HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[Astalavista]

А рабочей станции всё равно откуда билет придет. Есть строка опроса домен контроллеров в samba.conf  и там можно явно указать имя сервера. Почему бы и не BDC ?

А можно на пальцах, для особо одаренных типа меня)))
В samba.conf указано
password server = 192.168.2.2 192.168.2.3    # надеюсь про этот параметр идет речь

далее отрубаю 192.168.2.2(PDC) и надеюсь что данные о пользователях будут браться с 192.168.2.3(BDC) но этого не происходит
Что недокрутил?

(Нажмите, чтобы показать/скрыть)

[2009/04/29 17:12:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
[2009/04/29 17:12:44, 0] rpc_client/cli_pipe.c:rpc_api_pipe(790)
  rpc_api_pipe: Remote machine DC.firma.local pipe \NETLOGON fnum 0x4003returned critical error. Error was Call timed out: server did not respond after 10000 milliseconds
[2009/04/29 17:13:04, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \samr, fnum 0x4005 to machine DC.firma.local.  Error was Call timed out: server did not respond after 1000 milliseconds
[2009/04/29 17:13:04, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \lsarpc, fnum 0x4004 to machine DC.firma.local.  Error was Call timed out: server did not respond after 500 milliseconds
[2009/04/29 17:13:04, 1] libsmb/clientgen.c:cli_rpc_pipe_close(386)
  cli_rpc_pipe_close: cli_close failed on pipe \NETLOGON, fnum 0x4003 to machine DC.firma.local.  Error was Call timed out: server did not respond after 500 milliseconds
[2009/04/29 17:13:19, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
[2009/04/29 17:13:19, 1] libads/ldap.c:ads_find_dc(355)
  ads_find_dc: failed to find a valid DC on our site (Default-First-Site-Name), trying to find another DC

[Evger]

Здрасти всем.
Пишу потому как в душе только одни упоминания про нестандартные сексуальные отношения Linuxа и прочего. В домен после 10 переустановки я комп ввел - подозрительно быстро. После введения в домен уже настроил керберос и модули авторизации - пуля в пулю с модулями chain.И что же мы имеем на выходе: окно авторизации и как факт не проходящую авторизацию доменых пользователей и невозможность локального логона. Из рекавери режима доступна только консоль - а вот копии модулей рам (вот тут признаюсь, дурак) старые не сделал. startx стартует, но ни клава (ПС2) ни мышь не работают.
Внимание вопрос - доменные пользователи авторизуются: ДОМЕН\Пользователь? или пользователь@домен?
До этого злополучного ребута - (вот как чувствовал не надо) в правом верхнем окошке по нажатии на пользователя выдал мне список всех учеток в домене - выбирай не хочу под кем заходить. и вообщем так и не зашел. - "Сбой авторизации"

[Astalavista]

приведи /etc/pam.d/common-auth к виду

auth    sufficient   pam_winbind.so
auth   sufficient   pam_unix.so use_first_pass
auth   required   pam_deny.so

или вообще оставь только

auth   sufficient   pam_unix.so

должно пустить под локальным пользователем, а дальше ищи где напортил

[Evger]

to AstaLavista
снес систему поставил заного, довел до состояния "я в домене, всех вижу, но никого, кроме локального не пускаю".
wbinfo со всеме возможными ключами работает и все показывает. В домен кстати без кербероса не пускало - настроил его, и ввел, однако после Joined "TZ1" to realm "MMDV.LOCAL" выдало еще и такое "no dns domain configured for tz1. Unable to perform dns update". В конфиг dhcp строчки про обновление обратной зоны не прописывал. Вообщем сейчас основная проблема - не пускает доменных пользователей. Какие логи скинуть и где их посмотреть?)
З.Ы. - Ubuntu 8.10; Server 2003.

[Astalavista]

alt+ctrl+f1

логинься под доменной учеткой

если у тебя common-auth соответствует тому который я привел постом раньше, то  должно пустить

вероятно ты не можешь войти в домен из графической среды, если так - читай первый пост темы (10 пункт) 

[mr_inc]

В smb.conf в дополнение к

idmap uid = 10000-20000
idmap gid = 10000-20000

можно добавить

idmap backend = rid:DOMAINNAME=10000-20000
allow trusted domains = no

где DOMAINNAME - имя вашего домена.

Это должно гарантировать одинаковые UID и GID на разных Linux-машинах
(берет SID, откусывает у него RID и делает из него UID)

Работает только в однодоменной (или с запретом трастов, для многодоменной нужно смотреть в idmap backend = ad) структуре.

[Evger]

pam-модули я еще не настраивал - только ввел компьютер в домен. Но пустить на компьютер под доменной учеткой меня и сейчас должен же? Единственно при заходе на сетевые шары (которые я кстати не вижу, но если "Подключаться к серверу" то прекрасно подключает с доменными даными и все запреты прекрасно работают) будет запрашивать логин и пароль - т.е. не будет поддерживаться сквозная авторизация. Так ведь?
Соответственно почему я сейчас не могу залогинится - вне графической среды тоже не пускает "login incorrect". Логинится пробовал и так и сяк: DOMAIN\user - user@domain.local - не пускает.

[Night_Snake]

Сделал все по HOWTO, машина успешно вошла в домен, wbinfo -u и -g успешно показывают юзеров и группы домена. на DC машина появилась. Но не хочет заходить под именем типа DOMAIN\user, пишет сбой аутентификации Ubuntu 9.04. 8.10 входила на ура

krb5.conf

Код: [Выделить]

[libdefaults]
        default_realm = DOMAIN.LAN
        ticket_lifetime = 24000
        clock_skew = 300
[realms]
        DOMAIN.LAN = {
        kdc = pdc.domain.lan
        admin_server = pdc.domain.lan
        default_domain = DOMAIN.LAN
        }

[domain_realm]
        .domain.lan = DOMAIN.LAN
        domain.lan = DOMAIN.LAN
smb.conf

Код: [Выделить]

[global]
security = ads
password server = *
encrypt passwords = true
workgroup = DOMAIN
realm = DOMAIN.LAN
winbind use default domain = yes
netbios name = snake
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
winbind trusted domains only = yes
winbind enum users = yes
wins support = no
wins server = 10.10.10.10
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root
passwd program = /usr/bin/passwd %u
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0
Билет кербероса успешно получается.
getent выводят только списки локальных групп (

[omon-dey]

Уже говорил - забейте на фак, который тут! Делайте как на официальном сайте!
на прошлой странице, уже говорил!
----------------
РЕШЕНИЕ найдено !
Как всегда, не нужно лазить по инету, достаточно покурить факи с офф сервера
Для всех у кого такая проблема - вот тут рабочие конфиги
http://ru2.samba.org/samba/docs/man/Samba-Guide/unixclients.html#ch9-adssdm
-----------------

Единственное, чтоб давало список пользователей по getent надо в конфиге указать
    winbind enum users = Yes
    winbind enum groups = Yes

[xan]

Сделал все по HOWTO, машина успешно вошла в домен, wbinfo -u и -g успешно показывают юзеров и группы домена. на DC машина появилась. Но не хочет заходить под именем типа DOMAIN\user, пишет сбой аутентификации Ubuntu 9.04. 8.10 входила на ура

Билет кербероса успешно получается.
getent выводят только списки локальных групп (

Будем разбираться в чём причина. Фак то писался не для 9.04. Значит что то изменено  надо адаптироваться к этому.

Сейчас я пробую апгрейдить 8.04 доменную до 9.04

[Evger]

Уже вот ни разу не смешно. Со стороны контроллера нужно что-то настраивать? Третий компьютер настроенный по данному факу - на этот раз в домен ввалился без цербера - но wbinfo не отрабатывает, getent - только локальные группы. Где копать? На другой машинке - ситуация такая же, только там настроен и работает цербер - wbinfo - работает. Pam модули еше не настраивал - ибо боюсь лишиться локального логона, хотелось бы для начала проверить доменный логон. Вообщем трабл такой же как у ночного змея, только версия отличается...
Выложите, пожалуйста, рабочие конфиги с 8.10.

[cyporat]

Сделал все по HOWTO, машина успешно вошла в домен, wbinfo -u и -g успешно показывают юзеров и группы домена. на DC машина появилась. Но не хочет заходить под именем типа DOMAIN\user, пишет сбой аутентификации Ubuntu 9.04. 8.10 входила на ура

Билет кербероса успешно получается.
getent выводят только списки локальных групп (

По конфигам с 1-ой страницы + kerberos вошел как по маслу.  9.04 w2003

[Night_Snake]

В том то и дело что по тем же конфигам. Но не хочет

[Dmitriy.Dyadenko]

Ubuntu Server 9.04
################################################################
SAMBA:

Код: [Выделить]

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = KKS
server string = %h server (Samba, Ubuntu)

   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d

   security = ads

   password server = srvpdc.kks.local
   realm = KKS.LOCAL
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .


   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes

   template homedir = /home/%D/%U
   client use spnego = yes
   winbind use default domain = yes
   winbind refresh tickets = yes
   restrict anonymous = 2

domain master = no
local master = no
preferred master = no
os level = 0

wins support = no

Код: [Выделить]

# /etc/pam.d/common-auth - authentication settings common to all services
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_deny.so

Код: [Выделить]

# /etc/pam.d/common-session - session-related modules common to all services

session required        pam_winbind.so
session required        pam_unix.so
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel
session optional        pam_foreground.so

Код: [Выделить]

#%PAM-1.0

auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale

@include common-auth
@include common-account
session required        pam_limits.so
@include common-session
session required       pam_mount.so use_first_pass
@include common-pammount
@include common-password


KRB

Код: [Выделить]

[logging]
default = FILE10000:/var/log/krb5lib.log
[libdefaults]
ticket_lifetime = 24000
default_realm = KKS.LOCAL
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[realms]
KKS.LOCAL = {
kdc = SRVPDC.KKS.LOCAL
admin_server = SRVPDC.KKS.LOCAL
default_domain = KKS.LOCAL
}
[domain_realm]
.kks.local = KKS.LOCAL
kks.local = KKS.LOCAL
Пускает тока админа домена ,другие учетки пишит что пароль устарел ! помогите ! Зарание благодарен.

[vans85]

У меня стоит задача попроще: необходимо сделать файловую помойку с возможностью разграничения прав доступа для учеток АД. Какие из пунктов ХАУТУ нужно выполнить? Побывал сделать все кроме синхронизации времени по этому мануалу(скорее всего мне все и не нужно), но почему-то без кербероса не пускает и через сутки в расшареную папку начинает спрашивать пароль а через 3 суток не пускает не под локальной ни под доменной учеткой.  АД работает без сбоев)))))