- Печать
Страницы: [1] 2 3 Все Вниз
Тема: Файловый сервер на Ubuntu 18.04.5 — wbinfo не выдает список пользователей домена (Прочитано 3112 раз)
0 Пользователей и 1 Гость просматривают эту тему.
garett
Добрый день, коллеги! Собрал тут сервер файловый для интеграции с AD, в домен ввел, проверил sudo realm list:
domain.ru
type: kerberos
realm-name: DOMAIN.RU
domain-name: domain.ru
configured: kerberos-member
server-software: active-directory
client-software: winbind
required-package: winbind
required-package: libpam-winbind
required-package: samba-common-bin
login-formats: %U
login-policy: allow-any-login
domain.ru
type: kerberos
realm-name: DOMAIN.RU
domain-name: domain.ru
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
login-formats: %U@domain.ru
login-policy: allow-realm-logins
Могу увидеть учетки в домене:
id user@DOMAIN.RU
uid=483001135(user@domain.ru) gid=483000513(domain users@domain.ru) groups=483000513(domain users@domain.ru)
Но вот при попытке wbinfo:
sudo wbinfo -u
Error looking up domain users
sudo wbinfo -t
checking the trust secret for domain via RPC calls failed
wbcCheckTrustCredentials(DOMAIN): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
При этом
sudo wbinfo -p
Ping to winbindd succeeded
Где и в чем ошибка может быть? Заранее благодарен за помощь.
« Последнее редактирование: 26 Октября 2020, 11:08:30 от ALiEN175 »
AnrDaemon
Ошибка может быть в имени домена. Ошибка может быть в настройке krb5.conf.
Пишите реальные данные. Не играйте в шпионов.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
Хорошо, реальные данные:
sudo realm list
[sudo] password for garett:
ztsm.ru————————
type: kerberos
realm-name: ZTSM.RU
domain-name: ztsm.ru
configured: kerberos-member
server-software: active-directory
client-software: winbind
required-package: winbind
required-package: libpam-winbind
required-package: samba-common-bin
login-formats: %U
login-policy: allow-any-login
ztsm.ru
type: kerberos
realm-name: ZTSM.RU
domain-name: ztsm.ru
configured: kerberos-member
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin
login-formats: %U@ztsm.ru
login-policy: allow-realm-logins
cat /etc/krb5.conf
[libdefaults]
default_realm = ZTSM.RU
# The following krb5.conf variables are only for MIT Kerberos.
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
#########to integrate with Windows domain##########
rdns = false
###################################################
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# The only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).
# default_tgs_enctypes = des3-hmac-sha1
# default_tkt_enctypes = des3-hmac-sha1
# permitted_enctypes = des3-hmac-sha1
# The following libdefaults parameters are only for Heimdal Kerberos.
fcc-mit-ticketflags = true
[realms]
ATHENA.MIT.EDU = {
kdc = kerberos.mit.edu
kdc = kerberos-1.mit.edu
kdc = kerberos-2.mit.edu:88
admin_server = kerberos.mit.edu
default_domain = mit.edu
}
ZONE.MIT.EDU = {
kdc = casio.mit.edu
kdc = seiko.mit.edu
admin_server = casio.mit.edu
}
CSAIL.MIT.EDU = {
admin_server = kerberos.csail.mit.edu
default_domain = csail.mit.edu
}
IHTFP.ORG = {
kdc = kerberos.ihtfp.org
admin_server = kerberos.ihtfp.org
}
1TS.ORG = {
kdc = kerberos.1ts.org
admin_server = kerberos.1ts.org
}
ANDREW.CMU.EDU = {
admin_server = kerberos.andrew.cmu.edu
default_domain = andrew.cmu.edu
}
CS.CMU.EDU = {
kdc = kerberos-1.srv.cs.cmu.edu
kdc = kerberos-2.srv.cs.cmu.edu
kdc = kerberos-3.srv.cs.cmu.edu
admin_server = kerberos.cs.cmu.edu
}
DEMENTIA.ORG = {
kdc = kerberos.dementix.org
kdc = kerberos2.dementix.org
admin_server = kerberos.dementix.org
}
stanford.edu = {
kdc = krb5auth1.stanford.edu
kdc = krb5auth2.stanford.edu
kdc = krb5auth3.stanford.edu
master_kdc = krb5auth1.stanford.edu
admin_server = krb5-admin.stanford.edu
default_domain = stanford.edu
}
UTORONTO.CA = {
kdc = kerberos1.utoronto.ca
kdc = kerberos2.utoronto.ca
kdc = kerberos3.utoronto.ca
admin_server = kerberos1.utoronto.ca
default_domain = utoronto.ca
}
[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
.media.mit.edu = MEDIA-LAB.MIT.EDU
media.mit.edu = MEDIA-LAB.MIT.EDU
.csail.mit.edu = CSAIL.MIT.EDU
csail.mit.edu = CSAIL.MIT.EDU
.whoi.edu = ATHENA.MIT.EDU
whoi.edu = ATHENA.MIT.EDU
.stanford.edu = stanford.edu
.slac.stanford.edu = SLAC.STANFORD.EDU
.toronto.edu = UTORONTO.CA
.utoronto.ca = UTORONTO.CA
« Последнее редактирование: 26 Октября 2020, 11:09:46 от ALiEN175 »
AnrDaemon
$ dig _ldap._tcp.dc._msdcs.ZTSM.RU. SRV(Естественно, нужны bind-utils. Если мозгов их нет, можно обойтись
nslookup -type=SRV _ldap._tcp.dc._msdcs.ZTSM.RU. но полезной информации будет в разы меньше.)
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
dig _ldap._tcp.dc._msdcs.ZTSM.RU. SRV
; <<>> DiG 9.11.3-1ubuntu1.13-Ubuntu <<>> _ldap._tcp.dc._msdcs.ZTSM.RU. SRV
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: FORMERR, id: 54506
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: f6629215835316ae (echoed)
;; QUESTION SECTION:
;_ldap._tcp.dc._msdcs.ZTSM.RU. IN SRV
;; Query time: 0 msec
;; SERVER: 192.168.0.10#53(192.168.0.10)
;; WHEN: Mon Oct 26 11:31:30 MSK 2020
;; MSG SIZE rcvd: 69
garett@smb:~$ nslookup -type=SRV _ldap._tcp.dc._msdcs.ZTSM.RU.
Server: 192.168.0.10
Address: 192.168.0.10#53
_ldap._tcp.dc._msdcs.ZTSM.RU service = 0 100 389 dc.ztsm.ru.
Я настроил DNS для этого сервера — в моем случае это DC. Так нужно ставить bind-utils или нет?
P.S. Часовой пояс правильный (если это имеет значение для данной проблемы):
timedatectl
Local time: Mon 2020-10-26 11:33:51 MSK
Universal time: Mon 2020-10-26 08:33:51 UTC
RTC time: Mon 2020-10-26 08:33:52
Time zone: Europe/Moscow (MSK, +0300)
System clock synchronized: yes
systemd-timesyncd.service active: yes
RTC in local TZ: no
Правила форума
1.4. Листинги и содержимое текстовых файлов следует добавлять в сообщение с помощью теговили [code]…[/code], либо прикреплять к сообщению в виде отдельного файла. Длинные гиперссылки следует оформлять при помощи тега [url=]…[/url]Показать скрытое содержание…
+5%
—Aleksandru
« Последнее редактирование: 26 Октября 2020, 15:59:55 от Aleksandru »
AnrDaemon
Я настроил DNS для этого сервера — в моем случае это DC.
Минуту, а почему вы вообще wbinfo запускаете, если биндили через sssd ?
Что помешало использовать winbindd ?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
Да вообще я раньше подобного не сооружал, поэтому строго по мануалу делал.
Пользователь добавил сообщение 27 Октября 2020, 11:19:04:
Так все же — как мне получить список пользователей домена при указанных настройках? Конечная цель — мне нужен файловый сервер с расшаренными папками, для которых я смогу указать права на уровне пользователей домена. Заранее благодарен.
« Последнее редактирование: 27 Октября 2020, 11:19:04 от garett »
AnrDaemon
Что говорит
sudo net ads testjoin?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
sudo net ads testjoin
Enter SMB$@ZTSM.RU’s password:
kerberos_kinit_password SMB$@ZTSM.RU failed: Preauthentication failed
Join to domain is not valid: The attempted logon is invalid. This is either due to a bad username or authentication information.
Недопонял, что это за учетка автоматически подставляется — такой учетки (SMB) в домене просто нет и быть не должно.
AnrDaemon
Это внутренний Kerberos аккаунт.
Вы вообще
net ads join ZTSM.RU делали?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
Нет. Я настроил DNS, указав DNS контроллера домена, настроил NTP, также указав на DC. Поправил timezone, отредактировал /etc/hosts, а потом выполнил sudo realm join -U Administrator ztsm.ru
AnrDaemon
А при чём тут Kerberos? Я про Самбу спрашиваю, вы же её тестируете.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
Я что-то запутался — давайте сначала. Я установил следующие пакеты:
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
Действовал согласно вот этому мануалу: https://computingforgeeks.com/join-ubuntu-debian-to-active-directory-ad-domain/
Я просто хочу понять, есть ли подробная конкретная инструкция по созданию файлового сервера на Ubuntu с последующей его интеграцией в Active Directory? Или это магия и волшебство и нужно угадывать, что и в каком порядке нужно было установить?
AnrDaemon
Почему все пытаются пойти самым сложным и [цензурнутым] путём?…
Для включения сервера в действующую AD достаточно одной самбы. ОДНОЙ САМБЫ, КАРЛ!!!!
# apt-get install samba cifs-utils krb5-user libnss-winbind libpam-winbind smbclient samba-dsdb-modules samba-vfs-modules ldb-tools
# ./samba-prep.sh --realm=ZTSM.RU -- ZTSM
# cp -vT nsswitch.conf /etc/nsswitch.conf
# cp -vT krb5.conf /etc/krb5.conf
# cp -vT smb.conf /etc/samba/smb.conf
# systemctl stop nmbd smbd winbind
# эрэм эрэф /var/lib/samba/private/*
# net ads join -U Administrator
# reboot & exit
Скрипты и шаблоны https://github.com/AnrDaemon/samba4-ads/tree/master/root/samba-ads
Конкретно https://github.com/AnrDaemon/samba4-ads/blob/master/root/samba-ads/smb.conf.tpl вам придётся поправить под себя — вбить свои диапазоны резервных ID как минимум.
« Последнее редактирование: 29 Октября 2020, 02:24:20 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.
Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…
garett
./samba-prep.sh —realm=ZTSM.RU — ZTSM
скачал ту папку по ссылке, samba-ads, положил в корень, сделал chmod +x для скрипта samba-prep.sh, запускаю, выдает сразу:
./samba-prep.sh: line 6: syntax error near unexpected token `newline’
./samba-prep.sh: line 6: `<!DOCTYPE html>’
- Печать
Страницы: [1] 2 3 Все Вверх
I have followed the Active Directory intergration Wiki to the letter, but stuck at the winbind section when i do i wbinfo -u or i get Error looking up Domain users or domain groups….
[gigabyteme@wkstn1-arch ~]$ sudo wbinfo -u
[sudo] password for gigabyteme:
Error looking up domain users
[gigabyteme@wkstn1-arch ~]$ wbinfo -u
Error looking up domain users
[gigabyteme@wkstn1-arch ~]$ wbinfo -g
failed to call wbcListGroups: WBC_ERR_WINBIND_NOT_AVAILABLE
Error looking up domain groups
[gigabyteme@wkstn1-arch ~]$ Here is my krb.conf file….
[libdefaults]
default_realm = CLICK-IT.CA
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
CLICK-IT.CA = {
kdc = CITADSVR01.CLICK-IT.CA
admin_server = CITADSVR01.CLICK-IT.CA
default_domain = CLICK-IT.CA
}
[domain_realm]
.citadsvr01.click-it.ca = CLICK-IT.CA
.click-it.ca = CLICK-IT.CA
click-it.ca = CLICK-IT.CA
click-it = CLICK-IT.CA
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/kadmind.logand here is my smb.conf file
/etc/samba/smb.conf
[Global]
netbios name = WKSTN1-ARCH
workgroup = CLICK-IT
realm = CLICK-IT.CA
server string = %h ArchLinux Host
security = ads
encrypt passwords = yes
password server = citadsvr01.click-it.ca
idmap config * : backend = rid
idmap config * : range = 10000-20000
winbind use default domain = no
winbind enum users = Yes
winbind enum groups = Yes
winbind nested groups = Yes
winbind separator = +
winbind refresh tickets = yes
template shell = /bin/bash
template homedir = /home/%D/%U
preferred master = no
dns proxy = no
wins server = pdc.example.com
wins proxy = no
inherit acls = Yes
map acl inherit = Yes
acl group control = yes
load printers = no
debug level = 3
use sendfile = noAny help with this would be greatly aprecieated…
Last edited by 0n3 (2014-03-28 05:27:43)
|
Description of problem:
I am trying to setup an AD member server. I followed the wiki (https://wiki.samba.org/index.php/Setup_a_Samba_AD_Member_Server).
The domain join succeeded
But wbinfo fails:
$ wbinfo -u
Error looking up domain users
I tried to increase windbind log verbosity to 10, but I can see no trace when issuing wbinfo:
/etc/smb.conf
log level = winbind:10
Version-Release number of selected component (if applicable):
samba-winbind-clients-4.1.17-1.fc21.x86_64
samba-4.1.17-1.fc21.x86_64
How reproducible:
Steps to Reproduce:
1.
2.
3.
Actual results:
Expected results:
Additional info:
# net ads testjoin
Join is OK
# wbinfo -u
Error looking up domain users
$ rpm -q samba-winbind
samba-winbind-4.1.17-1.fc21.x86_64
$ cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
::1 localhost6.localdomain6 localhost6
192.168.0.84 linuxmr.studelec-sa.com linuxmr
/etc/samba/smb.conf is here: http://pastebin.com/gAk6nX0x
$ cat /etc/resolv.conf
search studelec-sa.com
nameserver 192.168.0.250
$ cat /etc/krb5.conf (ALTHOUGH THE WIKI DOES STATE ANY CONFIGURATION IS REQUIRED IN THAT FILE)
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
# default_realm = EXAMPLE.COM
# Utile ou pas ?
default_realm = STUDELEC-SA.COM
dns_lookup_kdc = true
default_ccache_name = KEYRING:persistent:%{uid}
[realms]
# EXAMPLE.COM = {
# kdc = kerberos.example.com
# admin_server = kerberos.example.com
# }
[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
Please check is accidentally the sssd-libwbclient package is installed. If yes, please remove it an try again.
Yes it works ! Many thanks |
Доброго времени, коллеги!
Пытаюсь завести линуксовую тачку в домен Windows. Машина с Debian 8, Samba 4. Домен на Win Server 2008R2. В домен подключил успешно, но wbinfo -u | -g и аналогично getnet passwd | groups не видят доменных пользователей и группы.
В доках и мануалах на просторах гугла подобной ситуации не нашел.
Конфиги:
smb.conf:
[global]
workgroup = REGIONS
realm = REGIONS.LAN
dns proxy = no
interfaces = eth0
log file = /var/log/samba/log.%m
max log size = 10000
syslog = 0
panic action = /usr/share/samba/panic-action %d
server role = standalone server
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Entersnews*spassword:* %nn *Retypesnews*spassword:* %nn *passwordsupdatedssuccessfully* .
pam password change = yes
map to guest = bad password
usershare allow guests = no
unix charset = utf8
dos charset = cp1251
security = ADS
auth methods = winbind
encrypt passwords = yes
client use spnego = yes
client ntlmv2 auth = yes
restrict anonymous = 2
socket options = TCP_NODELAY
# Отключаем любые попытки тачки стать контроллером домена
domain master = no
local master = no
preferred master = no
os level = 0
# Отключаем поддержку принтеров
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
# Включаем интеграцию с Winbind
domain logons = yes
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind refresh tickets = yes
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
winbind cache time = 40
template shell = /bin/false
winbind refresh tickets = yes
[share]
comment = Shared folder
path = /srv/samba/share
read only = no
browseable = yes
guest ok = no
create mask = 0777
directory mask = 0777
writable = yes
[users]
comment = Users folder
path = /srv/samba/users
read only = no
browseable = yes
guest ok = no
create mask = 0777
directory mask = 0777
writable = yeskrb5.conf:
[libdefaults]
default_realm = REGIONS.LAN
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
REGIONS.LAN = {
kdc = dc01
admin_server = dc01
default_REGIONS = REGIONS.LAN
}
[REGIONS_realm]
.regions.tax.nalog.ru = REGIONS.LAN
regions.tax.nalog.ru = REGIONS.LAN
[login]
krb4_convert = false
krb4_get_tickets = falseРезультат команды testparm:
# testparm
Load smb config files from /etc/samba/smb.conf
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
Processing section "[share]"
Processing section "[users]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBERИ собственно
# wbinfo -t
checking the trust secret for domain REGIONS via RPC calls succeededТаким образом машина в домен вошла, авторизация через kerberos успешно проходит, samba с доменом установила доверенные отношения.
Подскажите, куда копать?
NB: К домен контроллеру доступа нет. На его стороне логи посмотреть не могу.
Модераторы: GRooVE, alexco
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
Vile
- проходил мимо
Проблема с Samba/Winbindd
Кереберос выдаёт тикет
Код: Выделить всё
wbinfo -p
Ping to winbindd succeeded on fd 4Код: Выделить всё
net ads join -U user
user's password:
Using short domain name -- DOM
DNS update failed!
Joined 'COMPNAME' to realm 'MYDOMAIN.RU' (хотя к слову он не появляется в АД)Проблема в следующем
Код: Выделить всё
wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secretКод: Выделить всё
smb.conf
[global]
dos charset = cp866
unix charset = koi8-r
display charset = koi8-r
workgroup = DOM
realm = MYDOMAIN.RU
server string = File server
interfaces = 172.22.1.3/24
security = ADS
auth methods = winbind
password server = 192.168.0.1 172.22.0.2
log level = 0 vfs:1
log file = /var/log/samba/samba.log
max log size = 0
deadtime = 360
paranoid server security = No
max open files = 100000
load printers = No
show add printer wizard = No
os level = 8
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = No
winbind refresh tickets = Yes
hosts allow = 192.168., 172.22., 127.
case sensitive = No
hide unreadable = YesПомогите плз
Последний раз редактировалось Alex Keda 2008-08-14 19:59:13, всего редактировалось 1 раз.
Причина: [code][/code] — для кого?
-
Хостинг HostFood.ru
Услуги хостинговой компании Host-Food.ru
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
Vile
- проходил мимо
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
Vile » 2008-08-14 21:08:52
Пробывал перезапускать самбу и даже ребутить сервак — не помогает.
-
opt1k
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
opt1k » 2008-08-15 0:24:58
укажите статью по которой делали, так проще понять будет.
-
Гость
- проходил мимо
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
Гость » 2008-08-15 8:38:10
Делал по двум разным статьям в принципе — щас заметил что стала появлятся ошибка при рестарте самбы
nsswitch/winbindd_passdb.c:sid_to_name(126)
Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend
nmbd/nmbd_namequery.c:query_name_response(109)
query_name_response: Multiple (2) response recevived from a query on subnet «Мой ИП» for name «DOM»
This response was from IP 172.22.0.3 reporting an IP adress of 172.22.0.3
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-11 16:55:55
так решили проблемму или нет … так как такая же проблема и хочу сказать что статья не одна не помогает … ошибка такая же … 
не по лисярской статье не по другим… может где-то на винде траблы … 
помогите
-
FoxDW
- мл. сержант
- Сообщения: 106
- Зарегистрирован: 2008-08-04 4:42:43
- Откуда: Красноярск
- Контактная информация:
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
FoxDW » 2009-03-12 7:42:18
че то похожее было у меня, стоит проверить:
Перезагрузить контроллер (вроде именно так у меня и решилась проблема)
Проверить синх времени
Проверить зашел ли сервер в домен, есть ли записи в ДНС на сервере
Вот как то так
-
NN
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
NN » 2009-03-12 17:02:38
# net join -U admin%passwd
и еще что klist показывает?
Каждому свое!!!!
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-16 14:06:52
net ads join -U d_sokolov
[2009/03/07 12:37:27, 0] libads/kerberos.c:create_local_private_krb5_conf_for_domain(738)
create_local_private_krb5_conf_for_domain: rename of /var/db/samba/smb_tmp_krb5.Q6JLtb to /var/db/samba/smb_krb5/krb5.conf.LC failed. Errno Operation not permitted
d_sokolov’s password:
Using short domain name — LC
Joined ‘LC’ to realm ‘HLIBUKR.COM.UA’
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-16 14:37:08
и ощибка такая осталась все равно
wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret
-
NN
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
NN » 2009-03-16 14:41:44
а Вы точно с поддержкой ADS установили?
попробуйте поставить в
Если не поможет, то лучще правьте дефолтовый конфиг, а потом уже добавляйте всякие завороты 
Каждому свое!!!!
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-16 15:19:55
собрано точно с поддержкой поддержкой ADS тут все точно … единственно что было это первый раз ввелось все нормально получил и пользователей и группы, потом начал ковырять конфиг перенастраивать все и после этого перестало работать … может на контролере серва 2003 что-то добавилось что нужно удалить … ??? если честно уже не знаю что и делать … уже и фрю пересетапливал и все уже переделывал все проходит хорошо в плане ввода в домен получение но потом бамц проверяешь и такая ощипка вылазит
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret
Последний раз редактировалось x-life 2009-03-16 15:39:53, всего редактировалось 1 раз.
-
NN
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
NN » 2009-03-16 15:38:56
x-life писал(а):собрано точно с поддержкой поддержкой ADS тут все точно … единственно что было это первый раз ввелось все нормально получил и пользователей и группы, потом начал ковырять конфиг перенастраивать все и после этого перестало работать … может на контролере серва 2003 что-то добавилось что нужно удалить … ??? если честно уже не знаю что и делать … уже и фрю пересетапливал и все уже переделывал все проходит хорошо но потом бамц проверяешь и такая ощипка вылазит
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret
а nsswitch.conf правильно исправил?
Каждому свое!!!!
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-16 15:42:50
конечно все правильно … вот по статьям лисяры
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-16 15:44:00
я думаю может на контролере что-то не так может быть, туда первый раз что-то добавилось а сейчас добавлятся не хочет потому что есть еще старая регистрация тики может быть хз если чесно уже не знаю где копать
-
NN
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
NN » 2009-03-16 15:56:16
x-life писал(а):конечно все правильно … вот по статьям лисяры
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
вот мой
Код: Выделить всё
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1 2006/05/03 15:14:47 ume Exp $
#
#group: compat
group_compat: nis
hosts: files dns
networks: files
#passwd: compat
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files
passwd: files winbind
group: files winbind
а вот конфиг самбы
Код: Выделить всё
[global]
workgroup = STARS
server string = ProxyServer
security = domain
hosts allow = 192.168. 127.
; load printers = yes
; printcap name = /etc/printcap
; printcap name = lpstat
; printing = cups
; guest account = pcguest
log file = /var/log/samba/log.%m
max log size = 50
password server = 192.168.1.6
realm = stars.ru
passdb backend = tdbsam
; include = /usr/local/etc/smb.conf.%m
; socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
socket options = TCP_NODELAY
interfaces = 192.168.1.0/24
local master = no
os level = 0
domain master = no
preferred master = no
domain logons = no
; logon script = %m.bat
; logon script = %U.bat
; logon path = \%LProfiles%U
; wins support = yes
; wins server = 192.168.1.6
; wins proxy = yes
dns proxy = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
; store dos attributes = yes
; map hidden = no
; map system = no
; map archive = no
# Use inherited ACLs for directories
; nt acl support = yes
; inherit acls = yes
; map acl inherit = yes
; add user script = /usr/sbin/useradd %u
; add group script = /usr/sbin/groupadd %g
; add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
; delete user script = /usr/sbin/userdel %u
; delete user from group script = /usr/sbin/deluser %u %g
; delete group script = /usr/sbin/groupdel %g
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
encrypt passwords = yes
а вот Heimdal я не ставил и /etc/krb5.conf не создавал, все и так работает), сделай по моим конфигам, посмотри, что и как 
Каждому свое!!!!
-
NN
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
NN » 2009-03-16 16:00:16
x-life писал(а):я думаю может на контролере что-то не так может быть, туда первый раз что-то добавилось а сейчас добавлятся не хочет потому что есть еще старая регистрация тики может быть хз если чесно уже не знаю где копать
в АДу удали старую запись SAMBA,
зы
когда самба работает, то твой сервак висит в открытых сессиях
Каждому свое!!!!
-
NN
- мл. сержант
- Сообщения: 102
- Зарегистрирован: 2008-12-05 6:55:31
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
NN » 2009-03-16 16:08:48
x-life писал(а):а как запись самбы удалить с сервака АД подскажите
если Вы никуда в активной дериктории не перемещали, то по умолчанию она создается в контейнере: Computers на контролере домена
Каждому свое!!!!
-
x-life
- рядовой
- Сообщения: 22
- Зарегистрирован: 2009-03-07 15:21:41
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
x-life » 2009-03-16 16:21:43
ну сейчас сетаплю все сначало попробую… запись удалил … буду пробывать позже отпишусь
-
xplorer
- проходил мимо
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
xplorer » 2010-08-13 10:17:38
У меня была такая проблема. Возникла из-за совпадения localsid и domainsid.
Проверить можно net getdomainsid, изменить net setlocalsid.
-
dasinger
- проходил мимо
Re: Проблема с Samba/Winbindd
Непрочитанное сообщение
dasinger » 2013-03-25 21:56:43
Вот эта строчка обязательно должна присутствовать в секции [global], файла smb.conf
encrypt passwords = yes
Dear Experts…
This one is driving me nuts. I have samab with winbind setup and have proceeded to setup samba, setup kerberos, and join the Active Directory. I can use the kinit and kpasswd tools to check/change passwords on the Active Directory. Everything seems to be going smooth until wbinfo -u. Then I get «Error looking up domain users».
net rpc join -U Administrator reports a sucessful join.
Active Directory shows the unix server’s computer account
wbinfo -t reports sucess
wbinfo -g reports BuiltIn groups only
—————— smb.conf —————————
workgroup = Sample
netbios name = Server2
os level = 20
realm = EXAMPLE.COM
server string = File Server (Samba)
security = ADS
encrypt passwords = Yes
template shell = /bin/bash
template homedir = /home/%U
template primary group = «Domain Users»
idmap uid = 1000-2000
idmap gid = 1000-2000
winbind uid = 1000-2000
winbind gid = 1000-2000
winbind separator = +
winbind cache time = 10
winbind use default domain = Yes
winbind nested groups = Yes
winbind enum users = Yes
winbind enum groups = Yes
username level = 5
log level = 1
log file = /var/log/samba/%m
min protocol = LANMAN2
name resolve order = host wins lmhosts
getwd cache = No
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=16384 SO_SNDBUF=16384
load printers = No
logon script = \server1netlogonlogon.bat
logon drive = X:
lm announce = No
preferred master = No
local master = No
domain master = No
wins server = server1.example.com
ldap ssl = No
read only = No
create mask = 0660
directory mask = 0770
inherit permissions = Yes
inherit acls = Yes
csc policy = disable
———————————————————
OS: RedHat EL 3
Samba: Version 3.0.9-1.3E.3
What is up with this? From what I recall I followed the exact same proceedures for another setup and it worked just fine.
I really need this soon. Thanks!! -Cheers, Peter.