Введение рабочей станции Debian в домен Samba

berg · 26 октября 2012, 14:43:23

Поделитесь опытом. Есть FreeBSD с доменом Samba 2.2.12 и компьютер Debian 6 c Samba 3.5.6. Нужно ввести машину с Debian в домен. Долгие попытки ни к чему не привели. Был у кого-нибудь положительный опыт?

kobzar · 26 октября 2012, 15:29:20

так давайте определимся. у вас домен поднят на фре ? (вместо АД на винде)
ок.
Вы пробуете добавить машинку с дебианом в домен и у вас не получается.
какие ошибки на сервере, какие у вас на машинке ?
Виндовая машинка номально добавляется ?

berg · 26 октября 2012, 16:06:49

Да, домен на FreeBSD. Виндовые машины входят в него без проблем. А с Debian проблема. Если это важно, на фре и дебиане разные версии самбы: на фре 2-ка, а на дебиане 3.

конфиг самбы на клиенте

[global]
unix charset=866
workgroup=<имя домена>
netbios name=ADMIN
server string=ADMIN-IT
invalid users=root
domain master = no
local master = no
dns proxy=no
wins support=yes
preferred master=no
security=domain
password server=<ip-контроллера домена>
encrypt passwords=yes
wins server=<ip-контроллера домена>
smb passwd file=/etc/samba/private/smbpasswd
browsable=yes
default case=upper
name resolve order=lmhosts host wins bcast
socket options=TCP_NODELAY SO_RCVBUF=4096 SO_SNDBUF=4096
write raw=yes

попытки входа и ошибки

# net rpc testjoin
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \netlogon failed with error NT_STATUS_UNSUCCESSFUL
net_rpc_join_ok: failed to get schannel session key from server SERVER for domain <имя домена>. Error was NT_STATUS_UNSUCCESSFUL
Join to domain '<имя домена>' is not valid: NT_STATUS_UNSUCCESSFUL

# net rpc join -U <имя админа>
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
Could not initialise lsa pipe
Enter administrator's password:
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
Error connecting to LSA pipe. Error was NT_STATUS_UNSUCCESSFUL

kobzar · 26 октября 2012, 18:20:41

покажите файл конфига самбы сервера.
кроме того,
может быть нужно настроить на клиенте krb он же керберос ?
и для начала получить билетик ?
вот вам мануальчек
http://wiki.samba.org/index.php/Samba_&_Active_Directory

berg · 26 октября 2012, 19:35:32

Прочел такую штуку: перед джойном к домену надо отключить сервис самбы. Я этого не делал... в понедельник опробую, как окажусь на работе. Может это и есть тот камешек, который держит на месте весь состав.
А с керберосом я пробовал в самом начале своих исканий, пока не посчитал(может это и ошибочно), что это случай для домена Актив-Директори, а для случая нашей самбы на фре ничего не получится (в понедельник пришлю серверный конфиг). И билета так тогда и не смог получить: уж не помню сейчас какие ошибки выдавал мне kinit... а уж сколько статей перечитал на эту тему! Но Вашу ссылку обязательно посмотрю!
Поэтому, тыкаясь впотьмах, подумал: а не попробовать ли мне подключиться к домену по RPC?

kobzar · 26 октября 2012, 22:51:43

ну вы меня удивили... а виндовые машины по вашему кудой авторизируются? через млечный путь?
тапк что керберос, потом получаете билетик, потом сихроните часы с контроллером ломена потом нет джоин!!!!

berg · 29 октября 2012, 10:30:24

Конфиг на сервере (FreeBSD, Samba 2.2.12)

Код Выделить

[global]
	socket options = TCP_NODELAY IPTOS_THROUGHPUT SO_RCVBUF=4096 SO_SNDBUF=4096
	client code page = 866
	workgroup = KB
	netbios name = Server
	server string = Server PDC
	interfaces = <ip-сервера>/24
	security = user
	encrypt passwords = Yes
	null passwords = No
	username map = /usr/local/samba/lib/smbusers
	smb passwd file = /usr/local/samba/lib/smbpasswd
	debug level = 0
	log level = 2
	log file = /usr/local/samba/var/log/log.%U
	printcap name = /etc/printcap
	max log size = 10240
	deadtime = 0
	character set = ISO8859-5
	logon script = %U.bat
	logon drive = X:
	logon home = \\server\%u
	domain logons = Yes
	os level = 65
	preferred master = Yes
	domain master = Yes
	local master = Yes
	dns proxy = No
	wins proxy = No
	wins support = Yes
	kernel oplocks = No
	comment = Linux SAMBA version %v on %h
	default case = upper
	locking = No
	fstype = Samba
	write raw = Yes
	message command = /bin/mail -s 'Message from %f on %m' root < %s; rm %s
	browseable = No

Конфиги на клиенте

Код Выделить

[b]/etc/ntp.conf[/b]

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
server <ip контроллера домена>

#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

[b]/etc/samba/samba.conf[/b]

[global]
unix charset=866
workgroup=<имя домена>
realm=<имя домена>
netbios name=<имя компа>
server string=<описание компа>
invalid users=root

domain master = no
local master = no
dns proxy=no
preferred master=no

interfaces=eth0

security=ADS
encrypt passwords=yes
log level=3
log file=/var/log/samba/%m
max log size=50

winbind enum users=Yes
winbind enum groups=Yes
winbind use default domain=Yes
winbind nested groups=Yes
winbind separator= +
idmap uid=600-20000
idmap gid=600-20000
;template primary group="Domain Users"
template shell=/bin/bash

[public]
path=/data/public
read only=Yes
create mask=0777
directory mask=0777
guest ok=yes

[b]/etc/krb.conf[/b]

[libdefaults]
	default_realm = <область - совпадает с именем домена>
	krb4_config = /etc/krb.conf
	krb4_realms = /etc/krb.realms
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true

#	default_tgs_enctypes = des3-hmac-sha1
#	default_tkt_enctypes = des3-hmac-sha1
#	permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]
	<область - имя домена> = {
		kdc = <ip-контроллера домена>
		admin_server = <ip-контроллера домена>
		default_domain = <имя домена>
	}

[domain_realm]
	.<имя домена> = <имя домена>

[login]
	krb4_convert = true
	krb4_get_tickets = false

[b]/etc/nsswitch.conf[/b]

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

[size=16pt][b]Команды и ошибки[/b][/size]

# ntpdate 192.168.2.254
29 Oct 10:13:09 ntpdate[2590]: no server suitable for synchronization found

# ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 server          .INIT.          16 u    -   64    0    0.000    0.000   0.000

[i]здесь, server - это главный контроллер домена[/i]

# kinit
kinit: Cannot contact any KDC for realm '<имя домена>' while getting initial credentials

# net join ads -U administrator
[2012/10/29 10:02:08.472642,  0] rpc_client/cli_pipe.c:3793(cli_rpc_pipe_open_noauth_transport)
  cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
Could not initialise lsa pipe
Enter administrator's password:
[2012/10/29 10:02:20.961696,  0] rpc_client/cli_pipe.c:3793(cli_rpc_pipe_open_noauth_transport)
  cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
[2012/10/29 10:02:20.961833,  0] utils/net_rpc_join.c:215(net_rpc_join_newstyle)
  Error connecting to LSA pipe. Error was NT_STATUS_UNSUCCESSFUL

xbsd · 29 октября 2012, 10:55:36

Цитата: berg от 29 октября 2012, 10:30:24server .INIT. 16 u

втыкать не особо охота во все это. стратум 16... дебиан явно не доверяет вашему нтп серверу

kobzar · 29 октября 2012, 19:17:19

моя шамана аднака павторять...

Для начал настройте керберос на своем пк.
в конфиге керба указывайте имя сервера айпишником(эт важно)
кодировку сделайте на клиенте такую же как на сервере.
Как закончите пишите - что говорит сервир.