Код: Выделить всё
# rpm -qa | grep samba
samba-common-3.5.12-72.fc15.1.i686
samba-3.5.12-72.fc15.1.i686
samba-winbind-3.5.12-72.fc15.1.i686
samba-client-3.5.12-72.fc15.1.i686
samba-winbind-krb5-locator-3.5.12-72.fc15.1.i686
samba-winbind-clients-3.5.12-72.fc15.1.i686
Комп введён в домен, назовём его DOM1. И есть ещё один домен, назовём его DOM2. Между ними есть трастовые отношения. Насколько я знаю, односторонние (то есть компьютеры в домене DOM1 позволяют аутентифицироваться пользователям в домене DOM2).
Настроен вход по доменным пользователям по SSH. С пользователями из домена DOM1 всё замечательно — входят и выходят. А вот войти под пользователем из домена DOM2 не удаётся.
Конфиги:
/etc/samba/smb.conf
Код: Выделить всё
[global]
socket options = TCP_NODELAY
workgroup = DOM1
server string = Samba Server
local master = no
domain master = no
preferred master = no
wins support = no
wins server = 10.0.61.11
dns proxy = no
realm = DOM1.TST
security = ADS
password server = 10.0.61.11
winbind separator = @
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
allow trusted domains = yes
template homedir = /home/%U
template shell = /bin/bash
log file = /var/log/samba/%m.log
max log size = 5000
printcap name = /etc/printcap
load printers = no
/etc/krb5.conf
Код: Выделить всё
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DOM1.TST
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24000
# renew_lifetime = 7d
forwardable = yes
[domain_realm]
.dom1.tst = DOM1.TST
dom1.tst = DOM1.TST
Попытка войти под пользователем из домена DOM2:
Код: Выделить всё
$ ssh DOM2.LAN@user@10.0.61.115
DOM2.LAN@user@10.0.61.115's password:
Your password has expired
Last login: Mon Feb 27 16:57:02 2012 from 10.0.151.210
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user DOM2@user.
passwd: Authentication token manipulation error
Connection to 10.0.61.115 closed.
После этого в логе /var/log/samba/log.wb-DOM2:
Код: Выделить всё
ads_krb5_mk_req: smb_krb5_get_credentials failed for cifs/mailgate.dom2.lan@DOM2.LAN (Server not found in Kerberos database)
[2012/02/28 14:00:16.523154, 1] libsmb/cliconnect.c:802(cli_session_setup_kerberos)
cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Server not found in Kerberos database
[2012/02/28 14:05:02.891947, 1] libsmb/clikrb5.c:789(ads_krb5_mk_req)
ads_krb5_mk_req: smb_krb5_get_credentials failed for cifs/mailgate.dom2.lan@DOM2.LAN (Server not found in Kerberos database)
[2012/02/28 14:05:02.892138, 1] libsmb/cliconnect.c:802(cli_session_setup_kerberos)
cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Server not found in Kerberos database
Что мне непонятно:
адрес mailgate.dom2.lan видимо взят из DNS (он там присутствует как одна из NS и MX записей).
Но разве не должна аутентификация всё-таки идти через DOM1? DOM2-то не пустит напрямую...
Эту переписку читала: http://samba.2283325.n4.nabble.com/smbclie...-td3614417.html
Добавление 'client use spnego principal = true' не помогло.
У кого-нибудь работала такая конфигурация? Я в Samb-е в общем дилетант, а про AD вообще мало чего знаю...