Samba in Windows 2003 AD

HolyBoy 17 апреля, 2009 - 12:59

Системное администрирование

Доброго всем дня.

Появилась нужда в домен W2k3 ввести самбу, да так, чтобы работало как полагается.

Ставим net-fs/samba-3.0.34 (acl ads cups ipv6 kernel_linux ldap pam python readline winbind), запускаем самбу, предварительно поправив /etc/conf.d/samba: daemon_list="winbind"

Проверяем синхронизацию времени:

# net time -S srv.dom.local ; date
Fri Apr 17 12:44:20 2009
Птн Апр 17 12:44:51 MSD 2009

и загоняем машинку в домен:

# net ads join -U user%pass
Using short domain name -- DOM
Joined 'DOM' to realm 'DOM.LOCAL'

Проверяем:

# wbinfo -p
Ping to winbindd succeeded on fd 4

# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INVALID_HANDLE (0xc0000008)
Could not check secret

# wbinfo -g
BUILTIN\administrators
BUILTIN\users

# wbinfo -u
Error looking up domain users

Непонятно что-то, проверим. Для этого останавливаем самбу и запускаем отдельно winbindd -i -d 4, после этого снова исполняем вышеуказанные команды, к примеру, wbinfo -t , в результате в логе появляется:

[32123]: request interface version
[32123]: request location of privileged pipe
[32123]: check machine account
child daemon request 33
[32120]: check machine account
could not open handle to NETLOGON pipe
Checking the trust account password returned NT_STATUS_INVALID_HANDLE

С чем эта ошибка связана? С кривостью самбы или с АД W2k3? Если с первым, то есть ли рецепт исправления? Если со вторым, то что там докрутить надо? Полагаю, т.к. к АД доступа нет, надо там вручную (?) добавить компьютер.

Для комментирования войдите или зарегистрируйтесь

Где получение тикета через

Автор winterheart, дата создания 17 апреля, 2009 - 14:03.

Где получение тикета через Керберос? Докуривать процесс включения Samba в сеть AD 2003

—

Не грусти, товарищ! Всё хорошо, beautiful good!

Для комментирования войдите или зарегистрируйтесь

Пробовалось как с керберосом

Автор HolyBoy, дата создания 17 апреля, 2009 - 15:53.

Пробовалось как с керберосом так и без. В сеть с W2k без тикета пущало. Здесь решил сделать аналогично. Вошло. На проверках срезалось. Решил перевойти. Создал тикет и вошёл в домен заново. Но проблему это не решило. Поэтому, эпопею с тикетами я не включил в повествование, как и прочие детали, типа смб.конф. Показал только, что за флаги на самбе, что она вошла в домен, но в нём вот такая гадость приключается.

Для комментирования войдите или зарегистрируйтесь

Видят ли машинки друг друга

Автор winterheart, дата создания 17 апреля, 2009 - 16:25.

Видят ли машинки друг друга по имени? Что в /etc/nsswith.conf, pam? Конфиги опять же.

—

Не грусти, товарищ! Всё хорошо, beautiful good!

Для комментирования войдите или зарегистрируйтесь

конфиги

Автор HolyBoy, дата создания 17 апреля, 2009 - 16:56.

# cat /etc/nsswitch.conf
# /etc/nsswitch.conf:
# $Header: /var/cvsroot/gentoo/src/patchsets/glibc/extra/etc/nsswitch.conf,v 1.1 2006/09/29 23:52:23 vapier Exp $

passwd:      files winbind
shadow:      files winbind
group:       files winbind

# passwd:    db files nis
# shadow:    db files nis
# group:     db files nis

hosts:       files dns
networks:    files dns

services:    db files
protocols:   db files
rpc:         db files
ethers:      db files
netmasks:    files
netgroup:    files
bootparams:  files

automount:   files
aliases:     files


# cat /etc/samba/smb.conf | grep -v '#' | grep -v '^$'
[global]
workgroup = DOM
server string = Squid with LDAP auth
security = ads
hosts allow = 172.16. 127.
interfaces = eth1, lo
log file = /var/log/samba/samba.log
max log size = 5000
password server = srv.dom.local
realm = dom.local
passdb backend = tdbsam
socket options = TCP_NODELAY 
local master = no
domain master = no
preferred master = no
domain logons = no
os level = 0
display charset = UTF-8
unix charset = UTF-8
dos charset = cp866
encrypt passwords = yes
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes

# cat /etc/hosts | grep srv
172.16.95.10 srv.dom.local

Так что, мой сервер того видит, а вот насчёт «друг друга» — это ты хорошую подсказку дал. Как будет возможность, попрошу админа виндового сервера проверить, что там с его машины видно по айпи, по имени, по записям в AD. В общем, склоняется всё ж к тому, что виндовая машинка ерундит, так?