HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[chain]

у тебя просто нет прав для ввода машины в домен, либо проси права, либо проси админов, чтобы пароль вводили
первый пароль [sudo] это твой пароль в ubuntu
второй пароль это пароль  учетки в домене, под которой ты машину ввести пытаешься
и покажи ход действий, как ты синхронизацию времени делаешь

[Fimir]

Синхронизирую так:

xander@P341:~$ cd /etc/default
xander@P341:/etc/default$ sudo ntpdate
[sudo] password for xander:
18 Feb 14:48:45 ntpdate[11494]: no servers can be used, exiting

Хорошо, попрошу админов. Но они вряд ли будут вдаваться в подробности входа и бегать по этажам им тоже в лом, поэтому мне нужно чтобы народ просто ввёл пароль. Это означает я оставляю комп на строчке:

xander@P341:/etc/default$ sudo net ads join -U administrator@GOV.KALININGRAD.RU
administrator@GOV.KALININGRAD.RU's password:

они туда вводят пароль.... а дальше что?

P.S.  я там кое-что дописал в предыдущем сообщении, видимо вы не успели заметить )

[chain]

дальше надо настраивать pam модули, чтобы у доменных пользователей все работало

народ просто ввел пароль - это решается доменными политиками, но вряд ли кто-нибудь их менять станет, для этих целей есть администраторы
тем более, если

Прав на ввод в домен судя по всему точно не имею, тк сделал по зданию уже с десяток машин и каждый раз звал кого-то из админов, чтобы они засунули в домен.

в линуксе работает так же:)

по поводу разрешения при загрузке - должно быть наоборот самое маленькое 640х480
и без описания железяк и установленных драйверов трудно сказать, что происходит

Синхронизирую так:

xander@P341:~$ cd /etc/default
xander@P341:/etc/default$ sudo ntpdate
[sudo] password for xander:
18 Feb 14:48:45 ntpdate[11494]: no servers can be used, exiting

уф, делать надо по мануалу, он же почти пошаговый:

mcedit /etc/default/ntpdate
      NTPSERVERS="dc.domain.ru"            <--- меняем эту cтроку указывая домен контроллер

в домене с несколькими домен контроллерами главным сервером времени является эмулятор PDC. остальные dc берут время у него.

даем команду на синхронизацию
/etc/network/if-up.d/ntpdate

в твоем случае строка будет
NTPSERVERS=10.1.1.1

или nslookup 10.1.1.1 чтобы узнать доменное имя PDC

[Fimir]

Позвал. Не прокатило ещё на стадии билета:

xander@P341:~$ kinit maslov@gov.kaliningrad.ru
Password for maslov@gov.kaliningrad.ru:
kinit(v5): Preauthentication failed while getting initial credentials

А без билета бесполезно.

[chain]

root@P341:/etc/samba# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: burmistrov@GOV.KALININGRAD.RU

Valid starting     Expires            Service principal
02/18/08 12:28:12  02/18/08 19:08:12  krbtgt/GOV.KALININGRAD.RU@GOV.KALININGRAD.RU

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

здесь прокатывало? разница при получении билета в чем? кроме имени пользователя

[Fimir]

Синхронизация не проходит прямо-таки никак.

NTPSERVERS=10.1.1.1

...поставил в такой вид сразу.
даем команду на синхронизацию
/etc/network/if-up.d/ntpdate

...вообще ничего не происходит.

Кстати, ещё раз запросил klist -- выдало вот что:

xander@P341:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: burmistrov@GOV.KALININGRAD.RU

Valid starting     Expires            Service principal
02/18/08 15:31:29  02/18/08 22:11:29  krbtgt/GOV.KALININGRAD.RU@GOV.KALININGRAD.RU
02/18/08 15:38:52  02/18/08 22:11:29  HTTP/stargate.gov.kaliningrad.ru@GOV.KALININGRAD.RU

Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached

Откуда взялся билет на старгейт -- не понял.
Короче, надо звать ещё раз, пусть продолжает пароль вводить, но качественно...

[chain]

убей старый билет перед получением нового
kdestoy

если билет получаешь, значит похоже уже все произошло)

[Fimir]

Действительно, из-за старого билета не проходило.

Хорошие новости: собственно, в домен вошли...

xander@P341:~$ sudo net ads join -U maslov@GOV.KALININGRAD.RU
maslov@GOV.KALININGRAD.RU's password:
Using short domain name -- GREECE
Joined 'P341' to realm 'GOV.KALININGRAD.RU'

Но вошли-то под админским пользователем. И делаются действия в домене, которые по идее делаться не должны )
Что дальше делать не знаем )))

[chain]

Но вошли-то под админским пользователем. И делаются действия в домене, которые по идее делаться не должны )
Что дальше делать не знаем )))

не понял... какие действия не должны делаться? подключение к домену? ты только подключился под админом, все дальше, как при старте гнома авторизуется пользователь и какие ты группам права выдашь, так он и сможет в системе работать
админ нужен был, для авторизации машины в домене, на этом необходимость в нем отпадает)

[Fimir]

Э-э-э....
Рискну показаться полным идиотом (видимо, я не в курсе каких-то азов), но всё-таки не догнал кое-что:
Завтра я приду и включу компутер. Мне в него что водить на стандартный запрос логина-пароля? Данные учётки в домене? Или данные на локального пользователя? 

[chain]

если ты еще не настраивал PAM модули, как во второй части HOWTO, то входить пока под локальной учеткой
после настройки и ,надеюсь:) , успешного применения, вход можно делать под любым пользователем домена, естественно зная его пароль

[Fimir]

(бьётся головой об стену)
В убунте есть возможность изменения имени компьютера?

[chain]

есть, вот кстати не пробовал как на это виндовый сервер отреагирвет, если машина уже в домен введена.. скорее всего надо будет вводить по новой, а старую учетку убивать в AD
в /etc/hosts ты как раз писал имя компьютера
можно через Система-Администрирование-Сеть это сделать
а что случилось?

[Fimir]

Не введена. Одним, застремавшись, что в домене как-то много полномочий получилось, снёс оттуда регистрацию машины вообще.
С утра вообще ничем войти не смог ))

А вот я, балбес, обозвал и виндовую машину и убунтовскую одинаково. Виндовую утром внесли по-новой. Получается, убунтовскую нужно вносить под другим именем, чтобы они там одна другую не затирали.
Другое дело, что учитывая какие-то неискоренимые проблемы с принтером, подумываю а не снести ли всё вообще и поставить заново?..

[chain]

да нет у машины полномочий в домене) они есть у того, кто в нем авторизуется
администратор нужен был только для ввода в домен, больше ему там делать нечего
и естественно имена у компьютеров должны быть уникальными
попробуй, начни с нуля)