

<debug enable="0" />
<!--
<luserconf name=".pam_mount.conf.xml" />
-->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,iocharset" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />
<path>/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/sbin:/usr/local/bin</path>


      <!-- pam_mount parameters: Volume-related -->

<fsckloop device="/dev/loop7" />
<mkmountpoint enable="1" remove="true" />


      <!-- pam_mount parameters: Auxiliary programs -->

<fd0ssh>pmt-fd0ssh</fd0ssh>

<fsck>fsck -p %(FSCKTARGET)</fsck>

<lsof>lsof %(MNTPT)</lsof>

<!-- mntcheck utility for BSDs which lack /etc/mtab -->
<mntcheck>mount</mntcheck>

<pmvarrun>pmvarrun -u %(USER) -o %(OPERATION)</pmvarrun>


      <!-- pam_mount parameters: Mount programs -->

<!-- On OpenBSD try "/usr/local/bin/mount_ehd" (included in pam_mount
package). -->
<lclmount>mount -p0 -t %(FSTYPE) %(VOLUME) %(MNTPT)
   "%(ifnempty=\"-o\" OPTIONS)" %(OPTIONS)</lclmount>

<umount>umount %(MNTPT)</umount>

<losetup>losetup -p0 "%(before=\"-e\" CIPHER)"
   "%(ifnempty=\"-k\" KEYBITS)" %(KEYBITS) %(FSCKLOOP) %(VOLUME)</losetup>

<unlosetup>losetup -d %(FSCKLOOP)</unlosetup>

<cifsmount>mount -t cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o
    "user=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"</cifsmount>

<cryptmount>mount.crypt "%(ifnempty=\"-o\" OPTIONS)" %(OPTIONS)
   %(VOLUME) %(MNTPT)</cryptmount>

<davmount>mount -t davfs %(SERVER)/%(VOLUME) %(MNTPT) -o
   "username=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\"
   OPTIONS)"</davmount>

<fusemount>mount.fuse %(VOLUME) %(MNTPT)
   "%(ifnempty=\"-o\" OPTIONS)" %(OPTIONS)</fusemount>

<fuseumount>fusermount -u %(MNTPT)</fuseumount>

<ncpmount>ncpmount %(SERVER)/%(USER) %(MNTPT) -o
    "pass-fd=0,volume=%(VOLUME)%(before=\",\" OPTIONS)"</ncpmount>

<ncpumount>ncpumount %(MNTPT)</ncpumount>

<nfsmount>mount %(SERVER):%(VOLUME) %(MNTPT)
   "%(ifnempty=\"-o\" OPTIONS)" %(OPTIONS)</nfsmount>

<smbmount>smbmount //%(SERVER)/%(VOLUME) %(MNTPT) -o
    "username=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"</smbmount>

<smbumount>smbumount %(MNTPT)</smbumount>

<!-- Only for truecrypt 4.x -->
<truecryptmount>truecrypt %(VOLUME) %(MNTPT)</truecryptmount>

<truecryptumount>truecrypt -d %(MNTPT)</truecryptumount>

<volume fstype="cifs" server="servmz" path="LINUXUSERS/%(USER)"
mountpoint="~" options="iocharset=utf8,codepage=cp866,dir_mask=0755,fdisk=755,workgroup=MARKIZ" />

</pam_mount>

-------------------------------------------------------------------------------------


Ну очень срочно нужна ваша помощь. Кто делал отзовитесь, пожалуйста.

[chain]

попробуй монтировать с параметром nounix
кста codepage=cp866 можешь убрать, устарело и не учитывается

[AlexShap]

попробуй монтировать с параметром nounix
кста codepage=cp866 можешь убрать, устарело и не учитывается

Так с этим параметром что не будут права проверятся на запись? Вообще правильно я понял что у меня проблема с монтированием? И еще где бы прочесть про все эти опции. man pam_mount.conf не выдает этого....

Кстати если уберу codepage=cp866 то в винде русские директории крякозябрами...

[chain]

будут, но по другому
без прав - это параметр noperm насколько я понимаю
а без каркозябр - iocharset=utf8 должно работать

[AlexShap]

nounix

не помогло. Я так думаю надо сопоставить группы правильно вот что у меня:

Команда  net groupmap list выдает.

Administrators (S-1-5-32-544) -> BUILTIN\administrators
Users (S-1-5-32-545) -> BUILTIN\users

А права на создаваемые папки и файлы:

ls -la
итого 15
drwxr-xr-x 1 ira пользователи домена    0 2008-12-03 13:45 .
drwx--x--x 3 ira пользователи домена 4096 2008-12-03 13:44 ..
drwxr-xr-x 3 ira пользователи домена    0 2008-12-03 13:44 .cache
drwxr-xr-x 1 ira пользователи домена    0 2008-12-03 13:44 .config
drwxr-xr-x 3 ira пользователи домена    0 2008-12-03 13:44 .dbus
-rwxrwSrwx 1 ira пользователи домена   28 2008-12-03 13:44 .dmrc
-rwxrwSrwx 1 ira пользователи домена   16 2008-12-03 13:44 .esd_auth
drwxr-xr-x 1 ira пользователи домена    0 2008-12-03 13:44 .gconf
drwxr-xr-x 1 ira пользователи домена    0 2008-12-03 13:46 .gconfd
drwxr-xr-x 1 ira пользователи домена    0 2008-12-03 13:46 .gnome2
drwxr-xr-x 1 ira пользователи домена    0 2008-12-03 13:44 .gnome2_private
drwxr-xr-x 2 ira пользователи домена    0 2008-12-03 13:44 .gnupg


Как мне сопоставить пользователей?

[AlexShap]

Сопоставил:

ls -la
итого 18
drwxr-xr-x 1 marina usersdomen    0 2008-12-03 16:13 .
drwx--x--x 5 genna  usersdomen 4096 2008-12-03 16:12 ..
-rwxrwSrwx 1 marina usersdomen    6 2008-12-03 16:13 .bash_history
drwxr-xr-x 1 marina usersdomen    0 2008-12-03 16:12 .cache
drwxr-xr-x 1 marina usersdomen    0 2008-12-03 16:12 .config
drwxr-xr-x 3 marina usersdomen    0 2008-12-03 16:12 .dbus
-rwxrwSrwx 1 marina usersdomen   28 2008-12-03 16:12 .dmrc
-rwxrwSrwx 1 marina usersdomen   16 2008-12-03 16:12 .esd_auth

 net groupmap list
usersdomen (S-1-5-21-893812710-613816653-2757553637-1001) -> users
Administrators (S-1-5-32-544) -> BUILTIN\administrators
Users (S-1-5-32-545) -> BUILTIN\users

И все равно не работает.... что делать?

Будет ли вообще работатьс если домашние директории хранятся на windows 2003 r2 на разделе ntfs?
Всю голову сломал помогите советом хотябы....

[vadim-nsk]

я так понял что у вас руссифицированный w2k3 поэтому правильно сопостовлять надо было по другому, а именно:
"пользователи домена"->users
"администраторы домена"->adm
Встроенные группы на контролере домена маленько не то. У вас в первом случае вроде правильно было, только группа "пользователи домена" не была связана с юниксовой группой.