HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[avtor01]

Код: [Выделить]

root@ubuntu:~# net ads join –U administrator
Enter root's password:
Failed to join domain: failed to find DC for domain administrator


Мне помогло указание wins сервера в конфиге самбы.

[zhenyok]

Обнаружил неприятную проблему. на машине с Ubuntu не обновляются данные о пользователе в AD. То есть я добавляю пользователя ivanov_ii в группу Internet. на машине даю команду id ivanov_ii. А его в группе Intenet нет. Рестарт компа не помогает.

[avtor01]

Нужна помощь. Используя данный мануал, я успешно ввел машину в домен и настроил (как мне казалось) PAM для работы под доменной учеткой. Все вроде бы да ничего, вот только нет доступа к административным  утилитам. Например, при вызове users-admin появляется окно "Не удалось загрузить конфигурацию. У вас нет разрешения на доступ к настройке системы".
При этом, программы я устанавливать могу, менеджер пакетов Synaptic меня авторизует, sudo mcedit или sudo su из консоли работает нормально.

Подскажите, в чем могут быть грабли.

PS. Конфигурационные файлы один к одному с мануалом, за единственным отличием -  не удалось добавить в /etc/pam.d/common-session модуль pam_foreground.so - писал в логи, что его не удается найти в системе:

Код: [Выделить]

PAM unable to dlopen(/lib/security/pam_foreground.so): /lib/security/pam_foreground.so: cannot open shared object file: No such file or directory


[zhenyok]

Обнаружил неприятную проблему. на машине с Ubuntu не обновляются данные о пользователе в AD. То есть я добавляю пользователя ivanov_ii в группу Internet. на машине даю команду id ivanov_ii. А его в группе Intenet нет. Рестарт компа не помогает.

Разобрался. Комп редко перегружаю в результате время рассинхронизировалось. Синхронизировал время, удалил всё из /var/cache/samba/, перегрузил самбу и винбинд. заработало. Вот такая штука… теперь придётся ntpd ставить.

[DokaS]

Не знаю, может я такой тупой, но в версии 8.10 так и не смог ввести комп в домен. Просьба к админам написать нормальные HOWTO к разным версиям, если это конечно возможно.
А как обстоят дела с версией 9.04? Никто не пробовал ввести в домен?

[jmur]

Внимание!!!
если при вводе в домен выдаёт такое:

Код: [Выделить]

root@ubuntu:~# net ads join –U administrator
Enter root's password:
Failed to join domain: failed to find DC for domain administrator
то исправьте длинное тире перед U на минус!!!
в правильном варианте здесь должен запрашиваться пароль для имени administrator или какое вы там укажете, а не для root

p.s. админы, исправьте howto, а то все копипейстят и мучаются

[jmur]

Теперь не могу расшаривать папки.
Ошибка 255 при запуске 'net usershare': net usershare add: cannot convert name "Everyone" to a SID. Access denied.
Что за хрень?

Та же фигня.

Если добавлять через коммандную строку

Код: [Выделить]

net usershare add myshare /home/user/myshare "комментарий если надо" SID:R то работает нормально. После SID - права доступа R - read, F - full, D - deny
SID группы можно узнать через

Код: [Выделить]

wbinfo -n "Group Name" Причём работает даже wbinfo -n "everyone" ,а наутилус почему-то не может определить SID по имени группы.

[omon-dey]

Не подскажите, у кого получилось настроить авторизацию в AD для 9.04 ?
Все делаю в соответствии с факом.
Конфиги
Samba:
[global]
    workgroup = AD
    netbios name = Server
    server string = linux
    log file = /var/log/samba/log.%m
    max log size = 50
    hosts allow = 192.168.0. 127.
    security = ads
    password server = 192.168.0.2
    encrypt passwords = yes
    realm = AD.RSEI.RU
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind use default domain = yes
    winbind enum users = yes
    winbind enum groups = yes
    template homedir = /home/%D/%U
    template shell = /bin/bash
    dos charset = CP866
    unix charset = KOI8-R
    display charset = KOI8-R
----------------------------------------------
Креберос
[realms]
   AD.RSEI.RU = {
   kdc = 192.168.0.2
   admin_server = 192.168.0.2
   default_domain = AD.RSEI.RU
   }
-----------------------------------------
nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup: files winbind
------------------------------------
В домен вошел без проблем, команда wbinfo отрабатывает нормально, с ключами -p -t -u -g
Вот тока система не видит пользователей домена
getent passwd - выдает только локальных, в логах винбинда появляется следующее

[2009/04/28 11:26:09,  1] winbindd/idmap_tdb.c:idmap_tdb_allocate_id(424)  Fatal Error: GID range full!! (max: 20000)
[2009/04/28 11:26:09,  1] winbindd/winbindd_user.c:winbindd_fill_pwent(107)  error getting group id for sid S-1-5-21-1502178018-3565533003-1215580425-513

Гугл не помогает все, приведенные там решения, не работают.

[DokaS]

Я ввел 9.04 в домен. Пользователей видно, группы видно. Но есть проблемка, при входе доменного юзера, нужно либо ждать мин 3 либо вводить пароль два три раза. Гдето тормозит.

[xan]

Давно меня тута не было
Сейчас конфигурация изменена. У меня уже используются машины, которые берут данные из AD с домен контролера (не только пароль, но и членство в группах домена и winbind не используется уже). Надо вам такое ?

Сейчас решил попробовать 9.04 ввести в домен.  Скоро узнаю чем всё закончилось.

[DokaS]

Конечно надо? Помоги бедным админам в освоении Убунты.

[Astalavista]

Давно меня тута не было
Сейчас конфигурация изменена. У меня уже используются машины, которые берут данные из AD с домен контролера (не только пароль, но и членство в группах домена и winbind не используется уже). Надо вам такое ?

Сейчас решил попробовать 9.04 ввести в домен.  Скоро узнаю чем всё закончилось.

Каким образом беруться данные без winbind? Очень интересно
И еще может просветишь, как сделать чтобы при невозможности взять данные с PDC, данные о пользователе брались с BDC. Конечно же подразумевается что между PDC и BDC настроенна репликация и данные о пользователях в AD двух контроллеров идентичны.

[xan]

Давно меня тута не было
Сейчас конфигурация изменена. У меня уже используются машины, которые берут данные из AD с домен контролера (не только пароль, но и членство в группах домена и winbind не используется уже). Надо вам такое ?

Сейчас решил попробовать 9.04 ввести в домен.  Скоро узнаю чем всё закончилось.

Каким образом беруться данные без winbind? Очень интересно
И еще может просветишь, как сделать чтобы при невозможности взять данные с PDC, данные о пользователе брались с BDC. Конечно же подразумевается что между PDC и BDC настроенна репликация и данные о пользователях в AD двух контроллеров идентичны.

А рабочей станции всё равно откуда билет придет. Есть строка опроса домен контроллеров в samba.conf  и там можно явно указать имя сервера. Почему бы и не BDC ?

Пока провал с конфигурацией. Рабочая станция, которую я готовил почему то монтирует при загрузке в read-only  корень  после распаковки рабочего комплекта для домена.

[jmur]

в логах винбинда появляется следующее

[2009/04/28 11:26:09,  1] winbindd/idmap_tdb.c:idmap_tdb_allocate_id(424)  Fatal Error: GID range full!! (max: 20000)
[2009/04/28 11:26:09,  1] winbindd/winbindd_user.c:winbindd_fill_pwent(107)  error getting group id for sid S-1-5-21-1502178018-3565533003-1215580425-513

где-то встречал совет по изменению

Код: [Выделить]

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
попробуй.

[omon-dey]

РЕШЕНИЕ найдено !
Как всегда, не нужно лазить по инету, достточно покурить факи с офф сервера
Для всех у кого ткая проблема - вот тут рабочие конфиги
http://ru2.samba.org/samba/docs/man/Samba-Guide/unixclients.html#ch9-adssdm