URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 622
[ Назад ]

Исходное сообщение
"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Fbm , 31-Окт-05 11:38

Существует домен на Win2000 (ADS) Нужно ввести в домен самба с авторизацией пользователей в ADS.
ставил самбу согласно документу идущему с исходниками самбы Samba3-ByExample.pdf
Samba 3.0.20b собрана со след опциями:
./configure --with-winbind --with-winbind-auth-challenge --with-acl-support --prefix=/opt/samba --with-logfilebase=/var/samba/log --with-configdir=/etc/samba --with-privatedir=/etc/samba/private --with-ads --with-krb5=/usr/heimdal/
вот конфиг:
bash-2.05# cat /etc/samba/smb.conf
[global]
workgroup = DOMAIN1
netbios name = SAMBASERVER
realm = DOMAIN1.NET
server string = samba server
security = ads
username map=/etc/samba/smbusers
log level = 1
syslog = 0
log file = /var/samba/log/%U_%m.log
max log size = 500
ldap ssl = no
idmap uid=10000-20000
idmap gid=10000-20000
template shell = /bin/bash
[homes]
comment = Home Directories
valid users = %S
read only = No
create mask = 0664
directory mask = 0775
browseable = No
[public]
path = /export/home/public
read only = No
browseable = Yes
public = Yes
writeable = yes
guest ok = yes
конфиг кербероса:
bash-2.05# cat /etc/krb5/krb5.conf
[libdefaults]
        default_realm = domain1.net
[realms]
        tg.net = {
        kdc = .domain1.net:88
        admin_server = win2kserver.domain1.net:749
        default_domain = domain1.net
        }
[domain_realm]
.domain1.net = DOMAIN1.NET
domain1.net = DOMAIN1.NET
[logging]
        default = FILE:/var/krb5/kdc.log
        kdc = FILE:/var/krb5/kdc.log
        kdc_rotate = {
        period = 1d
        version = 10
}
[appdefaults]
        kinit = {
        renewable = true
        forwardable= true
        }
вот nss
bash-2.05# cat /etc/nsswitch.conf
passwd:     files ldap
group:      files ldap
команда wbinfo -p, -t , -u , -g каждый раз отрабатывает корректно, отображает доменных пользователей, группы.
однако команда getent passwd и getent group отображает только ЛОКАЛЬНЫХ  пользователей и группы. =((
по команде kinit (если вводит правильный пароль) выводит следующее
bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
administrator@domain1.net's Password:
kinit: Password incorrect
если вводит ЗАВЕДОМО неверный, то выводит
bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
administrator@domain1.net's Password:
kinit: krb5_get_init_creds: Preauthentication failed
куда копать, господа?

Содержание

Samba 3 не может авторизоваться в домене Win 2000,ALex_hha, 17:36 , 31-Окт-05
- Samba 3 не может авторизоваться в домене Win 2000,Fbm, 18:18 , 31-Окт-05
  - Samba 3 не может авторизоваться в домене Win 2000,RomaRick, 11:11 , 13-Янв-06
  - Samba 3 не может авторизоваться в домене Win 2000,RomaRick, 12:14 , 13-Янв-06
Samba 3 не может авторизоваться в домене Win 2000,Elf_UA, 16:57 , 17-Ноя-05
- Samba 3 не может авторизоваться в домене Win 2000,antoshkin, 02:11 , 19-Ноя-05
  - Samba 3 не может авторизоваться в домене Win 2000,Michael, 11:10 , 17-Апр-06
  - Samba 3 не может авторизоваться в домене Win 2000,Bumper, 15:30 , 19-Июл-06
    - Samba 3 не может авторизоваться в домене Win 2000,riv1329, 21:47 , 12-Янв-07
      - Samba 3 не может авторизоваться в домене Win 2000,Влад, 04:30 , 06-Апр-07
        
        Samba 3 не может авторизоваться в домене Win 2000,reset, 09:26 , 20-Апр-07
  - Samba 3 не может авторизоваться в домене Win 2000,Константин Брызгалов, 14:38 , 29-Янв-09
    - Samba 3 не может авторизоваться в домене Win 2000,Judge, 11:32 , 12-Фев-09
      - Samba 3 не может авторизоваться в домене Win 2000,ekzorchik, 11:49 , 02-Авг-10

Сообщения в этом обсуждении

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено ALex_hha , 31-Окт-05 17:36

/etc/nsswitch.conf
passwd:     files winbind
group:      files winbind
должно помочь
[realms]
        tg.net = {
        kdc = .domain1.net:88
        admin_server = win2kserver.domain1.net:749
        default_domain = domain1.net
Наврное должно быть так
kdc = win2kserver.domain1.net:88
Машины по днс имени пингуются?

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Fbm , 31-Окт-05 18:18

>/etc/nsswitch.conf
>passwd:     files winbind
>group:      files winbind
>
>должно помочь
>
>[realms]
>        tg.net = {
>        kdc = .domain1.net:88
>        admin_server = win2kserver.domain1.net:749
>        default_domain = domain1.net
>
>Наврное должно быть так
>kdc = win2kserver.domain1.net:88
>
>Машины по днс имени пингуются?
уже решил проблему. Теперь всё работает, самба пускает, авторизует, вот только почему то в логи керберос валит следующее:
[2005/10/31 18:08:48, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:08:48, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:08:48, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:08:48, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:08:48, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:08:48, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:08:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
  Failed to verify incoming ticket!
[2005/10/31 18:14:21, 1] smbd/service.c:make_connection_snum(662)
  192.168.111.1 (192.168.111.1) connect to service public initially as user TG\administrator (uid=10001, gid=10000) (pid 392)
[2005/10/31 18:14:32, 1] smbd/service.c:close_cnum(835)
  192.168.111.1 (192.168.111.1) closed connection to service public

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено RomaRick , 13-Янв-06 11:11

>уже решил проблему. Теперь всё работает, самба пускает, авторизует, вот только почему
Таже проблеме в керберос, по getent passwd доменные пользователи показываются, но на комп. зайти нельзя. В Чём у вас была проблема? Подскажите пожалуйста, ОЧЕНЬ НАДО СРОЧНО.

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено RomaRick , 13-Янв-06 12:14

>
>уже решил проблему. Теперь всё работает, самба пускает, авторизует, вот только почему
Та же проблема! Как её решили, подскажите пожалуйста.
Все пользователи по getent passwd видны, но на машину в сети не пускает. Ругается на керберос. В чём проблема?

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Elf_UA , 17-Ноя-05 16:57

>по команде kinit (если вводит правильный пароль) выводит следующее
>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>administrator@domain1.net's Password:
>kinit: Password incorrect
>
>если вводит ЗАВЕДОМО неверный, то выводит
>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>administrator@domain1.net's Password:
>kinit: krb5_get_init_creds: Preauthentication failed
Аналогичная проблема. Предложенные методы не помогают.

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено antoshkin , 19-Ноя-05 02:11

>
>>по команде kinit (если вводит правильный пароль) выводит следующее
>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>administrator@domain1.net's Password:
>>kinit: Password incorrect
>>
>>если вводит ЗАВЕДОМО неверный, то выводит
>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>administrator@domain1.net's Password:
>>kinit: krb5_get_init_creds: Preauthentication failed
>
>Аналогичная проблема. Предложенные методы не помогают.
Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно. Мне помогло.

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Michael , 17-Апр-06 11:10

>>
>>>по команде kinit (если вводит правильный пароль) выводит следующее
>>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>>administrator@domain1.net's Password:
>>>kinit: Password incorrect
>>>
>>>если вводит ЗАВЕДОМО неверный, то выводит
>>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>>administrator@domain1.net's Password:
>>>kinit: krb5_get_init_creds: Preauthentication failed
>>
>>Аналогичная проблема. Предложенные методы не помогают.
>
>Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно.
>Мне помогло.
Вы знаете у меня аналогичная проблема в логах пишет
[2006/04/17 11:08:57, 1] smbd/sesssetup.c:reply_spnego_kerberos(248)
Username Domain\USER$ is invalid on this system
причет getent group/passwd выдает все правильно.

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Bumper , 19-Июл-06 15:30

>>
>>>по команде kinit (если вводит правильный пароль) выводит следующее
>>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>>administrator@domain1.net's Password:
>>>kinit: Password incorrect
>>>
>>>если вводит ЗАВЕДОМО неверный, то выводит
>>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>>administrator@domain1.net's Password:
>>>kinit: krb5_get_init_creds: Preauthentication failed
>>
>>Аналогичная проблема. Предложенные методы не помогают.
>
>Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно.
>Мне помогло.
Подтверждаю имя домена ЗАГЛАВНЫМИ БУКВАМИ. Действительно заработало!!! :)

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено riv1329 , 12-Янв-07 21:47

Подтверждаю.
После того как исправил в конфиге самбы название сервера и домена на заглавные - не помогло, когда исправил еще и в krb5.conf - ЗАРАБОТАЛО!

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Влад , 06-Апр-07 04:30

>Подтверждаю.
>
>После того как исправил в конфиге самбы название сервера и домена на
>заглавные - не помогло, когда исправил еще и в krb5.conf -
>ЗАРАБОТАЛО!

ТОже была такая проблема, но ничего не помогало, хоть об стену бейся. Проблема была тупой - системные часы были в локальном времени, т.е. часы сравниваешь - все ок, а не работает :(. Поставил UTC - все работает отл.

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено reset , 20-Апр-07 09:26

киньте пжл рабочий конфиг krb5.conf.
У меня такая же проблема ни переход на заглавные не помогает.
[libdefaults]
    default_realm = VLG
        clockskew = 300
[realms]
    VLG= {
        kdc = home-dc1.vlg.home.ru
        admin_server = home-dc1.vlg.home.ru
    }
# This sections describes how to figure out a realm given a DNS name
[domain_realm]
    .vlg.home.ru = VLG
[kadmin]
[logging]
    kadmind = FILE:/var/heimdal/kadmind.log

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Константин Брызгалов , 29-Янв-09 14:38

>[оверквотинг удален]
>>>
>>>если вводит ЗАВЕДОМО неверный, то выводит
>>>bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net
>>>administrator@domain1.net's Password:
>>>kinit: krb5_get_init_creds: Preauthentication failed
>>
>>Аналогичная проблема. Предложенные методы не помогают.
>
>Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно.
>Мне помогло.
Подтверждаю!
только добавочка - команде kinit тоже надо скармливать домен большими буквами

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено Judge , 12-Фев-09 11:32

>Подтверждаю!
>только добавочка - команде kinit тоже надо скармливать домен большими буквами
ВОТ! Константин - большое спасибо! Я бился с именем домена user@DOMAIN.local - ответ был один "Incorrect"
Стоило написать user@DOMAIN.LOCAL как тут же получил тикет
в krb5 все в виде DOMAIN.local

"Samba 3 не может авторизоваться в домене Win 2000"
Отправлено ekzorchik , 02-Авг-10 11:49

Огромное спасибо всем...с этим конфигом, всё заработало
sudo nano /etc/krb3.conf
[libdefaults]
    default_realm = VLG
        clockskew = 300
[realms]
    VLG= {
        kdc = home-dc1.vlg.home.ru
        admin_server = home-dc1.vlg.home.ru
    }
# This sections describes how to figure out a realm given a DNS name
[domain_realm]
    .vlg.home.ru = VLG
[kadmin]
[logging]
    kadmind = FILE:/var/heimdal/kadmind.log
далее,
keiz@ekzorchik:~$ kinit user@HOME.RU
Password for user@HOME.RU
user@localhost:~$ klist -f
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: user@HOME.RU
Valid starting     Expires            Service principal
08/02/10 11:44:51  08/02/10 21:45:24  krbtgt/HOME.RU@HOME.RU
       renew until 08/03/10 11:44:51, Flags: RIA

Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached