[Comm] ALD 4.0 + Windows 2003 Active Directory

[Comm] ALD 4.0 + Windows 2003 Active Directory

[Mike Kudashev]

Встал вопрос о включении Линукс-машины в домен windows. 2 подопытных
кролика: на одном - чистый win2003: DNS + AD, вторая машина с линукс.
Задача стоит в том, чтобы подружить их не только на уровне samba, но и
авторизировать линукс-машину на сервере.

Дошел до момента добавления машины в домен.
net ads -U Administrator
и пошла ошибка:
# net ads join -U administrator
administrator's password:
Using short domain name -- KPK
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'IT04' in realm 'KPK.LOCAL'
Failed to join domain: Type or value exists

При настройке smb.conf и krb5.conf я руководствовался двумя статьями:
http://tovstik.net/samba-in-ad.html
http://ekrava.livejournal.com/477282.html

Сервер с актив директори и днс пингуется c линукс-машины как 
xserver.kpk.local, я получаю тикет кербероса:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@KPK.LOCAL
Valid starting     Expires            Service principal
10/04/07 12:21:21  10/04/07 22:21:26  krbtgt/KPK.LOCAL@KPK.LOCAL
         renew until 10/05/07 12:21:21
Но при добавлении машины в домен
# net ads join -U administrator
идет косяк. в чем может быть дело?

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Konstantin. A. Bylym]

Mike Kudashev пишет:
> Встал вопрос о включении Линукс-машины в домен windows. 2 подопытных
> кролика: на одном - чистый win2003: DNS + AD, вторая машина с линукс.
> Задача стоит в том, чтобы подружить их не только на уровне samba, но и
> авторизировать линукс-машину на сервере.
> 
> Дошел до момента добавления машины в домен.
> net ads -U Administrator
> и пошла ошибка:
> # net ads join -U administrator
> administrator's password:
> Using short domain name -- KPK
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'IT04' in realm 'KPK.LOCAL'
> Failed to join domain: Type or value exists
> 
> При настройке smb.conf и krb5.conf я руководствовался двумя статьями:
> http://tovstik.net/samba-in-ad.html
> http://ekrava.livejournal.com/477282.html
> 
> Сервер с актив директори и днс пингуется c линукс-машины как 
> xserver.kpk.local, я получаю тикет кербероса:
> # klist
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: Administrator@KPK.LOCAL
> Valid starting     Expires            Service principal
> 10/04/07 12:21:21  10/04/07 22:21:26  krbtgt/KPK.LOCAL@KPK.LOCAL
>          renew until 10/05/07 12:21:21
> Но при добавлении машины в домен
> # net ads join -U administrator
У меня заводится, если указывать и домен: -U DOMAIN\\administrator
> идет косяк. в чем может быть дело?
> 
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Starodumoff Ilya]

В сообщении от Четверг 04 октября 2007 Mike Kudashev написал(a):
> Встал вопрос о включении Линукс-машины в домен windows. 2 подопытных
> кролика: на одном - чистый win2003: DNS + AD, вторая машина с линукс.
> Задача стоит в том, чтобы подружить их не только на уровне samba, но и
> авторизировать линукс-машину на сервере.
>
> Дошел до момента добавления машины в домен.
> net ads -U Administrator
> и пошла ошибка:
> # net ads join -U administrator
> administrator's password:
> Using short domain name -- KPK
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'IT04' in realm 'KPK.LOCAL'
> Failed to join domain: Type or value exists
>
> При настройке smb.conf и krb5.conf я руководствовался двумя статьями:
> http://tovstik.net/samba-in-ad.html
> http://ekrava.livejournal.com/477282.html

более вменяемый туториал, имхо, тут - 
http://www.sys-adm.org.ua/www/squid-ad.php

>
> Сервер с актив директори и днс пингуется c линукс-машины как
> xserver.kpk.local, я получаю тикет кербероса:
> # klist
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: Administrator@KPK.LOCAL
> Valid starting     Expires            Service principal
> 10/04/07 12:21:21  10/04/07 22:21:26  krbtgt/KPK.LOCAL@KPK.LOCAL
>          renew until 10/05/07 12:21:21
> Но при добавлении машины в домен
> # net ads join -U administrator
> идет косяк. в чем может быть дело?

smb.conf в районе "winbind use default domain" ?
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community



-- 
С уважением,
Стародумов Илья

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Mike Kudashev]

Starodumoff Ilya пишет:
> В сообщении от Четверг 04 октября 2007 Mike Kudashev написал(a):
>> Встал вопрос о включении Линукс-машины в домен windows. 2 подопытных
>> кролика: на одном - чистый win2003: DNS + AD, вторая машина с линукс.
>> Задача стоит в том, чтобы подружить их не только на уровне samba, но и
>> авторизировать линукс-машину на сервере.
>>
>> Дошел до момента добавления машины в домен.
>> net ads -U Administrator
>> и пошла ошибка:
>> # net ads join -U administrator
>> administrator's password:
>> Using short domain name -- KPK
>> Failed to set servicePrincipalNames. Please ensure that
>> the DNS domain of this server matches the AD domain,
>> Or rejoin with using Domain Admin credentials.
>> Deleted account for 'IT04' in realm 'KPK.LOCAL'
>> Failed to join domain: Type or value exists
>>
>> При настройке smb.conf и krb5.conf я руководствовался двумя статьями:
>> http://tovstik.net/samba-in-ad.html
>> http://ekrava.livejournal.com/477282.html
> 
> более вменяемый туториал, имхо, тут - 
> http://www.sys-adm.org.ua/www/squid-ad.php
> 
>> Сервер с актив директори и днс пингуется c линукс-машины как
>> xserver.kpk.local, я получаю тикет кербероса:
>> # klist
>> Ticket cache: FILE:/tmp/krb5cc_0
>> Default principal: Administrator@KPK.LOCAL
>> Valid starting     Expires            Service principal
>> 10/04/07 12:21:21  10/04/07 22:21:26  krbtgt/KPK.LOCAL@KPK.LOCAL
>>          renew until 10/05/07 12:21:21
>> Но при добавлении машины в домен
>> # net ads join -U administrator
>> идет косяк. в чем может быть дело?
> 
> smb.conf в районе "winbind use default domain" ?

Малуал действительно вменяемый, спасибо.
Подключить машину в домен по прежнему не удается.
спотыкаюст на wbinfo.
# wbinfo -p
Ping to winbindd succeeded on fd 4

# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
Could not check secret

Может, в этом весь затык, только ума не приложу, что с этим делать.
и еще вопрос, файл krb5.conf вообще требуется для входа в Актив 
Директори? Я закомментил в нем все строчки, потому как тут
[http://www.sys-adm.org.ua/www/squid-ad.php] про него ни слова не 
сказано. Или самба сама все умеет?

мой smb.conf
[global]
     dos charset = CP866
     unix charset = utf8
     display charset = LOCALE

     workgroup = KPK
     netbios name = IT04
     server string =  ALD at IT04 Nash
     security = ADS

     realm = KPK.LOCAL
     passdb backend = tdbsam
     password server = xserver.kpk.local
     encrypt passwords = yes

     domain master = no
     local master = no
     preferred master = no
     domain logons = no
     os level = 0
	
     winbind enum users = yes
     winbind enum groups = yes
     winbind uid = 10000-20000
     winbind gid = 10000-20000
     winbind use default domain = no

     printcap name = cups
     load printers = yes
     printing = cups

     log file = /var/log/samba/log.%m
     max log size = 50

     template homedir = /home/%D/%U
     template shell = /bin/bash

     smb passwd file = /etc/samba/smbpasswd
     socket options = TCP_NODELAY

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Starodumoff Ilya]

В сообщении от Четверг 04 октября 2007 Mike Kudashev написал(a):
> Малуал действительно вменяемый, спасибо.
Забыл написать, что про krb5.conf там действительно ни слова... :)
Мануал, скажем, более вменяемый... но не идеальный.
Между тем krb5.conf таки нужен.

К сожалению, идеальных "туториалов" по данной теме не существует. По крайней 
мере, мне не попадались :) Возможно по причине того, что толковое 
описание "что-где-когда" объемом сильно превысит формат обычной статьи.

> Подключить машину в домен по прежнему не удается.
> спотыкаюст на wbinfo.
> # wbinfo -p
> Ping to winbindd succeeded on fd 4
>
> # wbinfo -t
> checking the trust secret via RPC calls failed
> error code was NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
> Could not check secret
>
> Может, в этом весь затык, только ума не приложу, что с этим делать.
> и еще вопрос, файл krb5.conf вообще требуется для входа в Актив
> Директори? Я закомментил в нем все строчки, потому как тут
> [http://www.sys-adm.org.ua/www/squid-ad.php] про него ни слова не
> сказано. Или самба сама все умеет?
см. выше :)

Да и krb5.conf было бы интересно посмотреть. Хотя если "билетик" выдается, 
тогда фиг знает. :)

Насколько могу вспомнить, там чагой-то в районе /etc/hosts приходилось править 
еще...

PS. Старательно "ковыряюсь" в собственной памяти на предмет того, как я "это" 
делал последний раз. Процесс практически сакральный, ибо с виндами я 
практически никак... :)

-- 
С уважением,
Стародумов Илья

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Michael Shigorin]

On Thu, Oct 04, 2007 at 04:49:52PM +0600, Starodumoff Ilya wrote:
> В сообщении от Четверг 04 октября 2007 Mike Kudashev написал(a):
> > Малуал действительно вменяемый, спасибо.
> Забыл написать, что про krb5.conf там действительно ни слова... :)
> Мануал, скажем, более вменяемый... но не идеальный.
> Между тем krb5.conf таки нужен.
> К сожалению, идеальных "туториалов" по данной теме не
> существует. По крайней мере, мне не попадались :) Возможно по
> причине того, что толковое описание "что-где-когда" объемом
> сильно превысит формат обычной статьи.

Хлопцы, так сделайте подборку статей и выжимку по шагам на том же
freesource.info -- я бы тоже спасибо сказал в следующий раз, как
придётся сталкиваться :-)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Starodumoff Ilya]

http://www.webservertalk.com/archive217-2004-4-191958.html

может оно ?
:)

-- 
С уважением,
Стародумов Илья

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Starodumoff Ilya]

В сообщении от Четверг 04 октября 2007 Mike Kudashev написал(a):
> Встал вопрос о включении Линукс-машины в домен windows. 2 подопытных
> кролика: на одном - чистый win2003: DNS + AD, вторая машина с линукс.
> Задача стоит в том, чтобы подружить их не только на уровне samba, но и
> авторизировать линукс-машину на сервере.
>
> Дошел до момента добавления машины в домен.
> net ads -U Administrator
> и пошла ошибка:
> # net ads join -U administrator
> administrator's password:
> Using short domain name -- KPK
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'IT04' in realm 'KPK.LOCAL'
> Failed to join domain: Type or value exists
>
нашел.. :) тут - http://ru.gentoo-wiki.com/Настройка_Squid_с_поддержкой_ntlm

цитата:

Когда отрабатывает "net ads join" - имя разрешается по "/etc/hosts" !!! (Тем 
не менее надо проверить корректность отображения вашего хоста на серверах 
DNS) !!! В результате ошибка: 
Using short domain name -- YOURDOMAIN
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Disabled account for 'YOURHOST' in realm 'YOURDOMAIN.DOM.DOM'

После указания в /etc/hosts 
10.0.0.YOURIP       yourhost.yourdomain.dom.dom

Все отработало, как в примере ниже: 
# net ads join -U DomainAdminAccount%123456
Using short domain name -- YOURDOMAIN
Joined 'GentooRouter' to realm 'YOURDOMAIN.DOM'



-- 
С уважением,
Стародумов Илья

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Mike Kudashev]

Starodumoff Ilya пишет:
> нашел.. :) тут - http://ru.gentoo-wiki.com/Настройка_Squid_с_поддержкой_ntlm
> 
> цитата:
> 
> Когда отрабатывает "net ads join" - имя разрешается по "/etc/hosts" !!! (Тем 
> не менее надо проверить корректность отображения вашего хоста на серверах 
> DNS) !!! В результате ошибка: 
> Using short domain name -- YOURDOMAIN
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Disabled account for 'YOURHOST' in realm 'YOURDOMAIN.DOM.DOM'
> 
> После указания в /etc/hosts 
> 10.0.0.YOURIP       yourhost.yourdomain.dom.dom
> 
> Все отработало, как в примере ниже: 
> # net ads join -U DomainAdminAccount%123456
> Using short domain name -- YOURDOMAIN
> Joined 'GentooRouter' to realm 'YOURDOMAIN.DOM'

про /etc/hosts я уже читал, вот он у меня:

127.0.0.1       IT04 IT04 localhost.localdomain localhost
192.168.0.84    IT04.kpk.local

Мне вот что не нравится, что такое - понятия не имею,
# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
Could not check secret

хотя,

# net ads info
LDAP server: 192.168.0.206
LDAP server name: xserver.kpk.local
Realm: KPK.LOCAL
Bind Path: dc=KPK,dc=LOCAL
LDAP port: 389
Server time: Thu, 04 Oct 2007 16:25:43 MSD
KDC server: 192.168.0.206
Server time offset: 0

и еще интересно,
# wbinfo -u
Error looking up domain users
но в винде точно заведен пользователь, состоящий в группе "пользователь 
домена".


Может, в винде что не так?

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Bogaevskiy Jurij]

Mike Kudashev пишет:
> Starodumoff Ilya пишет:
>   
>> нашел.. :) тут - http://ru.gentoo-wiki.com/Настройка_Squid_с_поддержкой_ntlm
>>
>> цитата:
>>
>> Когда отрабатывает "net ads join" - имя разрешается по "/etc/hosts" !!! (Тем 
>> не менее надо проверить корректность отображения вашего хоста на серверах 
>> DNS) !!! В результате ошибка: 
>> Using short domain name -- YOURDOMAIN
>> Failed to set servicePrincipalNames. Please ensure that
>> the DNS domain of this server matches the AD domain,
>> Or rejoin with using Domain Admin credentials.
>> Disabled account for 'YOURHOST' in realm 'YOURDOMAIN.DOM.DOM'
>>
>> После указания в /etc/hosts 
>> 10.0.0.YOURIP       yourhost.yourdomain.dom.dom
>>
>> Все отработало, как в примере ниже: 
>> # net ads join -U DomainAdminAccount%123456
>> Using short domain name -- YOURDOMAIN
>> Joined 'GentooRouter' to realm 'YOURDOMAIN.DOM'
>>     
>
> про /etc/hosts я уже читал, вот он у меня:
>
> 127.0.0.1       IT04 IT04 localhost.localdomain localhost
> 192.168.0.84    IT04.kpk.local
>
> Мне вот что не нравится, что такое - понятия не имею,
> # wbinfo -t
> checking the trust secret via RPC calls failed
> error code was NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
> Could not check secret
>
> хотя,
>
> # net ads info
> LDAP server: 192.168.0.206
> LDAP server name: xserver.kpk.local
> Realm: KPK.LOCAL
> Bind Path: dc=KPK,dc=LOCAL
> LDAP port: 389
> Server time: Thu, 04 Oct 2007 16:25:43 MSD
> KDC server: 192.168.0.206
> Server time offset: 0
>
> и еще интересно,
> # wbinfo -u
> Error looking up domain users
> но в винде точно заведен пользователь, состоящий в группе "пользователь 
> домена".
>
>
> Может, в винде что не так?
> _______________________________________________
>   
А у меня
checking the trust secret via RPC calls failed
error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
Could not check secret

Хотя
# net ads info
информацию о адресе, имени и времени выдает правильно

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Mike Kudashev]

Bogaevskiy Jurij пишет:
> Mike Kudashev пишет:
>> Starodumoff Ilya пишет:
>>   
>>> нашел.. :) тут - http://ru.gentoo-wiki.com/Настройка_Squid_с_поддержкой_ntlm
>>>
>>> цитата:
>>>
>>> Когда отрабатывает "net ads join" - имя разрешается по "/etc/hosts" !!! (Тем 
>>> не менее надо проверить корректность отображения вашего хоста на серверах 
>>> DNS) !!! В результате ошибка: 
>>> Using short domain name -- YOURDOMAIN
>>> Failed to set servicePrincipalNames. Please ensure that
>>> the DNS domain of this server matches the AD domain,
>>> Or rejoin with using Domain Admin credentials.
>>> Disabled account for 'YOURHOST' in realm 'YOURDOMAIN.DOM.DOM'
>>>
>>> После указания в /etc/hosts 
>>> 10.0.0.YOURIP       yourhost.yourdomain.dom.dom
>>>
>>> Все отработало, как в примере ниже: 
>>> # net ads join -U DomainAdminAccount%123456
>>> Using short domain name -- YOURDOMAIN
>>> Joined 'GentooRouter' to realm 'YOURDOMAIN.DOM'
>>>     
>> про /etc/hosts я уже читал, вот он у меня:
>>
>> 127.0.0.1       IT04 IT04 localhost.localdomain localhost
>> 192.168.0.84    IT04.kpk.local
>>
>> Мне вот что не нравится, что такое - понятия не имею,
>> # wbinfo -t
>> checking the trust secret via RPC calls failed
>> error code was NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
>> Could not check secret
>>
>> хотя,
>>
>> # net ads info
>> LDAP server: 192.168.0.206
>> LDAP server name: xserver.kpk.local
>> Realm: KPK.LOCAL
>> Bind Path: dc=KPK,dc=LOCAL
>> LDAP port: 389
>> Server time: Thu, 04 Oct 2007 16:25:43 MSD
>> KDC server: 192.168.0.206
>> Server time offset: 0
>>
>> и еще интересно,
>> # wbinfo -u
>> Error looking up domain users
>> но в винде точно заведен пользователь, состоящий в группе "пользователь 
>> домена".
>>
>>
>> Может, в винде что не так?

Вот еще что заметил сутра: после выполнения команды и вылета этой ошибки

# net ads join -U Administrator
Administrator's password:
Using short domain name -- KPK
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'IT04' in realm 'KPK.LOCAL'
Failed to join domain: Type or value exists

Иду в события системы на Win2003 и наблюдаю там событие с ошибкой:
"Не удалось выполнить проверку подлинности для сеанса компьютера IT04. 
Произошла следующая ошибка: Отказано в доступе".


Помогите, пожалуйста, умные головы! :)

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Bogaevskiy Jurij]

Bogaevskiy Jurij пишет:
>>  
> А у меня
> checking the trust secret via RPC calls failed
> error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
> Could not check secret
>
> Хотя
> # net ads info
> информацию о адресе, имени и времени выдает правильно
>
>
>
>
По совету отсюда:
http://www.webservertalk.com/archive217-2004-4-191958.html
сделал
После перезагрузки все заработало.

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Mike Kudashev]

Bogaevskiy Jurij пишет:
> Bogaevskiy Jurij пишет:
>>>  
>> А у меня
>> checking the trust secret via RPC calls failed
>> error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
>> Could not check secret
>>
>> Хотя
>> # net ads info
>> информацию о адресе, имени и времени выдает правильно
>>
>>
>>
>>
> По совету отсюда:
> http://www.webservertalk.com/archive217-2004-4-191958.html
> сделал
> После перезагрузки все заработало.
Эту статью я вчера видел и сменил имя в самбе с U1014 на IT04.
В оснастке Active Directory данных о компьютерах вообще нет.
Эффекта мне не дало.
Юрий, у вас krb.conf какой?

Re: [Comm] ALD 4.0 + Windows 2003 Active Directory

[Bogaevskiy Jurij]

Mike Kudashev пишет:
> Bogaevskiy Jurij пишет:
>> Bogaevskiy Jurij пишет:
>>>>  
>>> А у меня
>>> checking the trust secret via RPC calls failed
>>> error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
>>> Could not check secret
>>>
>>> Хотя
>>> # net ads info
>>> информацию о адресе, имени и времени выдает правильно
>>>
>>>
>>>
>>>
>> По совету отсюда:
>> http://www.webservertalk.com/archive217-2004-4-191958.html
>> сделал
>> После перезагрузки все заработало.
> Эту статью я вчера видел и сменил имя в самбе с U1014 на IT04.
> В оснастке Active Directory данных о компьютерах вообще нет.
> Эффекта мне не дало.
> Юрий, у вас krb.conf какой?
>
>
Правда у меня домен w2k
вот мой krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 ticket_lifetime = 24000
 default_realm = localdomain.localdomain
 dns_lookup_realm = false
 dns_lookup_kdc = false

[realms]
 EXAMPLE.COM = {
  kdc = server.localdomain.localdomain:88
  admin_server = server.localdomain.localdomain:749
  default_domain = localdomain.localdomain
 }

[domain_realm]
 .localdomain.localdomain = LOCALDOMAIN.LOCALDOMAIN
 localdomain.localdomain = LOCALDOMAIN.LOCALDOMAIN


[kdc]
 profile = /var/lib/kerberos/krb5kdc/kdc.conf

[pam]
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false