Поделитесь опытом. Есть FreeBSD с доменом Samba 2.2.12 и компьютер Debian 6 c Samba 3.5.6. Нужно ввести машину с Debian в домен. Долгие попытки ни к чему не привели. Был у кого-нибудь положительный опыт?
так давайте определимся. у вас домен поднят на фре ? (вместо АД на винде)
ок.
Вы пробуете добавить машинку с дебианом в домен и у вас не получается.
какие ошибки на сервере, какие у вас на машинке ?
Виндовая машинка номально добавляется ?
Да, домен на FreeBSD. Виндовые машины входят в него без проблем. А с Debian проблема. Если это важно, на фре и дебиане разные версии самбы: на фре 2-ка, а на дебиане 3.
конфиг самбы на клиенте
[global]
unix charset=866
workgroup=<имя домена>
netbios name=ADMIN
server string=ADMIN-IT
invalid users=root
domain master = no
local master = no
dns proxy=no
wins support=yes
preferred master=no
security=domain
password server=<ip-контроллера домена>
encrypt passwords=yes
wins server=<ip-контроллера домена>
smb passwd file=/etc/samba/private/smbpasswd
browsable=yes
default case=upper
name resolve order=lmhosts host wins bcast
socket options=TCP_NODELAY SO_RCVBUF=4096 SO_SNDBUF=4096
write raw=yes
попытки входа и ошибки
# net rpc testjoin
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \netlogon failed with error NT_STATUS_UNSUCCESSFUL
net_rpc_join_ok: failed to get schannel session key from server SERVER for domain <имя домена>. Error was NT_STATUS_UNSUCCESSFUL
Join to domain '<имя домена>' is not valid: NT_STATUS_UNSUCCESSFUL
# net rpc join -U <имя админа>
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
Could not initialise lsa pipe
Enter administrator's password:
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
Error connecting to LSA pipe. Error was NT_STATUS_UNSUCCESSFUL
покажите файл конфига самбы сервера.
кроме того,
может быть нужно настроить на клиенте krb он же керберос ?
и для начала получить билетик ?
вот вам мануальчек
http://wiki.samba.org/index.php/Samba_&_Active_Directory (http://wiki.samba.org/index.php/Samba_&_Active_Directory)
Прочел такую штуку: перед джойном к домену надо отключить сервис самбы. Я этого не делал... в понедельник опробую, как окажусь на работе. Может это и есть тот камешек, который держит на месте весь состав.
А с керберосом я пробовал в самом начале своих исканий, пока не посчитал(может это и ошибочно), что это случай для домена Актив-Директори, а для случая нашей самбы на фре ничего не получится (в понедельник пришлю серверный конфиг). И билета так тогда и не смог получить: уж не помню сейчас какие ошибки выдавал мне kinit... а уж сколько статей перечитал на эту тему! Но Вашу ссылку обязательно посмотрю!
Поэтому, тыкаясь впотьмах, подумал: а не попробовать ли мне подключиться к домену по RPC?
ну вы меня удивили... а виндовые машины по вашему кудой авторизируются? через млечный путь?
тапк что керберос, потом получаете билетик, потом сихроните часы с контроллером ломена потом нет джоин!!!!
Конфиг на сервере (FreeBSD, Samba 2.2.12)
[global]
socket options = TCP_NODELAY IPTOS_THROUGHPUT SO_RCVBUF=4096 SO_SNDBUF=4096
client code page = 866
workgroup = KB
netbios name = Server
server string = Server PDC
interfaces = <ip-сервера>/24
security = user
encrypt passwords = Yes
null passwords = No
username map = /usr/local/samba/lib/smbusers
smb passwd file = /usr/local/samba/lib/smbpasswd
debug level = 0
log level = 2
log file = /usr/local/samba/var/log/log.%U
printcap name = /etc/printcap
max log size = 10240
deadtime = 0
character set = ISO8859-5
logon script = %U.bat
logon drive = X:
logon home = \\server\%u
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
local master = Yes
dns proxy = No
wins proxy = No
wins support = Yes
kernel oplocks = No
comment = Linux SAMBA version %v on %h
default case = upper
locking = No
fstype = Samba
write raw = Yes
message command = /bin/mail -s 'Message from %f on %m' root < %s; rm %s
browseable = No
Конфиги на клиенте
[b]/etc/ntp.conf[/b]
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help
driftfile /var/lib/ntp/ntp.drift
# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
# You do need to talk to an NTP server or two (or three).
server <ip контроллера домена>
#server 0.debian.pool.ntp.org iburst
#server 1.debian.pool.ntp.org iburst
#server 2.debian.pool.ntp.org iburst
#server 3.debian.pool.ntp.org iburst
# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1
[b]/etc/samba/samba.conf[/b]
[global]
unix charset=866
workgroup=<имя домена>
realm=<имя домена>
netbios name=<имя компа>
server string=<описание компа>
invalid users=root
domain master = no
local master = no
dns proxy=no
preferred master=no
interfaces=eth0
security=ADS
encrypt passwords=yes
log level=3
log file=/var/log/samba/%m
max log size=50
winbind enum users=Yes
winbind enum groups=Yes
winbind use default domain=Yes
winbind nested groups=Yes
winbind separator= +
idmap uid=600-20000
idmap gid=600-20000
;template primary group="Domain Users"
template shell=/bin/bash
[public]
path=/data/public
read only=Yes
create mask=0777
directory mask=0777
guest ok=yes
[b]/etc/krb.conf[/b]
[libdefaults]
default_realm = <область - совпадает с именем домена>
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# default_tgs_enctypes = des3-hmac-sha1
# default_tkt_enctypes = des3-hmac-sha1
# permitted_enctypes = des3-hmac-sha1
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
<область - имя домена> = {
kdc = <ip-контроллера домена>
admin_server = <ip-контроллера домена>
default_domain = <имя домена>
}
[domain_realm]
.<имя домена> = <имя домена>
[login]
krb4_convert = true
krb4_get_tickets = false
[b]/etc/nsswitch.conf[/b]
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
[size=16pt][b]Команды и ошибки[/b][/size]
# ntpdate 192.168.2.254
29 Oct 10:13:09 ntpdate[2590]: no server suitable for synchronization found
# ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
server .INIT. 16 u - 64 0 0.000 0.000 0.000
[i]здесь, server - это главный контроллер домена[/i]
# kinit
kinit: Cannot contact any KDC for realm '<имя домена>' while getting initial credentials
# net join ads -U administrator
[2012/10/29 10:02:08.472642, 0] rpc_client/cli_pipe.c:3793(cli_rpc_pipe_open_noauth_transport)
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
Could not initialise lsa pipe
Enter administrator's password:
[2012/10/29 10:02:20.961696, 0] rpc_client/cli_pipe.c:3793(cli_rpc_pipe_open_noauth_transport)
cli_rpc_pipe_open_noauth: rpc_pipe_bind for pipe \lsarpc failed with error NT_STATUS_UNSUCCESSFUL
[2012/10/29 10:02:20.961833, 0] utils/net_rpc_join.c:215(net_rpc_join_newstyle)
Error connecting to LSA pipe. Error was NT_STATUS_UNSUCCESSFUL
Цитата: berg от 29 октября 2012, 10:30:24server .INIT. 16 u
втыкать не особо охота во все это. стратум 16... дебиан явно не доверяет вашему нтп серверу
моя шамана аднака павторять...
Для начал настройте керберос на своем пк.
в конфиге керба указывайте имя сервера айпишником(эт важно)
кодировку сделайте на клиенте такую же как на сервере.
Как закончите пишите - что говорит сервир.