HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[chain]

вот кстати в чем проблема при работе с dbus
http://linux.die.net/man/8/pam_console
поскольку pam_console не используется, надо в политиках dbus переправить доступ на основе групп.
помимо модуля NetworkManager и nm-applet, где логично будет разрешить доступ группе netdev, надо править модуль hal.conf, в котором политики консоли будет логично сменить на доступ для группы plugdev

[Slon]

Нужна помощь, не могу зайти в домен пишет:
# net ads join -U admin_name
admin_name's password:
Failed to join domain: Operations error


конфиги
smb.cfg

Код: [Выделить]

        workgroup = LWG
        realm = LWG.LOCAL
        security = ADS
        obey pam restrictions = Yes
        password server = 172.12.21.92
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
        restrict anonymous = 2
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        dns proxy = No
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        invalid users = root

[printers]
        comment = All Printers
        path = /var/spool/samba
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers
:

krb5

Код: [Выделить]

[libdefaults]
default_realm = LWG.LOCAL

# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
tiket_lifetime = 24000
clock_skew = 300
ccache_type = 4
forwardable = true
proxiable = true
       

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
LWG.LOCAL = {
kdc = firmserver
admin_server = firmserver
default_domain = LWG.LOCAL
}

[domain_realm]
.lwg.local = LWG.LOCAL
lwg.local = LWG.LOCAL

[login]
krb4_convert = true
krb4_get_tickets = false
[logging]
        default = FILE:/var/log/krb5.log


[xan]

Нужна помощь, не могу зайти в домен пишет:
# net ads join -U admin_name
admin_name's password:
Failed to join domain: Operations error

Пост номер 73 почитай. Если не выйдет пиши, что в логах. И к конфигам повинимательнее.

[J.Rico]

отличная статья!
подобную искал для Дебиан 4.0

одну машину настроил по первому посту со всеми вытекающими последствиями (два пароля при входе, Windows не лезет на шару лина и т.д.)
вторую щас буду делать по обновленной инструкции

[J.Rico]

вот 1ый касяк: до 10-го пункта (оастальное мне было не нужно) сделал все как в инструкции указано. Теперь при входе в систему, после ввода имени доменного пользователя или root'а появляется окно: "Произошел сбой авторизации".
э-э... так как с лином недавно работаю, мог че нить забыть сделать - например доменного юзера и рута в группу adm включить (adm в group.conf).
Вобщем как исправить ситуацию?

[chain]

это у тебя с пам модулями косяки,покажи что прописывал
 только я не понял про включение рута в группу adm, у тебя доменный пользователь root есть?

[J.Rico]

я группы вообще не настраивал после установки ОС, т.е. рут где был там и есть. Доменного root нет
в pam'ах прописано ровно то, что в последней инструкции было.
сейчас в памах роюсь - кой чего закомментировать попробую:

в common-auth закомментировал:
pam_mount.so, pam_group.so

в group.conf на всякий пожарный закоментил
*,*,sysadmin;Al0000-2400;adm;...... (из инструкции "#для админов" второй пример)

[chain]

иными словами ты не можешь войти как доменным пользователем, так и локальным, сбой авторизации, значит проблема в паме, а ты для рута пароль ставил? попробуй под другим локальным пользователем зайти, если получится сделай рестарт winbind, потом заверши сеанс локального пользователя и попробуй войти с доменным, только не перегружайся, просто смени сеанс

[J.Rico]

ни под каким пользователем не заходит.
вводишь root или lan\sysadmin лин задумывается на неск секунд и выкидывает окно с ошибкой

[Denis Konstantinov]

2 xan
нужно было создать отдельную тему.
https://forum.ubuntu.ru/index.php?topic=17941.0
Все вопросы по инструкции от Исаева Романа (aka xan) прошу задавать в отдельном топике.!
Ответы на уже заданные вопросы прошу давать там же (https://forum.ubuntu.ru/index.php?topic=17941.0)

[J.Rico]

так-с... в common-auth закоментил строки
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug

а перед auth    sufficient      pam_unix.so nullok_secure  use_first_pass поставил auth sufficient pam_winbind.so

теперь на рута не ругается, но и не заходит в ОС - снова выкидывает на окно с вводом имени юзера. На \lan\sysadmin стал ругаться после ввода пароля, а не после ввода имени как было до этого

nullok_secure - это чо за хрень? вроде не нужна в данном случае?

как сказал бы Фокс Малдер: "Разгадка где-то рядом..."

[J.Rico]

вопрос по первой статье:
debian:~# ntpdate lan.unico
21 Dec 17:01:00 ntpdate [4399]: the NTP socket in use, exitting

debian:~# kinit sysadmin@lan.unico
kinit (v5): Improper format of Kerberos configuration file while initializing Kerbros 5 library

где копать?

[xan]

вот 1ый касяк: до 10-го пункта (оастальное мне было не нужно) сделал все как в инструкции указано. Теперь при входе в систему, после ввода имени доменного пользователя или root'а появляется окно: "Произошел сбой авторизации".
э-э... так как с лином недавно работаю, мог че нить забыть сделать - например доменного юзера и рута в группу adm включить (adm в group.conf).
Вобщем как исправить ситуацию?

понятно... ни локально ни доменно не можешь войти.
ты кое что забыл... судя по всему поставить какой либо из пакетов
заходи в рековери режим и ставь все что описано.

P.S. такое запросто будет если забыть поставить например pam_mount.so
PAM система будет давать отказ в любом случае из-за отсутсвия одного обязательных из модулей

[xan]

э-э... так как с лином недавно работаю, мог че нить забыть сделать - например доменного юзера и рута в группу adm включить (adm в group.conf).
Вобщем как исправить ситуацию?

После отлупа заходи локальной учеткой и гляди лог auth.log  Там будет написано в чем дело. Кусок лога в котором идет сбой запость сюда.

[ASCII]

Здравствуйте. Спасите пожалуйста мой мозг, в чем может быть причина отказа не могу понять? хоть вешайся прям
получаю билет вроде бы успешно

Код: [Выделить]

root@ubuntu:~# kinit administrator@06.DOM
Password for administrator@06.DOM:
root@ubuntu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@06.DOM

Valid starting     Expires            Service principal
01/24/08 16:42:40  01/25/08 02:42:43  krbtgt/06.DOM@06.DOM
        renew until 01/25/08 16:42:40


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
делаю testparm

Код: [Выделить]

Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
 
[global]
        workgroup = 06AP
        realm = 06.DOM
        server string = test
        security = ADS
        auth methods = winbind
        password server = pdc.06.dom bdc.06.dom
        passdb backend = tdbsam
        log level = 1 vfs:1
        log file = /var/log/samba/samba.log
        max log size = 0
        deadtime = 360
        paranoid server security = No
        max open files = 100000
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        load printers = No
        show add printer wizard = No
        os level = 8
        wins server = 10.6.0.5
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind separator = @
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind nested groups = No
        winbind refresh tickets = Yes
        hosts allow = 10.6.0.
        case sensitive = No
        hide unreadable = Yes

[homes]
        comment = Home Directories
        path = /home
        read only = No
        guest ok = Yes
        locking = No
вроде тоже все хорошо...
ввожу root@ubuntu:~# net ads join -U administrator пишу пароль administrator's password:
и получаю вот такую фигу, которая медленно но верно съедает мой мозг

Код: [Выделить]

root@ubuntu:~# net ads join -U administrator
administrator's password:
[2008/01/24 16:51:29, 0] libsmb/cliconnect.c:cli_session_setup_spnego(857)
  Kinit failed: Client not found in Kerberos database
Failed to join domain: Improperly formed account name
абсолютно то же самое если написать net ads join -U administrator@06.DOM, то же с любым пользователем домена.
настройки кербероса

Код: [Выделить]

[libdefaults]
default_realm = 06.DOM
dns_lookup_realm = false
dns_lookup_kdc = false
krb4_get_tickets = false
default_etypes = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5

[appdefaults]
proxiable = true
ticket_lifetime = 24h
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[realms]
06.DOM = {
kdc = pdc.06.dom:88 bdc.06.dom:88
admin_server = pdc.06.dom
default_domain = 06.dom
}

[domain_realm]
.local.domain = 06.DOM
local.domain = 06.DOM

[kdc]
enable-kerberos4 = false

[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[login]
krb4_convert = true
krb4_get_tickets = falseдомен стоит на Win2000 server, там же DNS, АД, Wins. Уже неделю бьюсь с этим...