Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Ubuntu + AD  (Прочитано 3480 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн zah_al

  • Автор темы
  • Любитель
  • *
  • Сообщений: 88
    • Просмотр профиля
Ubuntu + AD
« : 15 Июль 2009, 06:57:12 »
Здравствуйте. Если что, ногами не пинайте, человек я в этих делах новый. Для начала обрисую ситуацию, нашу организацию вогнали в домен, домен не наш, нам поставили только контроллер. Мне выдали пароль администратора, для администрирования своей ячейки, но права не полные, т.е я например даже не могу зайти на наш контроллер домена. И существует сервер samba на убанте, которую кровь из носа хочу вогнать в домен. Вроде бы всё настроил. С krb5.conf всё пучком, kinit отрабатывает, тикет получается, klist всё показывает. А вот с net ads join проблемы, ежели я делаю net ads join -U и указываю имя просто юзверя заведенного в АД, он выдает следующее:

Using short domain name -- NSO
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'LINBUH-060' in realm 'NSO.LOC'
Failed to join domain: Type or value exists

Ежели я делаю net ads join -U и указываю имя моё, админа, то говорит следующее:

Failed to set password for machine account (NT_STATUS_ACCESS_DENIED)
Failed to join domain: Access denied

Внимание вопрос. Обязательно ли заводить машину в домен под админом? Т.е. у меня сейчас делема, либо мне не хватает прав, чтобы впендюрить машинку в домен, либо у меня что-то ещё с samba.conf не то. Все пользователи, под которыми пытался впендюрить заведены в убанте, самбе и АД с идентичными паролями. 

Оффлайн aleks-new

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Ubuntu + AD
« Ответ #1 : 15 Июль 2009, 08:50:21 »
Первое, что приходит в голову:

1. Права то есть для заведения в домен? Виндовую машину можешь завести?

2. Разница во времени на машинах есть? Должно быть, если память не изменяет, не более 5 минут.

Оффлайн zah_al

  • Автор темы
  • Любитель
  • *
  • Сообщений: 88
    • Просмотр профиля
Re: Ubuntu + AD
« Ответ #2 : 15 Июль 2009, 09:03:12 »
Да, виндовую машинку завести могу. Могу зайти в оснастку создать там юзверя, и т.д. Время я синхронизировал.

Оффлайн Astalavista

  • Любитель
  • *
  • Сообщений: 84
    • Просмотр профиля
Re: Ubuntu + AD
« Ответ #3 : 15 Июль 2009, 12:40:53 »
попробуй так

sudo net ads join -U <твой логин>@FIRMA.LOCAL

от рута с указанием логина с доменом


керберос кстати не обязательно настраивать чтобы машину в домен ввести а вот в smb.conf надо все правильно прописать
если не поможет мой совет то вывод testparm давай
« Последнее редактирование: 15 Июль 2009, 12:44:14 от Astalavista »

Оффлайн aleks-new

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Ubuntu + AD
« Ответ #4 : 15 Июль 2009, 12:41:42 »
Еще вариант - такое имя компа уже есть...
В оснастке AD комп с таким именем присутствует?

Оффлайн zah_al

  • Автор темы
  • Любитель
  • *
  • Сообщений: 88
    • Просмотр профиля
Re: Ubuntu + AD
« Ответ #5 : 15 Июль 2009, 13:56:30 »
Благодарю за помощь, и извиняюсь, что вовремя не отписался. В домен я уже вогнал, причём вогнал не под админом, а просто юзверем. Вот только желаемого результата не достигнуто. Изначально проблема была такая, что машинки которые в домене, не хотят заходить на линуха, всмысле на шары, ни коим образом. Те компы, что ещё не в домене заходят легко и просто. Думал, что вогнав в домен проблема исчезнет. Не подскажете в чём может быть причина такого странного поведения?

ПС правда я ещё полностьюю winbind  с самбой переставлял, и права на шары даже щас толком не настроены. Тем не менее, машины не в домене, пытаются подключится, и отсекаются на этапе логин/пароль. Машины в домене либо кричат непредвиденная сетевая ошибка, если обращатся по IP, либо либо кричат не одна из служб не смогла обработать сетевой путь, если обращатся по доменному имени, либо же если долго и утомительно тыкать сетевое окружение, найти этот линух в домене и ткнуть на него, говорит нет прав для доступа.

Пользователь решил продолжить мысль 16 Июль 2009, 04:57:00:
Вот кстати, что пишется в логах при попытке подключения с доменной машинки

[2009/07/16 09:54:59,  0] lib/util_sock.c:730(write_data)
[2009/07/16 09:54:59,  0] lib/util_sock.c:1468(get_peer_addr_internal)
  getpeername failed. Error was Transport endpoint is not connected
  write_data: write failure in writing to client 0.0.0.0. Error Connection reset by peer
[2009/07/16 09:54:59,  0] smbd/process.c:62(srv_send_smb)
  Error writing 4 bytes to client. -1. (Transport endpoint is not connected)



Пользователь решил продолжить мысль 16 Июль 2009, 12:09:38:
Блин вроде уже всё, из домена вижу машинку, пытаюсь к ней цепанутся, спрашивает пароль,  но не пущает, грит прав у вас нет. А в логах самбы появляется такое:

[2009/07/16 15:08:39,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/07/16 15:08:39,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/07/16 15:08:39,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/07/16 15:08:39,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2009/07/16 15:08:39,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

Люди спасите меня, помогите плиз!!! Из-за чего такое может быть? Уже устал гугл копать, проблема встречается, решение не встречается...
« Последнее редактирование: 16 Июль 2009, 12:09:38 от zah_al »

 

Страница сгенерирована за 0.089 секунд. Запросов: 22.