Samba+AD2003

[McLeod095]

Всем здрастье!!

Народ прошу помощи так как уже сил моих нет с этим тра.....!
Вторую неделю бьюсь.

надо загнать самбу в АД.
Ситуация такая. Есть машина под слакварем 10.2, недавно правда обновил до current, где-то с неделю назад.
собрал heimdal 0.7
собрал ldap 2.3.20
собрал samba 3.0.21c
sambу собирал с параметрами --with-ads --with-krb5 --with-ldap --with-winbind ну и еще кое какие но они относятся только к месторасположению самой самбы и конфигов.

вот smb.conf
[global]
auth methods = winbind
netbios name = McLeodLinux
workgroup = PBLOCAL
realm = PBLOCAL.NET
server string = File Server
interfaces = eth0, lo
bind interfaces only = Yes
security = ADS
allow trusted domains = No
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 0
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = 172.16.13.15
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
hosts allow = 172.16., 127.
strict locking = No
time server = Yes
log file = /var/log/samba/connect/samba.%m
max log size = 50
log level = 2

[public]
comment = Public
path = /mnt/hda3/mnt/TEMP/samba/public
public = yes
writable = yes
printable = no
create mask = 0666
valid users = @"PBLOCAL\Domain users"

вот krb5.conf
[libdefaults]
default_realm = PBLOCAL.NET

[realms]
PBLOCAL.NET = {
kdc = 172.16.13.8
}

[domain_realm]
.pblocal.net = PBLOCAL.NET

[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmin.log
default = FILE:/var/log/krb5/krb5lib.log

вот nsswitch.conf
passwd: files winbind
shadow: files winbind
group: files winbind

passwd: compat
group: compat

hosts: files dns
networks: files

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
bootparams: files

automount: files
aliases: files

kinit Admin
проходит нормально билет выдается. по klist видно что выдан на 12 часов.
net ads join -U Admin
тоже все нормально коннектится.
wbinfo -t выдает что все в норме.
wbinfo -u, wbinfo -g выводят списки пользователей и групп соответственно
wbinfo -a user%password тоже говорит success
а вот на такие команды как
getent passwd, getent group выводит только локальных юзверей и локальные группы.
и соответственно id user тоже говорит что нет такого пользователя.

немного покопавшись в доках по nsswitch подумал что должна быть библиотека libnss-winbind.so в каталоге /lib ее там не оказалось, нашел библиотеку на другом разделе и скинул туда, и рестарт, но толка никакого.

Народ помогите плиз знаю что где-то рядом ответ, а найти не могу.

[Mr.Anderson]

увы, сразу решение не скажу, но как только - так сразу, отчаиваться не стоит

[Igor B.]

А если в конфиге nsswitch поменять местами files и winbind?

[McLeod095]

Да в логах такую байду заметил при попытке подключения с другого, либо со своей машины по smbclient -k -L McLeodLinux


[2006/04/06 17:40:11, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(249)
ads_secrets_verify_ticket: enc type [18] failed to decrypt with error Decrypt integrity check failed
[2006/04/06 17:40:11, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(249)
ads_secrets_verify_ticket: enc type [17] failed to decrypt with error Decrypt integrity check failed
[2006/04/06 17:40:11, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(249)
ads_secrets_verify_ticket: enc type [16] failed to decrypt with error Message size is incompatible with encryption type
[2006/04/06 17:40:11, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(249)
ads_secrets_verify_ticket: enc type [5] failed to decrypt with error Message size is incompatible with encryption type
[2006/04/06 17:40:11, 3] smbd/sesssetup.c:reply_spnego_kerberos(202)
Ticket name is [Administrator@PBLOCAL.NET]
[2006/04/06 17:40:11, 1] smbd/sesssetup.c:reply_spnego_kerberos(303)
Username PBLOCAL\Administrator is invalid on this system
[2006/04/06 17:40:11, 3] smbd/error.c:error_packet(146)
error packet at smbd/sesssetup.c(308) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

может че с kerberosom.

[Mr.Anderson]

керберос винда раздает? некрософт-реализация обладает целым рядом несовместимостей..

[McLeod095]

Да естественно винда керберос раздает. Как же по другому если вся сеть на винде.
Вот и у меня возник вопрос может не совместимость в керберосе. но тогда как решить????
Да и еще если это не совместимость в кербе то почему при таком раскладе как
smbclient -k -L Name_PC
все нормально гляжу какие шары есть. и также
smbclient \\Name\Share -o krb
тоже проходит без запроса пароля, по шаре лазию.
А вот ко мне какято херня.
может крбы надо собрать с какой то поддержкой?????
и еще почему по getent passwd не выдаются пользователи домена. Где то косяк в nsswitch е или winbind е???

[McLeod095]

Еще раз здрасьте!!!

вижу в этом вопросе никто помочь не может.

тут поставил ради интереса Fedora Core 5 использовал тот же конфиг.
Но при net ads join выдывала ошибку. так и не понял чего она хотела. долго заморачиваться не стал.
поставил Suse 10 и попробовал с тем же конфигом. Так вот здесь прошло все нормально. и kinit нормально и net ads join прошло и даже теперь на комп могут заходить
только вот на шары все равно пароль просит собака.
Вопрос:
1 как дать пользователям права на шары не создавая учетные записи на локальной машине.
2. Сделать так что бы при получении тикета вручную при следующей загрузке не надо было ручками вбивать а сам обновлялся.

А в слаке похоже проблема с керберосом попробую заново все пересобрать или другой вариант керба скачать и собрать.

[Liksys]

Упрости конфиг до минимума, а потом проверь, работает ли. Если работает, добавь еще одну функцию, опять проверь.
И так далее. Методом исключения выловишь баг.

[Mr.Anderson]

гм.. как по другому? конечно можно было бы поднять керберос на юниксе.. в принципе, необходимости ковыряться в кербе небыло никогда, но интересно стало, копну поглубже, мож и на твой вопрос отвнт найдется

[McLeod095]

Блин.......


Если все это дело получится, то обязательно напишу статейку небольшую по поводу этого с описанием всех граблей на которые я наткнулся.

Только бы решить проблему как можно быстрее.

[7biohazard7]

Может вот это поможет
http://weblog.bignerdranch.com/?p=6

[awsswa]

ads_secrets_verify_ticket: enc type [16] failed to decrypt with error Message size is incompatible with encryption type
[2006/04/06 17:40:11, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(249)
ads_secrets_verify_ticket: enc type [5] failed to decrypt with error Message size is incompatible with encryption type
может че с kerberosom.

по поводу этого - непонимает он пользователей по русски
надо добавить в smb.conf
display charset = KOI8-R
unix charset = KOI8-R
dos charset = CP866
если у тебя UTF8 в системе - то поправить на него

и при связи с w2003sp1 надо еще добавлять

use spnego = yes
client use spnego = yes

[McLeod095]

Спасибо за помощь.
Я уже все настроил.
и вот даже небольшая статейка.
http://www.opennet.ru/base/net/slackware_samba_ad.txt.html

[Kotjara]

IMHO сборка с поддержкой LDAP лишнее, т.к. ваш комп с самбой клиент, а не сервер.