Имеем PDC под Windows 2000 AS (AD), сеть LAN.MYDOMAIN.INT (LAN)
SuSe Linux Enterprise Server 9
На линуксе установлена samba-3.0.23c, сделаны шары, сконфигурирована под авторизацию через AD на PDC.
Делаю:
# net ads join -U user%password
Using short domain name — LAN
Joined 'MEDIA' to realm 'LAN.MYDOMAIN.INT'
/etc/init.d/winbind restart
/etc/init.d/nmb restart
/etc/init.d/smb restart
всё ок, не ругается
# getent group
выводит список груп локальных и домена
#wbinfo -u
список пользователей домена
#wbinfo -g
список групп домена
Шары авторизируются, пускают пользователей домена всё хорошо. Но! после перезагрузки в /var/log/messages получаем следущее
============================
Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)
Nov 10 12:13:19 media winbindd[3322]: kerberos_kinit_password MEDIA$@LAN.MYDOMAIN.INT failed: Preauthentication failed
Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)
Nov 10 12:13:19 media winbindd[3322]: kerberos_kinit_password MEDIA$@LAN.MYDOMAIN.INT failed: Preauthentication failed
Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)
Nov 10 12:13:19 media winbindd[3322]: kerberos_kinit_password MEDIA$@LAN.MYDOMAIN.INT failed: Preauthentication failed
Nov 10 12:13:19 media winbindd[3322]: [2006/11/10 12:13:19, 0] libads/kerberos.c:ads_kinit_password(208)
… ещё несколько раз
============================
И в сетевом окружении сервер виден, но при попытке доступа к нему спрашивает логин пароль, который не прокатывает. Помогает только
net ads join -U user%password
/etc/init.d/winbind restart
/etc/init.d/nmb restart
/etc/init.d/smb restart
И то, после этой процедуры сразу к шарам можно подступиться только через IP linux сервера, а через netbios name к шарам можно через какое-то время…
Можно конечно подправить /etc/init.d/winbind, прописав в него net ads join, но это же не правильно будет… Что делать?
Конфиги:
/etc/samba/smb.conf
[global]
workgroup = LAN
netbios name = Media
security = ADS
log file = /var/log/samba/log.smbd
max log size = 500
realm = LAN.MYDOMAIN.INT
password server = xxx.xxx.xxx.xxx # IP PDC
encrypt passwords = yes
case sensitive = no
winbind uid = 10000-20000
winbind gid = 10000-20000
auth methods = winbind
winbind enum groups = yes
winbind enum users = yes
use sendfile = no
local master = No
domain master = No
printing = No
далее шары
/etc/krb5.conf
[libdefaults]
default_realm = LAN.MYDOMAIN.INT
clockskew = 300
ticket_lifetime = 24000
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
LAN.MYDOMAIN.INT = {
kdc = xxx.xxx.xxx.xxx:88
}
[domain_realm]
.lan.mydomain.int = LAN.MYDOMAIN.INT
lan.mydomain.int = LAN.MYDOMAIN.INT
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
/etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat winbind
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
automount: files nis
aliases: files
passwd_compat: ldap
group_compat: ldap
Спасибо.
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Есть мнение, что реализуемая конфигурация в настоящий момент не является типовой.
Соответственно должно лечиться вставкой строчки
в стартовый скрипт Самбы.
Аналогичную ситуацию наблюдал на пример Индейца с сипользованием клиента Оракла.
Да я понимаю что можно вставить, скорее даже в скрипт winbind, он же ругается, но решил выяснить как сделать правильно. Да и пароль в открытом виде не хотелось бы в скрипт писать…
А что значит «не является типовой"? Для данной версии самбы?
По моему опыту, Самба здесь ни при чём.
Условаие максимальной безопасности делает невозможным автоматический перезапуск.
Если же необходим автоматический перезапуск — приходится жертвовать безопасностью.
Отчасти можно скомпенсировать правильным заданием владельца и присвоением прав.
Для современной стабильной версии Самбы.