From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Thu, 19 Sep 2002 22:52:30 +0400 From: grimnir X-Mailer: The Bat! (v1.52f) Educational X-Priority: 3 (Normal) Message-ID: <5515828550.20020919225230@park-net.ru> To: =?koi8-r?B?IuHMxcvTxcog7MDCyc3P1yI=?= Subject: Re[2]: [Comm] samba3 as PDC & Win2K In-Reply-To: <20020919222035.23ac218b.avl@l14.ru> References: <02091916303203.11142@fileserver.masterlist.ru> <20020919222035.23ac218b.avl@l14.ru> MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Transfer-Encoding: 8bit Sender: community-admin@altlinux.ru Errors-To: community-admin@altlinux.ru X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.0.13 Precedence: bulk Reply-To: community@altlinux.ru X-Reply-To: grimnir List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: List-Post: Hello Алексей, Thursday, September 19, 2002, 10:20:35 PM, you wrote: АЛ> On Thu, 19 Sep 2002 16:30:32 +0400 АЛ> Anton wrote: >> Подскажите пожалуйста, никак не пойму в чем дело. >> Win2k не хочет вступать в домен >> добавил акаунт в систему для компьютера oksana$, добавил в самбу >> smbpasswd -a -m oksana >> >> в smb.conf указано >> domain master = yes >> domain logons = yes >> local master = yes >> preffered master = yes >> >> каталог netlogon есть и доступен для чтения всем. себя замапил на рута >> >> Когда пытаюсь присоеденить Win2k к домену то после того как Win2k спрашивает >> логин:пароль пользователя который может добавлять к домену выдает сообщение >> дословно: >> "Для задданного сеанса входа в систему отсутствует раздел сеанса пользователя" >> Что бы это могло значить? И как же лечить это? два дня уже бьюсь и все >> бестолку. >> Может кто сталкивался. АЛ> столкнулся. пока не решил. АЛ> советую поставить log level = 9 и смотреть логи. АЛ> я таким образом обнаружил, что в какой то момент win2k лезет под аккаунтом guest за каким то списком и получает отлуп. АЛ> дальше пока не продвинулся. надеюсь Александр Боковой прояснит ситуацию больше. АЛ> Кстати, интересно было бы поднять AD. АЛ> ЗЫ по моему мои письма в рассылку не идут. Спасибо и за это:) а письма очень идут даже:) если Win2k лезет "гостем" подозрение в домен то скорее всего для получения списка пользователей с уровнем логов-4 я заметил что вызывается какая то команда получения инфы пользователя, хотя пользователь еще не авторизован. может как вариант разрешить гостевой доступ с нулевыми паролями, а потом уже ресурсы резать? Хотя сам еще не пробовал, но вряд ли. Как работает как AD на Win2k-сервер понятно и опробовано, очень здорово:) сила, мощь, власть и удобство. Одно только управление всем доменом с любого Win2k компа чего стоит. А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по теме в ADS-HowTo напрямую не указано, что самба теперь может выступать как AD server, но и не сказано, то что не может. Так только клиент или и сервер тоже? Устанавил керберос внес pricipal керберос через kinit авторизует. В smb.conf прописывал что есть АД сервер (сам себе сервер) и остальные параметры как в ADS-HowTo. Пробую smbclient -k -L my_server, а дальше нечто: connecting 192.168.0.1:445 (connect refused) ля-ля-ля не удалось получить доступ с указанным типом шифрования и отлуп хотя порт есть и соединение к нему есть и керберос через него выдает талоны. В логах кербероса от этой попытки нуль, значит это не керберос не пустил, до него даже не дошло. в керберос по умолчанию, как я понял используется Triple-DES, какое шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf надо прописывать и для самбы как для рлогин всяких отдельные секции с параметрами [rlogin] [rsh] и т.д. Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят бинарники сами. Бага в том, что файл профиля записывается в /etc/krb.conf по дефолту как profile=/var/lib/kerberos/krb5*/*.conf (где звездочки я прост сейчас не помню точное написание в этих местах), хм записываться то он конечно пишется, а вот только реально именование файла конфига профиля жестко зашито в бинарник и есть оно /var/kerberos/* в общем то же самое что и по дефолту в конфиге но без /lib/. Очень я долго гадал по чему же все что в профиле я пишу пропадает в никуда, однако вот оно. -- Best regards, grimnir mailto:grimnir@park-net.ru