Не работает команда Samba "net user"

livejoker - 9 Сентябрь, 2010 - 07:11

Всем добрый день!

Server 10.04
Kernel 2.6.32
Samba 2:3.4.7

Домен на Server 2008, режим работы 2003. В домен вошел нормально, всякие вещи типа получения тикетов да и вообще все тесты прохожу.
Не могу получить список пользователей командой

net user -I 192.168.1.11 -U domain_admin

где айпишник - мой контроллер домена, а domain_admin - учетка администратора домена.
Вместо списка пользователей выводится:

Развернуть/свернуть скрытый текст.

net [] user [misc. options] [targets]
List users

net [] user DELETE [misc. options] [targets]
Delete specified user

net [] user INFO [misc. options] [targets]
List the domain groups of the specified user

net [] user ADD [password] [-c container] [-F user flags] [misc. options] [targets]
Add specified user

net [] user RENAME [targets]
Rename specified user

Valid methods: (auto-detected if not specified)
ads Active Directory (LDAP/Kerberos)
rpc DCE-RPC
rap RAP (older systems)

Valid targets: choose one (none defaults to localhost)
-S or --server= server name
-I or --ipaddress= address of target server
-w or --workgroup= target workgroup or domain

Valid miscellaneous options are:
-p or --port= connection port on target
-W or --myworkgroup= client workgroup
-d or --debuglevel= debug level (0-10)
-n or --myname= client name
-U or --user= user name
-s or --configfile= pathname of smb.conf file
-l or --long Display full information
-V or --version Print samba version information
-P or --machine-pass Authenticate as machine account
-e or --encrypt Encrypt SMB transport (UNIX extended servers only)
-k or --kerberos Use kerberos (active directory) authentication
-C or --comment= descriptive comment (for add only)
-c or --container= LDAP container, defaults to cn=Users (for add in ADS only)

понятно, что выводится просто справка по команде, больше никаких ошибок. Такая же хрень по net group. Куда копать не знаю. Уже и вместо айпишника прописывал имя сервера, и имя пользователя в разных вариациях писал (типа user.domain, domain/user и т. д.).
Кто может помочь?

Да, если делать
net ads user -I 192.168.1.11 -U domain_admin
Получается:
[2010/09/08 14:11:26, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain) create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.I74uCX. Errno Отказано в доступе [2010/09/08 14:11:26, 0] libads/kerberos.c:333(ads_kinit_password) kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed [2010/09/08 14:11:26, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain) create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.swOQz6. Errno Отказано в доступе [2010/09/08 14:11:26, 0] libads/kerberos.c:333(ads_kinit_password) kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
ADLK - имя домена
PROX - имя машины

knuckles - 9 Сентябрь, 2010 - 08:09

Похоже на то, что у тебя kerberos не установлен, вот и все.
1. Установи его:
sudo aptitude -fr install krb5-clients krb5-doc krb5-user libpam-krb5
2. Настрой его. Для этого в файле /etc/krb5.conf должно быть что-то вроде этого:
[libdefaults] default_realm = domain_name_with_suffix clockskew = 300 forwardable = true default_etypes = des-cbc-crc des-cbc-md5 default_etypes_des = des-cbc-crc des-cbc-md5 [realms] domain_name_with_suffix = { kdc = domain_controller:88 admin_server = domain_controller:88 } another_domain_name_with_suffix = { kdc = another_domain_controller:88 } [domain_realm] .domain_suffix_alias1 = domain_name_with_suffix .domain_suffix_alias2 = domain_name_with_suffix
Понятно, что настройки могут быть другими и порты в том числе. Попробуй, отпишись.

ответить

livejoker - 9 Сентябрь, 2010 - 08:24

Керберос стоял, но видимо неполностью, не было следующих пакетов:
krb5-clients krb5-doc libpam-krb5

Настраивал я его неоднократно (в попытках выявить глюк) по разным мануалам - там различий не очень много. Собственно, конф:

Развернуть/свернуть скрытый текст.

[libdefaults]
default_realm = ADLK

# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).

# default_tgs_enctypes = des3-hmac-sha1
# default_tkt_enctypes = des3-hmac-sha1
# permitted_enctypes = des3-hmac-sha1

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
ATHENA.MIT.EDU = {
kdc = kerberos.mit.edu:88
kdc = kerberos-1.mit.edu:88
kdc = kerberos-2.mit.edu:88
admin_server = kerberos.mit.edu
default_domain = mit.edu
}
MEDIA-LAB.MIT.EDU = {
kdc = kerberos.media.mit.edu
admin_server = kerberos.media.mit.edu
}
ZONE.MIT.EDU = {
kdc = casio.mit.edu
kdc = seiko.mit.edu
admin_server = casio.mit.edu
}
MOOF.MIT.EDU = {
kdc = three-headed-dogcow.mit.edu:88
kdc = three-headed-dogcow-1.mit.edu:88
admin_server = three-headed-dogcow.mit.edu
}
CSAIL.MIT.EDU = {
kdc = kerberos-1.csail.mit.edu
kdc = kerberos-2.csail.mit.edu
admin_server = kerberos.csail.mit.edu
default_domain = csail.mit.edu
krb524_server = krb524.csail.mit.edu
}
IHTFP.ORG = {
kdc = kerberos.ihtfp.org
admin_server = kerberos.ihtfp.org
}
GNU.ORG = {
kdc = kerberos.gnu.org
kdc = kerberos-2.gnu.org
kdc = kerberos-3.gnu.org
admin_server = kerberos.gnu.org
}
1TS.ORG = {
kdc = kerberos.1ts.org
admin_server = kerberos.1ts.org
}
GRATUITOUS.ORG = {
kdc = kerberos.gratuitous.org
admin_server = kerberos.gratuitous.org
}
DOOMCOM.ORG = {
kdc = kerberos.doomcom.org
admin_server = kerberos.doomcom.org
}
ANDREW.CMU.EDU = {
kdc = vice28.fs.andrew.cmu.edu
kdc = vice2.fs.andrew.cmu.edu
kdc = vice11.fs.andrew.cmu.edu
kdc = vice12.fs.andrew.cmu.edu
admin_server = vice28.fs.andrew.cmu.edu
default_domain = andrew.cmu.edu
}
CS.CMU.EDU = {
kdc = kerberos.cs.cmu.edu
kdc = kerberos-2.srv.cs.cmu.edu
admin_server = kerberos.cs.cmu.edu
}
DEMENTIA.ORG = {
kdc = kerberos.dementia.org
kdc = kerberos2.dementia.org
admin_server = kerberos.dementia.org
}
stanford.edu = {
kdc = krb5auth1.stanford.edu
kdc = krb5auth2.stanford.edu
kdc = krb5auth3.stanford.edu
master_kdc = krb5auth1.stanford.edu
admin_server = krb5-admin.stanford.edu
default_domain = stanford.edu
}

ADLK = {
kdc=adl.adlk:88
default_domain=adlk
}
[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
.media.mit.edu = MEDIA-LAB.MIT.EDU
media.mit.edu = MEDIA-LAB.MIT.EDU
.csail.mit.edu = CSAIL.MIT.EDU
csail.mit.edu = CSAIL.MIT.EDU
.whoi.edu = ATHENA.MIT.EDU
whoi.edu = ATHENA.MIT.EDU
.stanford.edu = stanford.edu
.slac.stanford.edu = SLAC.STANFORD.EDU
adlk = ADLK
.adlk = ADLK
ADLK = ADLK
.ADLK = ADLK

[login]
krb4_convert = true
krb4_get_tickets = false

Доустановка пакетов пока не помогла((

Да, если поможет: в домен я включился нормально.

ответить

knuckles - 9 Сентябрь, 2010 - 08:31

Ты с ads пробовал? Его надо обязательно писать, он автоматически метод ~~ни фига~~ не распознает.

ответить

livejoker - 9 Сентябрь, 2010 - 08:35

Пробуем:

traf@prox:~$ net ads user -I 192.168.1.11 -U kavl
Enter kavl's password:
[2010/09/09 09:32:16, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.ThjPZn. Errno Отказано в доступе
[2010/09/09 09:32:16, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/09 09:32:16, 0] libads/kerberos.c:882(create_local_private_krb5_conf_for_domain)
create_local_private_krb5_conf_for_domain: smb_mkstemp failed, for file /var/run/samba/smb_tmp_krb5.qX2KPb. Errno Отказано в доступе
[2010/09/09 09:32:16, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed

traf@prox:~$ net ads user -S adlp -U kavl
Enter kavl's password:
[2010/09/09 09:32:46, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed
[2010/09/09 09:32:46, 0] libads/kerberos.c:333(ads_kinit_password)
kerberos_kinit_password PROX$@ADLK failed: Preauthentication failed

ответить

knuckles - 9 Сентябрь, 2010 - 08:39

Через sudo, может быть?

ответить

livejoker - 9 Сентябрь, 2010 - 08:44

Уже попробовал, та же хрень.

ответить

knuckles - 9 Сентябрь, 2010 - 08:46

Ну, я не знаю тогда. Надо подумать :-) Если светлые мысли в голову придут, отпишусь, конечно.

ответить

livejoker - 9 Сентябрь, 2010 - 08:48

Отпишусь, конечно, особенно при удачном решении проблемы. Но голову ломаю уже где-то неделю.

ответить

knuckles - 9 Сентябрь, 2010 - 09:47

Да, если поможет: в домен я включился нормально.
Это ты про самбу или керберос? Попробуй выполнить сначала
kinit kavl
Что скажет?

ответить

livejoker - 9 Сентябрь, 2010 - 09:51

Сказал вот что:
kinit: Clients credentials have been revoked while getting initial credentials

Блин, тяжко чувствовать себя лохом))) Куда копать дальше?

ответить

knuckles - 9 Сентябрь, 2010 - 09:55

Вот сюда и копать для начала. kinit позволяет войти в домен доменным пользователем, а тебе говорят, что пользователя такого нет (или учетная запись заблокирована)! Попробуй в полном варианте:
kinit kavl@ADLK
Я правильно понимаю, что в ADLK суффикс входит?

ответить

livejoker - 9 Сентябрь, 2010 - 10:06

Ага, это я нехило тупанул с заблокированной учеткой, которую сам же по дури заблокировал (три раза ошибся с пассом в терминале, но это уже рабочие моменты))))) и забыл.
Итак:
$ kinit kavl Password for kavl@ADLK: kinit: Preauthentication failed while getting initial credentials

Через sudo тоже самое.

У меня такое ощущение, что синхронизация времени сбилась. До этого тикеты при проверке получал нормально.

ответить

knuckles - 9 Сентябрь, 2010 - 10:07

Ага, теперь пароль неверный :-)

ответить

livejoker - 9 Сентябрь, 2010 - 10:25

Так-с... вроде на месте. Насколько я помню, если нет ответа от kinit, то тикет получен нормально...

ответить

knuckles - 9 Сентябрь, 2010 - 10:30

Т.е. ничего не сказал после ввода пароля? Хорошо, давай теперь net ads user -S adlp -U kavl

ответить

livejoker - 9 Сентябрь, 2010 - 10:34

Вау! Бинго!!!
То бишь заработало))

Теперь вопрос следующий (для чего это было нужно). Собственно функцию использует SAMS для просмотра пользователей и групп домена. Сама она через ads не вызывает, и сделают ли что-либо для этого разработчики - непонятно. Можно ли как-то сделать, чтобы метод (ads) вызывался автоматом? Без этого не пашет.

Кстати, уже большое спасибо за внимание и проделанную работу.

ответить

knuckles - 9 Сентябрь, 2010 - 11:19

Так я ж сразу сказал, что просто керберос был неустановлен)))
По вопросу: наверное, в /etc/samba/smb.conf надо прописать security = ads По умолчанию толи user, толи share.

ответить

livejoker - 9 Сентябрь, 2010 - 11:26

По всем мануалам там нужно ставить DOMAIN, сейчас поставил ads. Ощущение - что не работает.

ответить

knuckles - 9 Сентябрь, 2010 - 11:33

Эх... ну, ладно. Никогда не использовал SAMS (даже не в курсе, что это такое :-) ).

ответить

livejoker - 9 Сентябрь, 2010 - 11:47

SAMS - прога для биллинга трафика над Сквидом.
Сейчас в сетке стоит прокся с биллингом на ТраффикИнспектор. Сервер подглючивает (не из-за железа)))).
Есть огромное желание поднять всё это дело под Линухом, чтобы раз и навсегда забыть. Всякие SARGи не пойдут - именно нужно аутентификация по AD, отрубание при превышении лимита и т. д.
Ну ладно, буду копать))) Тут пока разбирался с net user жутко заглючила админка SAMS))))

ответить

Отправить комментарий

Формат ввода

Доступны HTML теги: <h1> <h2> <h3> <h4> <h5> <h6> <a> <img> <em> <u> <hr> <strong> <b> <s> <cite> <q> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br> <p> <table> <tr> <td>
Строки и параграфы переносятся автоматически.
Используйте <code>...</code> для вставки кода в сообщения
Используйте [collapse] и [/collapse] для сворачиваемого текстового блока. [collapse collapsed] или [collapsed] для изначально свернутого блока.
Для вставки видео используйте [video:URL]

Подробнее о форматировании