HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[-alex-]

Господа не сталкивались со сл. проблемой.

Переставлял контроллер домена, теперь не могу подключить компьютеры с убунтой (они уже были в старом домене) к новому домену.
net ads join
Failed join to domain.

На свеже поставленной убунте все ОК. Но не переставлять же все ....

[xmig]

Попробуй удалить на компьютерах с убунтой файл /var/lib/samba/secrets.tdb, перезапусти samba и winbind, и попробуй снова подключиться к домену.

[-alex-]

Попробуй удалить на компьютерах с убунтой файл /var/lib/samba/secrets.tdb, перезапусти samba и winbind, и попробуй снова подключиться к домену.

Уже так пробовал - результат тотже.

[naked.and.dead]

Делал всё как описано в howto, доменные юзеры заходят. Но билет автоматически не получают, хотя в /etc/pam.d/common-auth строчка
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u присутствует. В чём может быть причина?

PS: кажется разобрался, эта строчка в common-auth должна идти первой.

[Alex_ustasu]

Доброго времени.
с горем пополам, но все таки поставил ubuntu в домен. поставить-то поставил, но есть существенная проблема -  залогиниться теперь я не могу  ..... не пускает под доменными пользователями..... указывал и user\domain и user+domain  и просто user..... есть ли возможность входа под рутом (или локальным пользователем, созданным при инсталяции), минуя доменную авторизацию?
то, что я накосячил с krb5.conf  уже понял....
заранее спасибо

[naked.and.dead]

Оно и так должно пускать локальных юзеров. Если не пускает, то дело скорее не в krb5.conf, а в /etc/securuty/access.conf. Загружайся в recovery mode и смотри что там стоит.

[xan]

Ubuntu 7.04
уже замотался. при команде net ads join спрашивает пароль root
даже если его ввести то вылезет ошибка ads_connect и станция к домену не подключиться.
Билет Кербер выдает.

[Alex_ustasu]

проблему авторизации решить не смог - снес ubuntu, поставил заново.
теперь новая проблема - не выдает билет kerberos.. при вводе kinit user@domain.ru пароль спрашивает, а после ввода пишет
"KDC reply did not match expectations while getting initial credentials"

krb5.conf:
[libdefaults]

   default_realm = DOMAIN.RU   
   dns_lookup_realm = false   
   dns_lookup_kdc = false   
   ticket_lifetime = 24000       
   clock_skew = 300   
   forwardable = yes
[realms]

   domain.ru = {      
   kdc = server.domain.ru      
   admin_server = server.domain.ru      
   default_domain = DOMAIN.RU           
           }
[domain_realm]   

   .domain.ru = SERVER.DOMAIN.RU   
   domain.ru = SERVER.DOMAIN.RU   

в чем грабли?

[xan]

проблему авторизации решить не смог - снес ubuntu, поставил заново.
теперь новая проблема - не выдает билет kerberos.. при вводе kinit user@domain.ru пароль спрашивает, а после ввода пишет
"KDC reply did not match expectations while getting initial credentials"

krb5.conf:
[libdefaults]

   default_realm = DOMAIN.RU   
   dns_lookup_realm = false   
   dns_lookup_kdc = false   
   ticket_lifetime = 24000       
   clock_skew = 300   
   forwardable = yes
[realms]

   domain.ru = {      
   kdc = server.domain.ru      
   admin_server = server.domain.ru      
   default_domain = DOMAIN.RU           
           }
[domain_realm]   

   .domain.ru = SERVER.DOMAIN.RU   
   domain.ru = SERVER.DOMAIN.RU   

в чем грабли?

совпадает ли время на DC и на твоей раб. станции ?

[naked.and.dead]

...
[domain_realm]   

   .domain.ru = SERVER.DOMAIN.RU   
   domain.ru = SERVER.DOMAIN.RU   

по идее должно быть:

   .domain.ru = DOMAIN.RU   
   domain.ru = DOMAIN.RU   

[Alex_ustasu]

время совпадает, билет теперь получаю, но в домен машина все-равно не ставится.
пишет

Failed to set service Principal Names. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'ALEX-DESKTOP' in realm 'DOMAIN.RU'

в smb.conf надо где-то явно указать DNS?
вот файл smb.conf

[global]
dos charset = cp866
unix charset = UTF8
display charset = UTF8
workgroup = DOMAIN.RU
realm = DOMAIN.RU
server string = ubuntu
security = ADS
allow trusted domains = no
auth methods = winbind
null passwords = Yes
password server = 192.168.1.1   
client lanman auth = No
client plaintext auth = No
log level = 3
log file = /var/log/samba/log.smbd
max log size = 500
announce version = 5.1
paranoid server security = No
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = eth0
hostname lookups = Yes
os level = 65
preferred master = No
local master = No
domain master = No
ldap ssl = no
use kerberos keytab = yes
winbind uid = 15000-30000
winbind gid = 15000-30000
winbind use default domain = false

template homedir = /home/%D/%U
template shell = /bin/bash
admin users = kotov@domain.ru
create mask = 0777
directory mask = 0777
hosts allow = 192.168.1. 127.   

[public]
comment = share
path = /home/alex/public/   
read only = no
guest ok = yes
create mask = 0744
write list = DOMAIN\everyone   
case sensitive = no
msdfs proxy = no

[naked.and.dead]

в smb.conf надо где-то явно указать DNS?

надо внимательно прочитать ветку, а потом отредактировать /etc/hosts

[Aladin]

Народ помогите!!! Не пойму траблу... Все делал как и писалось. А на пункте:
Проверяем вход c доменным логином:
   $ ssh domain-admin@ubuntu-server
...реальный затык:
root@ubuntu-server:~# ssh boss@ubuntu-server
boss@ubuntu-server's password:
Permission denied, please try again.
... и все... перелопатил все заново, один фиК непонимаю... Кто знает помогите!!!
--------------------------------
А еще трабла какая... При логине локального пользователя в систему, получается пользователь проходит двойную авторизацию, пароль спрашивается 2 раза.... 

[xan]

Хочу поделиться своим конфигом  для авторизации. Он поможет решить некоторые проблемы заодно хорошо бы поправить шапку.
Конфигурация спрашивает пароль только один раз и умеет автомонтировать homedir c сети на /home/$USER
К сожалению шапка далека от совершенства по части авторизации точно. А грабли с PAM  бьют очень больно. Тему надо осветить.

[xan]

время совпадает, билет теперь получаю, но в домен машина все-равно не ставится.
пишет

Failed to set service Principal Names. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'ALEX-DESKTOP' in realm 'DOMAIN.RU'

в smb.conf надо где-то явно указать DNS?
вот файл smb.conf

[global]
dos charset = cp866
unix charset = UTF8
display charset = UTF8
workgroup = DOMAIN.RU  <------- ЗДЕCь Твой КОСЯК рабочая группа НЕ домен. Никаких .RU
realm = DOMAIN.RU
server string = ubuntu
security = ADS
allow trusted domains = no
auth methods = winbind
null passwords = Yes

а вообщем и целом конфиг у тебя сложноватый столько параметров напичкал. Ты уверен в них ? Чем сложнее конфиг тем больше шансов вляпаться.

2All: предлагаю делать каменты к этим параметрам, авторы конфигов. Остальным хоть понятно будет зачем они.