Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС для молодых и начинающих системных администраторов.
Со всеми этими делами удалось втащить комптьтер в домен (net join отработал. Не сразу, но все же). Однако когда через GUI пытаюсь залогиниться (DOMAIN\user затем password) - unable authenticate user.
Покажи выданные тикеты. Попробуй посмотреть в логи. Обычно делаю так - стопаю все с чем связано, очищаю все логи, запускаю как должно быть, пробую чего надобно, получаю отлуп, стопаю все что назапускал. И курю логи. Замечательно если в логе пишется время.
Выданные тикеты (насколько я знаю - команда klist) выдает следующее:
user@host
klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@MY.DOMAIN.COM
Valid starting Expires Service principal
08/05/08 14:29:15 08/06/08 00:29:25 krbtgt/MY.DOMAIN.COM@MY.DOMAIN.COM
renew until 08/06/08 14:29:15
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
iptables отключен.
Еще такой вопрос - как посмотреть, какие процессы запущены? И как посмотреть состояние определенного процесса?
Вопросы новичковые но ведь и тема соответствующая...
Кроме того, перестал выдавать ответ на команды wbinfo -g и wbinfo -u. wbinfo -p - проходит без проблем.
Обновить сертификат не дает:
user@host
# kinit user@MY.DOMAIN.COM
kinit(v5): Cannot resolve network address for KDC in realm MY.DOMAIN.COM while getting initial credentials
Вероятно, либо процесс какой-то мешает, либо снова неверно настроен /etc/krb5.conf
ЗЫ Я правильно оформляю сообщение?
ps ax | grep kerb
1801 ? Ss 0:00 /usr/kerberos/sbin/kadmind
1816 ? Ss 0:00 /usr/kerberos/sbin/krb524d -m
1834 ? Ss 0:00 /usr/kerberos/sbin/krb5kdc
24863 pts/3 S+ 0:00 grep kerb
cat /etc/hosts
# Do not remove the following line, or various programs
# that require network functionality will fail.
127.0.0.1 localhost
172.16.27.4 krb.src.local
ps ax | grep kerb
1801 ? Ss 0:00 /usr/kerberos/sbin/kadmind
1816 ? Ss 0:00 /usr/kerberos/sbin/krb524d -m
1834 ? Ss 0:00 /usr/kerberos/sbin/krb5kdc
24863 pts/3 S+ 0:00 grep kerb
Здесь ответ тоже другой.
user@host
# ps ax | grep kerb
4117 pts/1 S+ 0:00 grep kerb
Вот как то так. С остальным - иду копать.
Подскажите пожалуйста, как получить список запущенных процессов и состояние одного отдельно взятого процесса?
И еще, что значит это: ".LOCAL"? Значит ли это что после имени домена вида MOSCOW.DOMAIN.COM надо добавлять эту LOCAL? Или хватит просто имени домена? Интересуюсь, потому что не первый раз вижу...
Большое спасибо, тут собака порылась. Отредактировал конфиг - все отрезолвил, теперь я в домене. Хоть и проругался, на что - до конца не понял.
user@host
# net ads join -U user
Enter user's password:
Using short domain name -- DOMAIN_MY_01
Joined 'FEDORIC' to realm 'my.domain.com'
[2008/08/06 19:12:07, 0] libads/kerberos.c:ads_kinit_password(356)
kerberos_kinit_password FEDORIC$@my.domain.com failed: KDC reply did not match expectations
No DNS domain configured for fedoric. Unable to perform DNS Update.
DNS update failed!
Это критично? И еще вопрос, насколько критично что тикет кербероса я получал одним юзером, а в домен вводил машину другим?
ЗЫ Если быть точным, то не я, а машина в домене. А через Gnome зайти так и не удается. Пытаюсь логиниться через короткое имя домена DOMAIN_MY_01\user , затем password. Сначала отвечает "no logon servers", затем привычное unable authenticate user . Может быть я не доредактировал какой-то конфиг Gnome?
Подозреваю что ДНС апдейтится не просто так - внимательно курим логи и конфиги самбы\ад.
Список процессов через ps, возможно с кучей ключей. Смотрите ман к своему дистру.
Мой домен = src.local
Строчки с dns_ где смотреть krb.src.local. В варианте с неблагоприятным окружением не брать с ДНСа айпи, а сразу пробить его в хостс.
Настоятельно рекомендую почитать доки для вашего кербероса.
Админ сервер это админ сервер. Читаем предыдущую строчку, ибо писать доку здесь нет времени.
""""No DNS domain configured for fedoric. Unable to perform DNS Update.
DNS update failed!"""
если контроллер домена виндосный, то
для исправления необходимо в windows зайти в dnsmgmt и там создать новый узел с именем linux машины с галочкой Разрешить любому прошедшему проверку пользователю обновлять DNS записи с таким же именем владельца
А если контроллер невиндозный, то настроить обновлятор. Там надо ключик-пароль и в конфиге намеда прописать мол кто-то с таким ключем придет и поменяет.