Не работает команда Samba "net user"

Всем добрый день!

Server 10.04
Kernel 2.6.32
Samba 2:3.4.7

Домен на Server 2008, режим работы 2003. В домен вошел нормально, всякие вещи типа получения тикетов да и вообще все тесты прохожу.
Не могу получить список пользователей командой

net user -I 192.168.1.11 -U domain_admin

где айпишник - мой контроллер домена, а domain_admin - учетка администратора домена.
Вместо списка пользователей выводится:

понятно, что выводится просто справка по команде, больше никаких ошибок. Такая же хрень по net group. Куда копать не знаю. Уже и вместо айпишника прописывал имя сервера, и имя пользователя в разных вариациях писал (типа user.domain, domain/user и т. д.).
Кто может помочь?

Да, если делать
net ads user -I 192.168.1.11 -U domain_admin
Получается:
[2010/09/08 14:11:26,  0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
  create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.I74uCX. Errno Отказано в доступе
[2010/09/08 14:11:26,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/08 14:11:26,  0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
  create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.swOQz6. Errno Отказано в доступе
[2010/09/08 14:11:26,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed

ADLK - имя домена
PROX - имя машины

0
knuckles - 9 Сентябрь, 2010 - 08:09
Изображение пользователя knuckles.

Похоже на то, что у тебя kerberos не установлен, вот и все.
1. Установи его:
sudo aptitude -fr install krb5-clients krb5-doc krb5-user libpam-krb5
2. Настрой его. Для этого в файле /etc/krb5.conf должно быть что-то вроде этого:
[libdefaults]
    default_realm = domain_name_with_suffix
    clockskew = 300
    forwardable = true
    default_etypes = des-cbc-crc des-cbc-md5
    default_etypes_des = des-cbc-crc des-cbc-md5
[realms]
    domain_name_with_suffix = {
        kdc = domain_controller:88
        admin_server = domain_controller:88
    }
    another_domain_name_with_suffix = {
        kdc = another_domain_controller:88
    }
[domain_realm]
    .domain_suffix_alias1 = domain_name_with_suffix
    .domain_suffix_alias2 = domain_name_with_suffix

Понятно, что настройки могут быть другими и порты в том числе. Попробуй, отпишись.

0
livejoker - 9 Сентябрь, 2010 - 08:24

Керберос стоял, но видимо неполностью, не было следующих пакетов:
krb5-clients krb5-doc libpam-krb5

Настраивал я его неоднократно (в попытках выявить глюк) по разным мануалам - там различий не очень много. Собственно, конф:

Доустановка пакетов пока не помогла((

Да, если поможет: в домен я включился нормально.

0
knuckles - 9 Сентябрь, 2010 - 08:31
Изображение пользователя knuckles.

Ты с ads пробовал? Его надо обязательно писать, он автоматически метод ни фига не распознает.

0
livejoker - 9 Сентябрь, 2010 - 08:35

Пробуем:

traf@prox:~$ net ads user -I 192.168.1.11 -U kavl
Enter kavl's password:
[2010/09/09 09:32:16, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.ThjPZn. Errno Отказано в доступе
[2010/09/09 09:32:16, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/09 09:32:16, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.qX2KPb. Errno Отказано в доступе
[2010/09/09 09:32:16, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed

traf@prox:~$ net ads user -S adlp -U kavl
Enter kavl's password:
[2010/09/09 09:32:46, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/09 09:32:46, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed

0
knuckles - 9 Сентябрь, 2010 - 08:39
Изображение пользователя knuckles.

Через sudo, может быть?

0
livejoker - 9 Сентябрь, 2010 - 08:44

Уже попробовал, та же хрень.

0
knuckles - 9 Сентябрь, 2010 - 08:46
Изображение пользователя knuckles.

Ну, я не знаю тогда. Надо подумать :-) Если светлые мысли в голову придут, отпишусь, конечно.

0
livejoker - 9 Сентябрь, 2010 - 08:48

Отпишусь, конечно, особенно при удачном решении проблемы. Но голову ломаю уже где-то неделю.

0
knuckles - 9 Сентябрь, 2010 - 09:47
Изображение пользователя knuckles.

Да, если поможет: в домен я включился нормально.
Это ты про самбу или керберос? Попробуй выполнить сначала
kinit kavl
Что скажет?

0
livejoker - 9 Сентябрь, 2010 - 09:51

Сказал вот что:
kinit: Clients credentials have been revoked while getting initial credentials

Блин, тяжко чувствовать себя лохом))) Куда копать дальше?

0
knuckles - 9 Сентябрь, 2010 - 09:55
Изображение пользователя knuckles.

Вот сюда и копать для начала. kinit позволяет войти в домен доменным пользователем, а тебе говорят, что пользователя такого нет (или учетная запись заблокирована)! Попробуй в полном варианте:
kinit kavl@ADLK
Я правильно понимаю, что в ADLK суффикс входит?

0
livejoker - 9 Сентябрь, 2010 - 10:06

Ага, это я нехило тупанул с заблокированной учеткой, которую сам же по дури заблокировал (три раза ошибся с пассом в терминале, но это уже рабочие моменты))))) и забыл.
Итак:
$ kinit kavl
Password for kavl@ADLK:
kinit: Preauthentication failed while getting initial credentials

Через sudo тоже самое.

У меня такое ощущение, что синхронизация времени сбилась. До этого тикеты при проверке получал нормально.

0
knuckles - 9 Сентябрь, 2010 - 10:07
Изображение пользователя knuckles.

Ага, теперь пароль неверный :-)

0
livejoker - 9 Сентябрь, 2010 - 10:25

Так-с... вроде на месте. Насколько я помню, если нет ответа от kinit, то тикет получен нормально...

0
knuckles - 9 Сентябрь, 2010 - 10:30
Изображение пользователя knuckles.

Т.е. ничего не сказал после ввода пароля? Хорошо, давай теперь net ads user -S adlp -U kavl

0
livejoker - 9 Сентябрь, 2010 - 10:34

Вау! Бинго!!!
То бишь заработало))

Теперь вопрос следующий (для чего это было нужно). Собственно функцию использует SAMS для просмотра пользователей и групп домена. Сама она через ads не вызывает, и сделают ли что-либо для этого разработчики - непонятно. Можно ли как-то сделать, чтобы метод (ads) вызывался автоматом? Без этого не пашет.

Кстати, уже большое спасибо за внимание и проделанную работу.

0
knuckles - 9 Сентябрь, 2010 - 11:19
Изображение пользователя knuckles.

Так я ж сразу сказал, что просто керберос был неустановлен)))
По вопросу: наверное, в /etc/samba/smb.conf надо прописать security = ads По умолчанию толи user, толи share.

0
livejoker - 9 Сентябрь, 2010 - 11:26

По всем мануалам там нужно ставить DOMAIN, сейчас поставил ads. Ощущение - что не работает.

0
knuckles - 9 Сентябрь, 2010 - 11:33
Изображение пользователя knuckles.

Эх... ну, ладно. Никогда не использовал SAMS (даже не в курсе, что это такое :-) ).

0
livejoker - 9 Сентябрь, 2010 - 11:47

SAMS - прога для биллинга трафика над Сквидом.
Сейчас в сетке стоит прокся с биллингом на ТраффикИнспектор. Сервер подглючивает (не из-за железа)))).
Есть огромное желание поднять всё это дело под Линухом, чтобы раз и навсегда забыть. Всякие SARGи не пойдут - именно нужно аутентификация по AD, отрубание при превышении лимита и т. д.
Ну ладно, буду копать))) Тут пока разбирался с net user жутко заглючила админка SAMS))))

Отправить комментарий

CAPTCHA на основе изображений
Введите цифры