Похоже на то, что у тебя kerberos не установлен, вот и все.
1. Установи его: sudo aptitude -fr install krb5-clients krb5-doc krb5-user libpam-krb5
2. Настрой его. Для этого в файле /etc/krb5.conf должно быть что-то вроде этого: [libdefaults] default_realm = domain_name_with_suffix clockskew = 300 forwardable = true default_etypes = des-cbc-crc des-cbc-md5 default_etypes_des = des-cbc-crc des-cbc-md5 [realms] domain_name_with_suffix = { kdc = domain_controller:88 admin_server = domain_controller:88 } another_domain_name_with_suffix = { kdc = another_domain_controller:88 } [domain_realm] .domain_suffix_alias1 = domain_name_with_suffix .domain_suffix_alias2 = domain_name_with_suffix
Понятно, что настройки могут быть другими и порты в том числе. Попробуй, отпишись.
Вот сюда и копать для начала. kinit позволяет войти в домен доменным пользователем, а тебе говорят, что пользователя такого нет (или учетная запись заблокирована)! Попробуй в полном варианте: kinit kavl@ADLK
Я правильно понимаю, что в ADLK суффикс входит?
Ага, это я нехило тупанул с заблокированной учеткой, которую сам же по дури заблокировал (три раза ошибся с пассом в терминале, но это уже рабочие моменты))))) и забыл.
Итак: $ kinit kavl Password for kavl@ADLK: kinit: Preauthentication failed while getting initial credentials
Через sudo тоже самое.
У меня такое ощущение, что синхронизация времени сбилась. До этого тикеты при проверке получал нормально.
Теперь вопрос следующий (для чего это было нужно). Собственно функцию использует SAMS для просмотра пользователей и групп домена. Сама она через ads не вызывает, и сделают ли что-либо для этого разработчики - непонятно. Можно ли как-то сделать, чтобы метод (ads) вызывался автоматом? Без этого не пашет.
Кстати, уже большое спасибо за внимание и проделанную работу.
Так я ж сразу сказал, что просто керберос был неустановлен)))
По вопросу: наверное, в /etc/samba/smb.conf надо прописать security = ads По умолчанию толи user, толи share.
SAMS - прога для биллинга трафика над Сквидом.
Сейчас в сетке стоит прокся с биллингом на ТраффикИнспектор. Сервер подглючивает (не из-за железа)))).
Есть огромное желание поднять всё это дело под Линухом, чтобы раз и навсегда забыть. Всякие SARGи не пойдут - именно нужно аутентификация по AD, отрубание при превышении лимита и т. д.
Ну ладно, буду копать))) Тут пока разбирался с net user жутко заглючила админка SAMS))))
Похоже на то, что у тебя kerberos не установлен, вот и все.
1. Установи его:
sudo aptitude -fr install krb5-clients krb5-doc krb5-user libpam-krb5
2. Настрой его. Для этого в файле /etc/krb5.conf должно быть что-то вроде этого:
[libdefaults]
default_realm = domain_name_with_suffix
clockskew = 300
forwardable = true
default_etypes = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5
[realms]
domain_name_with_suffix = {
kdc = domain_controller:88
admin_server = domain_controller:88
}
another_domain_name_with_suffix = {
kdc = another_domain_controller:88
}
[domain_realm]
.domain_suffix_alias1 = domain_name_with_suffix
.domain_suffix_alias2 = domain_name_with_suffix
Понятно, что настройки могут быть другими и порты в том числе. Попробуй, отпишись.
Ты с ads пробовал? Его надо обязательно писать, он автоматически метод
ни фигане распознает.Пробуем:
traf@prox:~$ net ads user -I 192.168.1.11 -U kavl
Enter kavl's password:
[2010/09/09 09:32:16, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.ThjPZn. Errno Отказано в доступе
[2010/09/09 09:32:16, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/09 09:32:16, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.qX2KPb. Errno Отказано в доступе
[2010/09/09 09:32:16, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
traf@prox:~$ net ads user -S adlp -U kavl
Enter kavl's password:
[2010/09/09 09:32:46, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/09 09:32:46, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
Через sudo, может быть?
Уже попробовал, та же хрень.
Ну, я не знаю тогда. Надо подумать :-) Если светлые мысли в голову придут, отпишусь, конечно.
Отпишусь, конечно, особенно при удачном решении проблемы. Но голову ломаю уже где-то неделю.
Это ты про самбу или керберос? Попробуй выполнить сначала
kinit kavl
Что скажет?
Сказал вот что:
kinit: Clients credentials have been revoked while getting initial credentials
Блин, тяжко чувствовать себя лохом))) Куда копать дальше?
Вот сюда и копать для начала. kinit позволяет войти в домен доменным пользователем, а тебе говорят, что пользователя такого нет (или учетная запись заблокирована)! Попробуй в полном варианте:
kinit kavl@ADLK
Я правильно понимаю, что в ADLK суффикс входит?
Ага, это я нехило тупанул с заблокированной учеткой, которую сам же по дури заблокировал (три раза ошибся с пассом в терминале, но это уже рабочие моменты))))) и забыл.
Итак:
$ kinit kavl
Password for kavl@ADLK:
kinit: Preauthentication failed while getting initial credentials
Через sudo тоже самое.
У меня такое ощущение, что синхронизация времени сбилась. До этого тикеты при проверке получал нормально.
Ага, теперь пароль неверный :-)
Так-с... вроде на месте. Насколько я помню, если нет ответа от kinit, то тикет получен нормально...
Т.е. ничего не сказал после ввода пароля? Хорошо, давай теперь
net ads user -S adlp -U kavl
Вау! Бинго!!!
То бишь заработало))
Теперь вопрос следующий (для чего это было нужно). Собственно функцию использует SAMS для просмотра пользователей и групп домена. Сама она через ads не вызывает, и сделают ли что-либо для этого разработчики - непонятно. Можно ли как-то сделать, чтобы метод (ads) вызывался автоматом? Без этого не пашет.
Кстати, уже большое спасибо за внимание и проделанную работу.
Так я ж сразу сказал, что просто керберос был неустановлен)))
По вопросу: наверное, в /etc/samba/smb.conf надо прописать
security = ads
По умолчанию толи user, толи share.По всем мануалам там нужно ставить DOMAIN, сейчас поставил ads. Ощущение - что не работает.
Эх... ну, ладно. Никогда не использовал SAMS (даже не в курсе, что это такое :-) ).
SAMS - прога для биллинга трафика над Сквидом.
Сейчас в сетке стоит прокся с биллингом на ТраффикИнспектор. Сервер подглючивает (не из-за железа)))).
Есть огромное желание поднять всё это дело под Линухом, чтобы раз и навсегда забыть. Всякие SARGи не пойдут - именно нужно аутентификация по AD, отрубание при превышении лимита и т. д.
Ну ладно, буду копать))) Тут пока разбирался с net user жутко заглючила админка SAMS))))
Отправить комментарий