From: grimnir <grimnir@park-net.ru>
To: "\"Алексей Любимов\"" <community@altlinux.ru>
Subject: Re[2]: [Comm] samba3 as PDC & Win2K
Date: Thu, 19 Sep 2002 22:52:30 +0400
Message-ID: <5515828550.20020919225230@park-net.ru> (raw)
In-Reply-To: <20020919222035.23ac218b.avl@l14.ru>
Hello Алексей,
Thursday, September 19, 2002, 10:20:35 PM, you wrote:
АЛ> On Thu, 19 Sep 2002 16:30:32 +0400
АЛ> Anton <grimnir@park-net.ru> wrote:
>> Подскажите пожалуйста, никак не пойму в чем дело.
>> Win2k не хочет вступать в домен
>> добавил акаунт в систему для компьютера oksana$, добавил в самбу
>> smbpasswd -a -m oksana
>>
>> в smb.conf указано
>> domain master = yes
>> domain logons = yes
>> local master = yes
>> preffered master = yes
>>
>> каталог netlogon есть и доступен для чтения всем. себя замапил на рута
>>
>> Когда пытаюсь присоеденить Win2k к домену то после того как Win2k спрашивает
>> логин:пароль пользователя который может добавлять к домену выдает сообщение
>> дословно:
>> "Для задданного сеанса входа в систему отсутствует раздел сеанса пользователя"
>> Что бы это могло значить? И как же лечить это? два дня уже бьюсь и все
>> бестолку.
>> Может кто сталкивался.
АЛ> столкнулся. пока не решил.
АЛ> советую поставить log level = 9 и смотреть логи.
АЛ> я таким образом обнаружил, что в какой то момент win2k лезет под аккаунтом guest за каким то списком и получает отлуп.
АЛ> дальше пока не продвинулся. надеюсь Александр Боковой прояснит ситуацию больше.
АЛ> Кстати, интересно было бы поднять AD.
АЛ> ЗЫ по моему мои письма в рассылку не идут.
Спасибо и за это:)
а письма очень идут даже:)
если Win2k лезет "гостем" подозрение в домен то скорее всего для
получения списка пользователей с уровнем логов-4 я заметил что
вызывается какая то команда получения инфы пользователя, хотя
пользователь еще не авторизован. может как вариант разрешить гостевой
доступ с нулевыми паролями, а потом уже ресурсы резать? Хотя сам еще
не пробовал, но вряд ли.
Как работает как AD на Win2k-сервер понятно и опробовано, очень
здорово:) сила, мощь, власть и удобство. Одно только управление всем
доменом с любого Win2k компа чего стоит.
А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
как AD server, но и не сказано, то что не может. Так только клиент
или и сервер тоже?
Устанавил керберос внес pricipal керберос через kinit авторизует. В
smb.conf прописывал что есть АД сервер (сам себе сервер) и остальные
параметры как в ADS-HowTo. Пробую smbclient -k -L my_server, а дальше
нечто: connecting 192.168.0.1:445 (connect refused)
ля-ля-ля не удалось получить доступ с указанным типом шифрования
и отлуп хотя порт есть и соединение к нему есть и керберос
через него выдает талоны. В логах кербероса от этой попытки нуль,
значит это не керберос не пустил, до него даже не дошло.
в керберос по умолчанию, как я понял используется Triple-DES, какое
шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf
надо прописывать и для самбы как для рлогин всяких отдельные секции с
параметрами
[rlogin]
[rsh] и т.д.
Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят
бинарники сами.
Бага в том, что файл профиля записывается в /etc/krb.conf по дефолту как
profile=/var/lib/kerberos/krb5*/*.conf (где звездочки я прост сейчас
не помню точное написание в этих местах), хм записываться то он
конечно пишется, а вот только реально именование файла конфига профиля
жестко зашито в бинарник и есть оно /var/kerberos/* в общем то же
самое что и по дефолту в конфиге но без /lib/.
Очень я долго гадал по чему же все что в профиле я пишу пропадает в
никуда, однако вот оно.
--
Best regards,
grimnir mailto:grimnir@park-net.ru
next prev parent reply other threads:[~2002-09-19 18:52 UTC|newest]
Thread overview: 20+ messages / expand[flat|nested] mbox.gz Atom feed top
2002-09-19 12:30 Anton
2002-09-19 18:20 ` "Алексей Любимов"
2002-09-19 18:33 ` aen
2002-09-19 18:37 ` "Алексей Любимов"
2002-09-19 18:42 ` aen
2002-09-19 18:44 ` Alexander Bokovoy
2002-09-19 18:52 ` grimnir [this message]
2002-09-19 18:55 ` aen
2002-09-19 19:00 ` Re[2]: " grimnir
2002-09-20 5:51 ` Artem Pastuchov
2002-09-20 7:01 ` Alexander Bokovoy
2002-09-20 7:25 ` Anton
2002-09-20 7:34 ` Alexander Bokovoy
2002-09-20 8:28 ` aen
2002-09-23 23:18 ` Re[2]: " Alexey Borovskoy
2002-09-24 18:00 ` Alexander Bokovoy
2002-09-20 5:58 ` Mike
2002-09-19 20:29 ` Andrew Grechko
2002-09-19 20:41 ` Re[2]: " grimnir
2002-12-06 14:49 ` Vyacheslav Garonin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=5515828550.20020919225230@park-net.ru \
--to=grimnir@park-net.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git