From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <qm18@mail.ru>
Message-ID: <4704C0B6.4040708@mail.ru>
Date: Thu, 04 Oct 2007 14:30:14 +0400
From: Mike Kudashev <qm18@mail.ru>
User-Agent: Thunderbird 2.0.0.6 (X11/20070804)
MIME-Version: 1.0
To: ALT Linux Community general discussions <community@lists.altlinux.org>
References: <4704A3BD.4050905@mail.ru>
	<200710041516.52751.sendmeforever@mail.ru>
In-Reply-To: <200710041516.52751.sendmeforever@mail.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
Subject: Re: [Comm] ALD 4.0 + Windows 2003 Active Directory
X-BeenThere: community@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux Community general discussions
	<community@lists.altlinux.org>
List-Id: ALT Linux Community general discussions <community.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/community>
List-Post: <mailto:community@lists.altlinux.org>
List-Help: <mailto:community-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/community>,
	<mailto:community-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 04 Oct 2007 10:30:21 -0000
Archived-At: <http://lore.altlinux.org/community/4704C0B6.4040708@mail.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Starodumoff Ilya пишет:
> В сообщении от Четверг 04 октября 2007 Mike Kudashev написал(a):
>> Встал вопрос о включении Линукс-машины в домен windows. 2 подопытных
>> кролика: на одном - чистый win2003: DNS + AD, вторая машина с линукс.
>> Задача стоит в том, чтобы подружить их не только на уровне samba, но и
>> авторизировать линукс-машину на сервере.
>>
>> Дошел до момента добавления машины в домен.
>> net ads -U Administrator
>> и пошла ошибка:
>> # net ads join -U administrator
>> administrator's password:
>> Using short domain name -- KPK
>> Failed to set servicePrincipalNames. Please ensure that
>> the DNS domain of this server matches the AD domain,
>> Or rejoin with using Domain Admin credentials.
>> Deleted account for 'IT04' in realm 'KPK.LOCAL'
>> Failed to join domain: Type or value exists
>>
>> При настройке smb.conf и krb5.conf я руководствовался двумя статьями:
>> http://tovstik.net/samba-in-ad.html
>> http://ekrava.livejournal.com/477282.html
> 
> более вменяемый туториал, имхо, тут - 
> http://www.sys-adm.org.ua/www/squid-ad.php
> 
>> Сервер с актив директори и днс пингуется c линукс-машины как
>> xserver.kpk.local, я получаю тикет кербероса:
>> # klist
>> Ticket cache: FILE:/tmp/krb5cc_0
>> Default principal: Administrator@KPK.LOCAL
>> Valid starting     Expires            Service principal
>> 10/04/07 12:21:21  10/04/07 22:21:26  krbtgt/KPK.LOCAL@KPK.LOCAL
>>          renew until 10/05/07 12:21:21
>> Но при добавлении машины в домен
>> # net ads join -U administrator
>> идет косяк. в чем может быть дело?
> 
> smb.conf в районе "winbind use default domain" ?

Малуал действительно вменяемый, спасибо.
Подключить машину в домен по прежнему не удается.
спотыкаюст на wbinfo.
# wbinfo -p
Ping to winbindd succeeded on fd 4

# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_NO_TRUST_SAM_ACCOUNT (0xc000018b)
Could not check secret

Может, в этом весь затык, только ума не приложу, что с этим делать.
и еще вопрос, файл krb5.conf вообще требуется для входа в Актив 
Директори? Я закомментил в нем все строчки, потому как тут
[http://www.sys-adm.org.ua/www/squid-ad.php] про него ни слова не 
сказано. Или самба сама все умеет?

мой smb.conf
[global]
     dos charset = CP866
     unix charset = utf8
     display charset = LOCALE

     workgroup = KPK
     netbios name = IT04
     server string =  ALD at IT04 Nash
     security = ADS

     realm = KPK.LOCAL
     passdb backend = tdbsam
     password server = xserver.kpk.local
     encrypt passwords = yes

     domain master = no
     local master = no
     preferred master = no
     domain logons = no
     os level = 0
	
     winbind enum users = yes
     winbind enum groups = yes
     winbind uid = 10000-20000
     winbind gid = 10000-20000
     winbind use default domain = no

     printcap name = cups
     load printers = yes
     printing = cups

     log file = /var/log/samba/log.%m
     max log size = 50

     template homedir = /home/%D/%U
     template shell = /bin/bash

     smb passwd file = /etc/samba/smbpasswd
     socket options = TCP_NODELAY