10.04 - Likewise больше не дружит с AD

[sydenis]

Присоединяю через likewise новую 10.04 к виндовому домену, с которым до этого без проблем работала 9.10.
На domainjoin-cli join cообщает об ошибках, причём о разных:
- unknow server error
- unknow dns error
- ...
На domainjoin-cli leave выдаёт:
Error code: CENTERROR_DOMAINJOIN_LSASS_ERROR (0x00080047)

Однако после неудачного джойна, комп в AD всё-таки появляется, но войти под доменным аккаунтом на юбнтовый комп невозможно. Доменные юзеры и сам домен видны через
lw-find-user-by-name или lw-get-dc-name. Все тесты, предлагаемые здесь
http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-guide.html#SolveLogonProblems
проходят вплоть до проверки pam... на нём облом.

Все шаманские телодвижения, связанные с nsswitch, resolv.conf  и т.п.  рекомендуемые https://help.ubuntu.com/community/LikewiseOpen проделаны.

Вся фигня в том, что на сайте likewise последний релиз обозначен как 5.3, а юбунтовый реп выдаёт 5.4...  видимо какая-то своя наработка уже. Но она не соответсвует докам ни с оф.сайта юбунты, ни ликвайза...  /etc/likewise в этой версии имеет соверщенно иное содержание, чем описывается в доках...   ну и как с этим работать?

Кто-нть уже проходил этот гимор на 10-ке?  
Можно, конечно, не парится и сделать всё по старинке через самбу, но вроде ликвайз - направление новое, прогрессивное, LTS поддержка от юбунты обещана, и на 9-ке на ура отработала...
Пользователь решил продолжить мысль [time]Wed May  5 16:47:11 2010[/time]:вопщем всем, кого ещё ожидает censored на эту тему рекомендую вначале посмотреть сюда
http://ubuntuforums.org/showthread.php?t=1450228

[Gwinbleidd]

рекомендую вначале посмотреть сюда
http://ubuntuforums.org/showthread.php?t=1450228

посмотрел... насколько я разобрал английский, самое оптимальное, что он предлагает - вернуться к likewise 5.3... неинтересно.
Кто-нибудь вообще включал 10-ку в домен с "родным" likewise 5.4
У меня join выдает

ERROR:Lsass Error [CENTERROR_DOMAINJOIN_LSASS_ERROR]
59 (0x3B) ERROR_UNEXP_NET_ERR - Unknown error

запись в AD не появляется...
в syslog появляется пачка сообщений (штук 15)
lwiod[1384]: GSS-API error calling gss_init_sec_context: 589824 (Invalid token was supplied)
lwiod[1384]: GSS-API error calling gss_init_sec_context: 100003 ()

и сообщение
lsassd[1463]: 0xb1eacb70:Failed to run provider specific request (request code = 8, provider = 'lsa-activedirectory-provider') -> error = 59, symbol = ERROR_UNEXP_NET_ERR, client pid = 4914

кто-нибудь может подсказать куда копать? 

[Radogosh]

10.04 удивляет.
Большой плюс. Стали открываться DFS шары винды.
Большой минус. В домен по простому не входит.

Будем ждать обновлений. Может починят.

[Droni_]

Тоже имел геморой с вводом ubuntu в домен через likewise, но еще на 9.10. Ошибка была в том, что 5-я версия не присоединяла к домену, выдавала ошибку. По рекомендации с многочисленных форумов решил сделать даунгрейд likewise с 5-ой на предыдущую версию. Дело в том, что 5-я никак не хотела сноситься. Проблема решилась после обновления 9.10 до 10.4
З.ы. почему то в 5-ой версии ikewise, комп входил в домен, но отображался все равно в рабочей группе. Хотя в AD комп в доменном списке.

[sydenis]

После раскладывания на алтаре самоцветных камушков и благовонных смол, наконец, Небесная нерпа позволила войти в активную директорию на 5.4.

Не знаю точно, что помогло, но я проделывал следующее:
- сносил 5.4 и ставил 5.3 (5.3 доступ в AD дала но, почему-то тока админу...)
- снёс 5.3, вычистил систему
- почистил на винде AD и ручками прописал себя в DNS
- заново поставил 5.4, проделал все предварительные ласки по мануалу и вошёл...

Сутки полёт нормальный. Из гимора можно отметить:
- конфигов больше нет, настройки правятся через реестр, а это 8 раз заморочней
- параметр AssumeDefaultDomain не действует как ты его не выставляй, поэтому при логине приходится забивать полное имя юзера с доменом

[ArcFi]

З.ы. почему то в 5-ой версии ikewise, комп входил в домен, но отображался все равно в рабочей группе. Хотя в AD комп в доменном списке.

Код: [Выделить]

sudo sed -i "s/WORKGROUP/DOMAIN/g" /etc/samba/smb.conf

- параметр AssumeDefaultDomain не действует как ты его не выставляй, поэтому при логине приходится забивать полное имя юзера с доменом

Хорошо, что я своих сразу натренировал.

[sydenis]

вот ещё одна фича нашлась, которой не было в связке 9.10 - 5.3:
На одной машине в мультизагрузке стоят Windows (доменная) и Ubuntu (тоже доменная) .  Доменный дхцп выдаёт им один IP-шник поочерёдно, а вот в ДНС они прописались как два разных хоста с одним ip.  Раньше это не парило, а теперь Ubuntu отвергает авторизацию. Теперь зайти доменным юзверем можно только удалив в днс запись, вставленную виндой...

[AnrDaemon]

Прописать одинаковое имя хоста - не? Очевидное решение же.

[ArcFi]

Пробовал шаманить на одном из компов -- тот же "LSASS ERROR" -- забил.
Остальные не стану пока обновлять.

https://bugs.launchpad.net/ubuntu/+source/krb5/+bug/551901
https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/543963
https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/534629

Там ещё можно пофлудить:

Does this bug affect you?
    * Yes, it affects me

[sydenis]

Прописать одинаковое имя хоста - не? Очевидное решение же.

..да вовсе нет тут ничего очевидного
это ж две разные системы,   и когда кто-то из сети лезет на comp1.mydomain.com, то может сильно удивиться, что там как-то всё не так....
в общем ситуации в жизни могут быть разные, а решение должно быть универсальным, так как это было на 9.10,    
а не объяснять пользователям задним числом, что это совсем не бага, а наоброт - очень правильная фича

2ArcFi:   сенкс за launchpad   +1

[Haich]

Без проблем подключил 10.04 к домену на W2k3. Единственное, что сделал, так это прописал ip контроллера в etc/hosts. После рестарта все работает.

[AnrDaemon]

Единственное, что сделал, так это прописал ip контроллера в etc/hosts. После рестарта все работает.

Это лишь говорит о том, что у вас сбой в DNS.

[Haich]

<b>AnrDaemon</b>
Имя сервера разрешаетсмя, хотя согласен, 10.04 хост не прописался в DNS.

Добавление A записи руками решает проблему.

[AnrDaemon]

Добавление A записи руками решает проблему.

Которую из них?

[ArcFi]

Без проблем подключил 10.04 к домену на W2k3.

Баг касается доменов на w2k.
Патч уже есть. Закомитчен в апстрим krb5.
Как я понял, после тестирования на sid/maverick апдейт попадёт в lucid.
https://bugs.launchpad.net/ubuntu/+source/krb5/+bug/551901