HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[chain]

может потому, что она не расшарена?

[crashcool]

Ребят а как такие ошибки бороть ?
winbindd-dc-connect.log

Код: [Выделить]

[2009/02/18 10:22:01, 1] libsmb/clientgen.c:cli_rpc_pipe_close(387)
  cli_rpc_pipe_close: cli_close failed on pipe \NETLOGON, fnum 0x8009 to machine CORP.  Error was SUCCESS - 0
[2009/02/18 10:22:08, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
А в winbindd.log :

Код: [Выделить]

\
[2009/02/18 10:01:01, 0] libsmb/clientgen.c:write_socket(159)
  write_socket: Error writing 108 bytes to socket 20: ERRNO = Соединение сброшено другой стороной
[2009/02/18 10:01:01, 0] libsmb/clientgen.c:cli_send_smb(189)
  Error writing 108 bytes to client. -1 (Соединение сброшено другой стороной)
[2009/02/18 10:01:01, 1] rpc_client/cli_pipe.c:cli_rpc_pipe_open(2222)
  cli_rpc_pipe_open: cli_nt_create failed on pipe \NETLOGON to machine CORP.  Error was Write error:
Соединение сброшено другой стороной
[2009/02/18 10:16:53, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2009/02/18 10:22:19, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon


Код: [Выделить]

[2009/02/18 10:27:49, 0] rpc_client/cli_netlogon.c:rpccli_netlogon_sam_network_logon(1019)
  rpccli_netlogon_sam_network_logon: credentials chain check failedВ messages.log

Код: [Выделить]

Feb 18 10:27:26 gw-02 winbindd[13047]: [2009/02/18 10:27:26, 0] libsmb/credentials.c:creds_client_check(324)
Feb 18 10:27:26 gw-02 winbindd[13047]:   creds_client_check: credentials check failed.
Feb 18 10:27:26 gw-02 winbindd[13047]: [2009/02/18 10:27:26, 0] rpc_client/cli_netlogon.c:rpccli_netlogon_sam_network_logon(1019)
Feb 18 10:27:26 gw-02 winbindd[13047]:   rpccli_netlogon_sam_network_logon: credentials chain check failed
Feb 18 10:27:49 gw-02 winbindd[13047]: [2009/02/18 10:27:49, 0] libsmb/credentials.c:creds_client_check(324)
Feb 18 10:27:49 gw-02 winbindd[13047]:   creds_client_check: credentials check failed.
Feb 18 10:27:49 gw-02 winbindd[13047]: [2009/02/18 10:27:49, 0] rpc_client/cli_netlogon.c:rpccli_netlogon_sam_network_logon(1019)
Feb 18 10:27:49 gw-02 winbindd[13047]:   rpccli_netlogon_sam_network_logon: credentials chain check failed
При том, что сквид авторизует АДшные учетки

[crashcool]

Вопрос закрыт!
Спасибо.
Необходимо было настроить РАМ авторизацию, а так же сделать ссылки на библиотеки.
Система x64.

[crashcool]

Хммм, поторопился... Так-же сыпятся ошибки

[FedEx]

Доброго времени суток!
Имеется экспериментальная рабочая станция, на которую установлена бета убунты 9.04
При попытке ввода в домен по данному хауту.
Выдается ошибка -

Failed to join domain: failed to join domain 'DOMAIN.RU' over rpc: NT_STATUS_DISK_FULL

Может у кого-то была похожая ошибка? Как боролись?

P.S. Когда вводил в домен Ubuntu 8.10, по этому же хатут все прошло гладко и без проблем.

[Lans Stranger]

Многоуважаемые Господа...
Вопрос в следующем...
Есть 2 шары:
Одна просто файлообменник-мусорка. (create mode = 0777; directory mask = 0777)
А вот со второй проблема:
В домене WIN2K созданы группы по штатному расписанию.
Необходимо что бы записанные фалы или директории читались, писались и правились только одногруппниками.

Для теста создал. Группу AUR внес себя в нее. Но после записи в шару (create mode = 0770; directory mask = 0770) команда ls -l говорит что хозяином каталога являюсь я но группа не AUR а Доменный Админ...

Подскажите что куда прописать, а то мучаюсь уже недели ~3.

PS: Ubuntu server 7.10... В домен вошел без проблем. Файло-обменник-мусорка работает нормально, а вот по группам нежелает. Может что не указал, прошу прощения. Группы и пользователей видит прекрасно с NS.

[Benden]

по поводу редакта sudoers
в указанных местах то что вставляется:
domain-user вставляем туда autoalliance\\benden
%support - %autoalliance\\администраторы^домена
Или достаточно вставить что-то одно?
Простите за тупость, но после 10 часов мозготраха не соображаю

[testik777]

Настраивал Ubuntu 8.04 для сращиванием с AD Win2000 по этой иструкции https://forum.ubuntu.ru/index.php?topic=4776.msg119675#msg119675, отличаются немного только конфиги самбы и кербероса. Машина в домен вошла пользователей и группы домена вижу (через wbinfo). Но нужно смонтировать еще сетевые ресурсы. Они монтируются при входе под пользователем домена, но при выходе из этого сеанса ресурсы не размонтируются. Также когда я из под сеанса линукс пользователя через команду su захожу под доменным пользователем ситуация повторяется и при входе выдается ошибка "id: невозможно определить имя группы для ID 10000". Причем после перезагрузки, когда первый раз вводишь su для доменного пользователя, а затем выходишь, все что нужно разонтируется, а вот дальнейший ввод команды su к такому результату не приводят. Сильное подозрения, что не полностью срастаются группы линукса и домена, и у пользователя домена при выходе просто не хватает прав отмонтировать ресурсы. Файлик group.conf используется.

[wilp]

Доброго дня!

По этому руководству машинку с 8.04.2-server ввел в удаленный домен.
Сейчас я могу заходить на 8.04.2-server под учетками из домена.

К примеру, зашел под доменной учеткой на 8.04.2-server.
В МС, нажимаю F9, SMB link, набираю имя шары на серваке из этого домена.
Мне предлагается вновь ввести ПАРОЛЬ моей доменной учетки. Хотя я же уже вошел под этим доменным логином и паролем на 8.04.2-server?!
Почему у меня запрашивает пароль вновь?

Нужно вот что: есть домен, я не админ домена, только локальный админ.
Необходимо: Создать файловый сервак в этом домене для своих пользователей, чтобы в свои личные папки на этом серваке они заходили под своими доменным учеткам.
Как такое сделать?

[wilp]

Здесь про оффлайн логон:
https://forum.ubuntu.ru/index.php?topic=4776.177
Ответ #177 от Chain

Код: [Выделить]

если прописать возможность офлайн логона, кстати, вещь полезная не только для этого случая:
1) в smb.conf добавить строку: "winbind offline logon = yes"
2) в модуле авторизации common-auth добавить в строку с pam-winbind - "cached-login", чтобы выглядела таким образом:
auth required pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login use_first_pass
если сделать таким образом, то после ввода в домен и прописывания пам-модулей, достаточно перелогониться под доменным юзером, после этого система будет впускать всегда, а виндбинд сам медленно, но верно подниматься. На всякий случай, я всетаки меняю порядок запуска самбы и винбинда после авахи-демона, но имхо это мало помогает.

Это будет действовать на расшаренные папки для доменных пользоватетелей?

[DokaS]

еcли проблемы - настраиваем /etc/resolv.conf

У меня не пингуется ping dc.domain.ru. Подскажите как настроить /etc/resolv.conf? У меня там вот что:
# Generated by NetworkManager
Ну, подскажите пожалуйста, очень надо.
Пользователь решил продолжить мысль 01 Апреля 2009, 23:05:22:root@ubuntu:/home/ars# net ads join -U admin@DOMAIN.RU
Enter admin@DOMAIN.RU's password:
[2009/04/02 11:40:19,  0] libads/kerberos.c:ads_kinit_password(356)
  kerberos_kinit_password admin@DOMAIN.RU@DOMAIN.RU failed: Malformed representation of principal
Failed to join domain: failed to connect to AD: Malformed representation of principal
root@ubuntu:/home/ars#

   Подскажите, что не так?
Пользователь решил продолжить мысль 02 Апреля 2009, 22:55:32:krb5.conf:
[libdefaults]
   ticket_lifetime = 24000
   clock_skew = 300
   default_realm = SZHNO.ARS

# The following krb5.conf variables are only for MIT Kerberos.
   krb4_config = /etc/krb.conf
   krb4_realms = /etc/krb.realms
   kdc_timesync = 1
   ccache_type = 4
   forwardable = true
   proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

#   default_tgs_enctypes = des3-hmac-sha1
#   default_tkt_enctypes = des3-hmac-sha1
#   permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
   v4_instance_resolve = false
   v4_name_convert = {
      host = {
         rcmd = host
         ftp = ftp
      }
      plain = {
         something = something-else
      }
   }
   fcc-mit-ticketflags = true

[realms]
   SZHNO.ARS = {
        kdc = server2003.szhno.ars:88
        admin_server = server2003.szhno.ars:464
        default_domain = SZHNO.ARS
   }

[domain_realm]
   .szhno.ars = SZHNO.ARS
   szhno.ars = SZHNO.ARS
[login]
   krb4_convert = true
   krb4_get_tickets = false
   default = FILE:/var/log/krb5.log
Пользователь решил продолжить мысль 03 Апреля 2009, 00:57:50:root@UbuntuKO:~# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[printers]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
   dos charset = CP866
   display charset = UTF-8
   workgroup = SZHNO
   realm = SZHNO.ARS
   server string = %h server (Samba, Ubuntu)
   security = ADS
   map to guest = Bad User
   obey pam restrictions = Yes
   password server = 192.168.0.250
   passdb backend = tdbsam
   pam password change = Yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Entersnews*spassword:* %n
 *Retypesnews*spassword:* %n
 *passwordsupdatedssuccessfully* .
   unix password sync = Yes
   restrict anonymous = 2
   syslog = 0
   log file = /var/log/samba/log.%m
   max log size = 1000
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   os level = 0
   local master = No
   domain master = No
   dns proxy = No
   wins server = 192.168.0.250
   usershare allow guests = Yes
   panic action = /usr/share/samba/panic-action %d
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind refresh tickets = Yes
   invalid users = root

[printers]
   comment = All Printers
   path = /var/spool/samba
   create mask = 0700
   printable = Yes
   browseable = No

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers

Пользователь решил продолжить мысль 03 Апреля 2009, 03:00:02:/etc/hosts
127.0.0.1   UbuntuKO.szhno.ars localhost UbuntuKO

Пользователь решил продолжить мысль 03 Апреля 2009, 05:05:57:root@UbuntuKO:~#  kinit admin@SZHNO.ARS
Password for admin@SZHNO.ARS:
root@UbuntuKO:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@SZHNO.ARS

Valid starting     Expires            Service principal
04/03/09 09:46:30  04/03/09 16:26:30  krbtgt/SZHNO.ARS@SZHNO.ARS


Kerberos 4 ticket cache: /tmp/tkt0

Пользователь решил продолжить мысль 03 Апреля 2009, 07:07:42:root@UbuntuKO:~# net ads join -U admin@SZHNO.ARS
Enter admin@SZHNO.ARS's password:
[2009/04/03 10:07:15,  0] libads/kerberos.c:ads_kinit_password(356)
  kerberos_kinit_password admin@SZHNO.ARS@SZHNO.ARS failed: Malformed representation of principal
Failed to join domain: failed to connect to AD: Malformed representation of principal

Пользователь решил продолжить мысль 03 Апреля 2009, 09:09:39:root@UbuntuKO:~# net ads join -U yarik@SZHNO.ARS
Enter yarik@SZHNO.ARS's password:
Failed to join domain: Failed to set password for machine account (NT_STATUS_ACCESS_DENIED)

Пользователь решил продолжить мысль 03 Апреля 2009, 11:13:06:
Ну ПАМАГИТЕ!!!!!!!!! Как войти в домен?

[TUTU]

А ты под какой учеткой входишь на Ubuntu?

[DokaS]

Вхожу под левой учеткой, в АД её нет. А что надо создать такую учетку в домене? Ща попробую.

Ничего не выходит.
Теперь не могу расшаривать папки.
Ошибка 255 при запуске 'net usershare': net usershare add: cannot convert name "Everyone" to a SID. Access denied.
Что за хрень?

[OH]

Для тех, кто не читает форум целиком повторюсь в который раз:

ответственно заявляю, что связка самба + АД + совместный доступ к шарам работает неправильно!
при таком раскладе не работают блокировки файлов.
если есть желающие помочь написать разработчикам и объяснить им суть проблемы, то будет здорово.

[Astalavista]

подскажите, как настроить чтобы в случае если основной DC недоступен авторизация проходила на DC2

вроде как нашел ответ

если в сети имеется не только главный КД, но и запасные КД (к примеру, bdc.mydomain.local), то их тоже можно указать в параметре password server через пробел. В этом случае если первичный контроллер домена по какой-либо причине недоступен, самба вполне успешно авторизует пользователя с подачи резервного контроллера домена.