https://www.opennet.ru/openforum/vsluhforumID1/81185.html Добрый день.<br><br>Есть домен podr.orgzap.ru который обслуживают восемь серверов из разных подсетей (один имеется в моей подсети) на базе win 2003 server и которые стоят в win2003 native. Имеется в виду что если я буду заводить машину в домен PODR то не известно на какой из серверов я попаду (объекты AD реплицируются между этими серверами). Мне как администратору филиала был выделен пользователь на добавление машин в домен и я имею право на изменение одного контейнера в этом домене (пользователей). Так вот. Встала у меня задача впихнуть линукс в этот домен. <br>Slackware 12.0 kernel 2.6.21.5, samba 3.0.25b с поддержкой AD, LDAP, KRB, отдельно был установлен пакет heimdal-1.2. Настройки пока приводить не буду, расскажу что происходит. После запуска smbd,nmbd и winbindd я завёл машину в домен net ads join -U user%123 всё прошло замечательно. Далее получаю билет от сервера KDC, от сервера который расположен в моей подсети dc-01.podr.orgzap.ru - kinit user@PODR.ORGZAP.RU. Всё проходит замечательно но вот дальше тупик https://www.opennet.ru/openforum/vsluhforumID1/81185.html#8 Fri, 04 Dec 2009 11:04:03 GMT Привет!<br>Имею подобную проблему только наоборот: эсть 2 домена, шара на самбе пускает с своего, с довереного - никак. настораживает ошибка <br>&gt;&gt;libsmb/clikrb5.c:ads_krb5_mk_req(602)<br><br> ads_krb5_mk_req: krb5_get_credentials failed for XXXhost@XXdomainname (KDC policy rejects request)<br>За ответ спосиба.<br> https://www.opennet.ru/openforum/vsluhforumID1/81185.html#7 Tue, 12 Aug 2008 11:47:20 GMT Mark, такая же проблема, и те же строки: шарит логины по всем траст доменам, несмотря на winbind use default domain = yes, allow trusted domains = no и подобные.<br><br>Начинает напрягать с "ads_krb5_mk_req: krb5_cc_get_principal failed (No such file or directory)" при вводе в домен. При получении тикета все ура. А далее:<br>1. повторяющиеся строки "find_workgroup_on_subnet: workgroup search for $(my_short_name_domain) on subnet 10.130.129.33: found"<br>2. ads_try_connect: CLDAP request 10.243.223.10 failed<br>при wbinfo -u/g задержка (начинает шарить трастовые домены) и уже в нужном мне домене выводит список юзеров с выводом в winbindd.log, для каждого:<br>[2008/08/12 14:36:23, 1] nsswitch/winbindd_ads.c:query_user_list(209)<br> Not a user account? atype=0x30000000<br><br>$ uname -a<br>Linux test 2.6.18-1.2849.fc6 #1 SMP Fri Nov 10 12:36:14 EST 2006 i686 i686 i386 GNU/Linux<br>$ rpm -qa &#124;grep -i -e ldap -e krb<br>krb5-devel-1.5-7<br>krb5-libs-1.5-7<br>pam_krb5-2.2.11-1<br>krb5-workstation-1.5-7<br>openldap-2.3.27-4<br>openldap-devel-2. https://www.opennet.ru/openforum/vsluhforumID1/81185.html#6 Sun, 20 Jul 2008 08:22:32 GMT Unable to find a suitable server - посмотрите настройки DNS на Samba-машине. Если есть еще и WINS-сервер в сети (хотя у вас и W2K3 native, но мало ли :), пропишите и его в настройках Samba<br><br>wins server = IP.ADDR.OF.WINS<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81185.html#5 Fri, 18 Jul 2008 12:50:50 GMT <br>&gt;происходит. После запуска smbd,nmbd и winbindd я завёл машину в домен <br>&gt;net ads join -U user%123 всё прошло замечательно. Далее получаю билет <br>&gt;от сервера KDC, от сервера который расположен в моей подсети dc-01.podr.orgzap.ru <br>&gt; - kinit user@PODR.ORGZAP.RU. Всё проходит замечательно но вот дальше тупик. <br>&gt;Делаю wbinfo -u висит минуту потом отваливается с ошибкой error looking <br><br>Сначала net ads join а потом запускайте службы и смотрите syslog (в smb.conf log_level повыше) - там достаточно наглядно.<br> https://www.opennet.ru/openforum/vsluhforumID1/81185.html#4 Fri, 18 Jul 2008 04:01:16 GMT &gt;[оверквотинг удален]<br>&gt;Я в свое время намучился со связью через ads - у меня <br>&gt;не обновлялись tickets автоматически, поэтому пришлось вязать через rpc (делал авторизацию <br>&gt;на Squid через winbindd). Работает уже 2 года, на DC cейчас <br>&gt;Win2K3 R2 SP2 <br>&gt;<br>&gt;Да, и <br>&gt;<br>&gt;winbind use default domain = yes <br>&gt;<br>&gt;не помешает <br><br>В общем отредактировал smb.conf поставил security = DOMAIN перезапустил сервисы и вот что я наблюда. <br><br>net rpc join -U user <br>Unable to find a suitable server<br>Unable to find a suitable server<br><br>НО wbinfo -u и wbinfo -g отлично работают. В логах только одна запись начала появляться:<br>nsswitch/winbind_ads.c ..... Not a user account? atype=0x30000000 это при запросе wbinfo -u<br><br>Но вот как теперь мне сделать так что бы комманда net rpc join отработала . Может мне в smb.conf что то добавить? Или может это из за того что сервера стоят в режиме win 2003 native ?<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81185.html#3 Thu, 17 Jul 2008 18:51:48 GMT &gt;[оверквотинг удален]<br>&gt; <br>&gt; default_domain = PODR.ORGZAP.RU <br>&gt; } <br>&gt;[domain_realm] <br>&gt; .podr.orgzap.ru = podr.orgzap.ru <br>&gt; podr.orgzap.ru = podr.orgzap.ru <br>&gt;<br>&gt; .PODR.ORGZAP.RU = PODR.ORGZAP.RU <br>&gt; PODR.ORGZAP.RU = PODR.ORGZAP.RU <br>&gt;<br><br>А классическим методом не пробовали? через RPC вместо ads<br><br>security = DOMAIN<br><br>ну и net rpc join вместо net ads join<br><br>Я в свое время намучился со связью через ads - у меня не обновлялись tickets автоматически, поэтому пришлось вязать через rpc (делал авторизацию на Squid через winbindd). Работает уже 2 года, на DC cейчас Win2K3 R2 SP2<br><br>Да, и<br><br>winbind use default domain = yes <br><br>не помешает<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/81185.html#2 Thu, 17 Jul 2008 09:42:12 GMT &gt;smb.conf <br>&gt;krb5.conf <br>&gt;<br>&gt;покажите хотя бы... <br><br>Двоеточием отмечено то что я пробовал но не помогло.<br><br>smb.conf<br><br>[global]<br><br>;auth methods = winbind<br><br> workgroup = PODR<br> server string = Linux Server<br> security = ADS <br>; allow trusted domains = No<br><br>; hosts allow = 10.100.4. 10.100.5. 127.<br> hosts allow = 10. 127.<br> time server = Yes<br> log file = /var/log/samba.%m<br> max log size = 50<br><br> password server = dc-01.podr.orgzap.ru<br><br> realm = PODR.ORGZAP.RU<br><br>;; passdb backend = tdbsam<br> socket options = TCP_NODELAY <br> local master = no<br> os level = 0<br> domain master = no<br> preferred master = no<br> dns proxy = no <br><br><br>display charset = koi8-r<br>unix charset = koi8-r<br>dos charset = cp866<br><br>encrypt passwords = yes<br><br>allow trusted domains = No<br>;winbind use default domain = yes<br>;winbind trusted domains only = yes<br>winbind uid = 10000-20000<br>winbind gid = 10000-20000<br>;idmap uid = 10000-20000<br>;idmap gid = 10000-20000<br>;winbind enum users = yes<br>;winbind enum groups = ye https://www.opennet.ru/openforum/vsluhforumID1/81185.html#1 Wed, 16 Jul 2008 12:13:20 GMT smb.conf<br>krb5.conf<br><br>покажите хотя бы...<br>