Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Подключение к домену AD  (Прочитано 5026 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Подключение к домену AD
« : 29 Апрель 2010, 12:28:40 »
Установил sudo apt-get install krb5-user winbind samba
затем утилиту Likewise Open, потом с помощью нее пытался присоединить Ubuntu к домену, но мне выдало ошибку The call to Kerberos 5 failed

Вот текст ошибки:
Error code: CENTERROR_DOMAINJOIN_LSASS_ERROR (0x00080047)

Backtrace:
main.c:315
djmodule.c:305
djauthinfo.c:471
djauthinfo.c:1388

И так и эдак пишу домен (server-AD и server-AD.local)
теперь выдает
Lsass error code FFF00016 has occurred, but an error string cannot be retrieved

Error code: CENTERROR_DOMAINJOIN_LSASS_ERROR (0x00080047)

Backtrace:
main.c:315
djmodule.c:305
djauthinfo.c:471
djauthinfo.c:1388

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подключение к домену AD
« Ответ #1 : 29 Апрель 2010, 14:11:33 »
Эх.... Писал ведь когда-то мануалы !!!!!

(Нажмите, чтобы показать/скрыть)
Be root, be different...

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: Подключение к домену AD
« Ответ #2 : 29 Апрель 2010, 14:20:46 »
Дано:

имя домена: server-AD.local

контроллер домена: server2k3.server-AD.local

имя компа которую добавляю: paramount-nout

учетная запись админа домена: Paramount

Где я допустил ошибку?

1. Установим следующие пакеты (и все зависимости, которые они за собой тянут):

sudo apt-get update
sudo apt-get install krb5-user winbind samba

2. Поправим /etc/krb5.conf (sudo gedit /etc/krb5.conf), он должен выглядеть точно так, как написано ниже:

[logging]
default = FILE10000:/var/log/krb5lib.log
[libdefaults]
ticket_lifetime = 24000
default_realm = SERVER-AD.LOCAL
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[realms]
SERVER-AD.LOCAL= {
kdc =SERVER2K3.SERVER-AD.LOCAL
admin_server = SERVER2K3.SERVER-AD.LOCAL
default_domain = SERVER-AD.LOCAL
}
[domain_realm]
.domain.internal =SERVER-AD.LOCAL
domain.internal = SERVER-AD.LOCAL

3. Отредактируем /etc/samba/smb.conf (sudo gedit /etc/samba/smb.conf):

[global]
security = ads
netbios name = paramount-nout
realm = SERVER-AD.LOCAL
password server = SERVER2K3.SERVER-AD.LOCAL
workgroup =  SERVER-AD
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
domain master = no

4. Сделаем /etc/nsswitch.conf (sudo gedit /etc/nsswitch.conf) точно таким, как написано ниже:

passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis

5. Отредактируем настройки PAM (для редактирования каждого из следующих файлов требуются права суперпользователя):
* /etc/pam.d/common-account должны содержать только следующие строки:

account sufficient pam_winbind.so
account required pam_unix.so

* в /etc/pam.d/common-auth должно быть только это:

auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass

* поправим the /etc/pam.d/common-password так, чтобы параметр max был 50, в качестве примера:

password required pam_unix.so nullok obscure min=4 max=50 md5  (этой строки у меня небыло)

* убедитесь, что /etc/pam.d/common-session содержит следующие строки:

session required pam_mkhomedir.so umask=0022 skel=/etc/skel  (этой строки не было, добавил вручную)

6. Создадим home-директорию для пользователей Active Directory:

sudo mkdir -p /home/SERVER-AD

7. Отредактируйте /etc/hosts:

127.0.0.1 paramount-nout.server-AD.local paramount-nout localhost

8. Инициализируем Kerberos:

sudo kinit Paramount@SERVER-AD.local

 Проверить, что мы получили билет от Kerberos можно командой klist.
9. Добавим компьютер в Active Directory:

sudo net ads join -U Paramount   (после этого попросил пароль, ввел пароль админа домена)

10. Перезапустим службы в следующем порядке:
sudo /etc/init.d/samba stop
sudo /etc/init.d/winbind stop
sudo /etc/init.d/samba start
sudo /etc/init.d/winbind start

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подключение к домену AD
« Ответ #3 : 29 Апрель 2010, 14:25:44 »
я Вам дал рабочий конфиг ! Внимательней смотрите ! и делайте под себя ! Только в krb лучше указывать всё IP, я имею ввиду адрес DC
Be root, be different...

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: Подключение к домену AD
« Ответ #4 : 30 Апрель 2010, 13:28:41 »
Эх.... Писал ведь когда-то мануалы !!!!!

(Нажмите, чтобы показать/скрыть)

Что-то не то сделал выходит вот так у меня

(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 30 Апрель 2010, 13:30:12 от Paramount »

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подключение к домену AD
« Ответ #5 : 30 Апрель 2010, 13:32:42 »
так всё понятно написано unable to resolve host rover, покажите /etc/hosts
Be root, be different...

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: Подключение к домену AD
« Ответ #6 : 30 Апрель 2010, 14:12:39 »
Выложил:
(Нажмите, чтобы показать/скрыть)

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подключение к домену AD
« Ответ #7 : 30 Апрель 2010, 14:14:12 »
127.0.1.1 rover.server-ad.local rover - нельзя так делать ! 127.0.0.1 - это петля, локалхост по русски !
вообщем вместо 127.0.1.1 rover.server-ad.local rover напишите: реальный_ип_тачки rover.server-ad.local rover
Be root, be different...

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: Подключение к домену AD
« Ответ #8 : 30 Апрель 2010, 14:16:33 »
Так у меня айпи получают по DHCP он может в след. раз получить другой айпи

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подключение к домену AD
« Ответ #9 : 30 Апрель 2010, 14:18:50 »
так дайте ему статику ! найдите свободный адрес и дайте !
Be root, be different...

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: Подключение к домену AD
« Ответ #10 : 30 Апрель 2010, 14:20:45 »
В сети айпи раздает DHCP все компы получают его динамически, неужели при динамической раздаче айпи нельзя компы включить в домен?
Мне нужно все компы с Линуксом включить в домен.

Оффлайн uid0

  • Активист
  • *
  • Сообщений: 371
    • Просмотр профиля
    • hitetra.ru
Re: Подключение к домену AD
« Ответ #11 : 30 Апрель 2010, 14:26:09 »
хорошо ! тогда тест.... перезапустите пару тройку раз networking и посмотрите, ip меняться не должен, хотя смотря как настроен DHCP
Be root, be different...

Оффлайн Paramount

  • Автор темы
  • Новичок
  • *
  • Сообщений: 39
    • Просмотр профиля
Re: Подключение к домену AD
« Ответ #12 : 30 Апрель 2010, 14:30:23 »
Щас выставил так

(Нажмите, чтобы показать/скрыть)
Он мне пишет 

(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль 30 Апрель 2010, 15:11:32:
Добил таки, он мне вывел

(Нажмите, чтобы показать/скрыть)

при входе пишу
SERVER-AD\student
потом пароль
он мне выдает
"Пользователь не опознан основным модулем идентификации"
« Последнее редактирование: 30 Апрель 2010, 15:11:32 от Paramount »

 

Страница сгенерирована за 0.058 секунд. Запросов: 23.