nixp.ru v3.0

23 января 2017,
понедельник,
11:30:02 MSK

DevOps с компанией «Флант»
dalex написал 22 ноября 2006 года в 10:24 (2043 просмотра) Ведет себя неопределенно; открыл 1 тему в форуме, оставил 1 комментарий на сайте.

Имеем PDC под Windows 2000 AS (AD), сеть LAN.MYDOMAIN.INT (LAN)

SuSe Linux Enterprise Server 9

На линуксе установлена samba-3.0.23c, сделаны шары, сконфигурирована под авторизацию через AD на PDC.

Делаю:

# net ads join -U user%password

Using short domain name — LAN

Joined 'MEDIA' to realm 'LAN.MYDOMAIN.INT'

/etc/init.d/winbind restart

/etc/init.d/nmb restart

/etc/init.d/smb restart

всё ок, не ругается

# getent group

выводит список груп локальных и домена

#wbinfo -u

список пользователей домена

#wbinfo -g

список групп домена

Шары авторизируются, пускают пользователей домена всё хорошо. Но! после перезагрузки в /var/log/messages получаем следущее

============================

Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)

Nov 10 12:13:19 media winbindd[3322]: kerberos_kinit_password MEDIA$@LAN.MYDOMAIN.INT failed: Preauthentication failed

Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)

Nov 10 12:13:19 media winbindd[3322]: kerberos_kinit_password MEDIA$@LAN.MYDOMAIN.INT failed: Preauthentication failed

Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)

Nov 10 12:13:19 media winbindd[3322]: kerberos_kinit_password MEDIA$@LAN.MYDOMAIN.INT failed: Preauthentication failed

Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)

… ещё несколько раз

============================

И в сетевом окружении сервер виден, но при попытке доступа к нему спрашивает логин пароль, который не прокатывает. Помогает только

net ads join -U user%password

/etc/init.d/winbind restart

/etc/init.d/nmb restart

/etc/init.d/smb restart

И то, после этой процедуры сразу к шарам можно подступиться только через IP linux сервера, а через netbios name к шарам можно через какое-то время…

Можно конечно подправить /etc/init.d/winbind, прописав в него net ads join, но это же не правильно будет… Что делать?

Конфиги:

/etc/samba/smb.conf

[global]

workgroup = LAN

netbios name = Media

security = ADS

log file = /var/log/samba/log.smbd

max log size = 500

realm = LAN.MYDOMAIN.INT

password server = xxx.xxx.xxx.xxx # IP PDC

encrypt passwords = yes

case sensitive = no

winbind uid = 10000-20000

winbind gid = 10000-20000

auth methods = winbind

winbind enum groups = yes

winbind enum users = yes

use sendfile = no

local master = No

domain master = No

printing = No

далее шары

/etc/krb5.conf

[libdefaults]

default_realm = LAN.MYDOMAIN.INT

clockskew = 300

ticket_lifetime = 24000

dns_lookup_realm = true

dns_lookup_kdc = true

[realms]

LAN.MYDOMAIN.INT = {

kdc = xxx.xxx.xxx.xxx:88

}

[domain_realm]

.lan.mydomain.int = LAN.MYDOMAIN.INT

lan.mydomain.int = LAN.MYDOMAIN.INT

[logging]

default = SYSLOG:NOTICE:DAEMON

kdc = FILE:/var/log/kdc.log

kadmind = FILE:/var/log/kadmind.log

[appdefaults]

pam = {

ticket_lifetime = 1d

renew_lifetime = 1d

forwardable = true

proxiable = false

retain_after_close = false

minimum_uid = 0

debug = false

}

/etc/nsswitch.conf

passwd: compat winbind

group: compat winbind

shadow: compat winbind

hosts: files dns

networks: files dns

services: files

protocols: files

rpc: files

ethers: files

netmasks: files

netgroup: files

publickey: files

bootparams: files

automount: files nis

aliases: files

passwd_compat: ldap

group_compat: ldap

Спасибо.

Anarchist

Есть мнение, что реализуемая конфигурация в настоящий момент не является типовой.

Соответственно должно лечиться вставкой строчки

net ads join -U user%password

в стартовый скрипт Самбы.

Аналогичную ситуацию наблюдал на пример Индейца с сипользованием клиента Оракла.

dalex

Да я понимаю что можно вставить, скорее даже в скрипт winbind, он же ругается, но решил выяснить как сделать правильно. Да и пароль в открытом виде не хотелось бы в скрипт писать…

А что значит «не является типовой"? Для данной версии самбы?

Anarchist
dalex
Да я понимаю что можно вставить, скорее даже в скрипт winbind, он же ругается, но решил выяснить как сделать правильно. Да и пароль в открытом виде не хотелось бы в скрипт писать…

По моему опыту, Самба здесь ни при чём.

Условаие максимальной безопасности делает невозможным автоматический перезапуск.

Если же необходим автоматический перезапуск — приходится жертвовать безопасностью.

Отчасти можно скомпенсировать правильным заданием владельца и присвоением прав.

dalex
А что значит «не является типовой"? Для данной версии самбы?

Для современной стабильной версии Самбы.

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.