Привет, народ.
Поставил 10.1.
Проблема с Windows Domain Membership.
Если кто реально вклинился в домен под Win2003SP2 + Active Directory просьба кинуть дельный совет.
Собственно проблема (хотя может и не проблема...).
Поднята Самба(но не настроена). На машину захожу под рутом...юзера на локальной машине не создаю.
В WDM отмечаю чекбоксик (забыл сказать - сеть есть - домен видно) - "Создать домашний каталог при входе в систему".
После подверждения появляется окошко диалога для присоединения к домену.
Ввожу логин и пасс (заведенные в AD/). Меня поздравляют.
Далее топаю на окончание сессии.
Есть логин+пасс+название домена.
Ввожу л+п - вхожу в домен. Вроде все нормально.
Решил заново попробовать войти.
Окно ввода уже другое - есть стилизованное изображение юзера с указанием фамилии юзера (берется из AD) и рядом название "домен/логин".
От тут пароль не проканывает - ошибка доступа и все.
Керберос установлен - но отключен.
Включение или отключение как-то не влияет.
"Поиск" юзал...но толи как-то не так юзал...решения одним словом не нашел.
Вопрос - как быстро прикрутить на раз-два сьюзи к домену с AD?
Windows DM + 10.1 (Как реально залогинится в домен с AD?)
Модератор: Модераторы разделов
-
k0da
- Бывший модератор
- Сообщения: 6043
- Статус: SuSE QA Engineer
- ОС: Factory
Re: Windows DM + 10.1
zip
Керберос нужен ИМХО.
У меня работало... но я отказался (за не надобностью входить в домен)
Керберос нужен ИМХО.
У меня работало... но я отказался (за не надобностью входить в домен)
Fury in my eyes, sword on my side
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
-
zip
- Сообщения: 35
Re: Windows DM + 10.1
Керберос врубил - правда не помогает.
Приглашение от домена есть - а пароль не прожевывает. Хотя под локальным рутом захожу на машину - сеть виндовую и шары вижу. вобоно там "двигаюсь".
Себя вижу со стороны
(ну эта тема уже по Самбе...Просто чего хочется : обычного юзерского входа, без использвания локального "администратор/root".
Буду рад любому дельному совету.
-
k0da
- Бывший модератор
- Сообщения: 6043
- Статус: SuSE QA Engineer
- ОС: Factory
Re: Windows DM + 10.1
zip
С линукса можно пользователей отбраузить?
С линукса можно пользователей отбраузить?
Fury in my eyes, sword on my side
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
-
zip
- Сообщения: 35
Re: Windows DM + 10.1
В меню Пуск - Personal Setting - Системное администрирование - Менеджер входа в систему: на закладке Пользователи у меня есть все юзера с домена, причем как те что по умолчанию сервером Win2003 были созданы, так и те которые были созданы "руками".
Причем все они "задвоены", то есть есть как "Домен\юзер" и однотипный, но со значком $ в конце.
Я Вас правильно понял? (что-то скребет - что нет)
-
k0da
- Бывший модератор
- Сообщения: 6043
- Статус: SuSE QA Engineer
- ОС: Factory
Re: Windows DM + 10.1
zip
не я предлагал воспользоватся командой net
что-то вроде net ads -S server -l
точно синтаксис не скажу(непомню).
менеджер kdm?
не я предлагал воспользоватся командой net
что-то вроде net ads -S server -l
точно синтаксис не скажу(непомню).
менеджер kdm?
Fury in my eyes, sword on my side
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
-
zip
- Сообщения: 35
Re: Windows DM + 10.1
Менеджер тот самый...
С указанной командой я сунулся в man - там такие дебри насчет Kerberos и AD - у меня просто реально нет заварки по этой теме.
Неужто опять с бубном плясать?
Ребята на форуме говорили - "что это просто"...помогите знаниями и практикой. Плыз.
С указанной командой я сунулся в man - там такие дебри насчет Kerberos и AD - у меня просто реально нет заварки по этой теме.
Неужто опять с бубном плясать?
Ребята на форуме говорили - "что это просто"...помогите знаниями и практикой. Плыз.
-
k0da
- Бывший модератор
- Сообщения: 6043
- Статус: SuSE QA Engineer
- ОС: Factory
Re: Windows DM + 10.1
zip
в nsswitch.conf что?
еще юзера и домен нужно указывать через разделитель который прописан в конфиге у меня через + (помоему оно по дефолту)
попробуйте всетаки kerberos настроить.....
Должен наладить траст с доменом
в nsswitch.conf что?
еще юзера и домен нужно указывать через разделитель который прописан в конфиге у меня через + (помоему оно по дефолту)
попробуйте всетаки kerberos настроить.....
Должен наладить траст с доменом
Fury in my eyes, sword on my side
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
Afro on my head, I'm a black Samurai
Number One, I bring my whole nation alive
Escape death, to become immortalized
-
mInBlack
- Сообщения: 23
Re: Windows DM + 10.1
Здравствуйте.....
Zip отвечу вам следующим образом....
Последовательность действий следующая....
1. Инсталите:
samba с потдержкой winbind
керберовского клиента
2. Все это настраивается, при этом больше всего времени у меня заняло настройка кербероса.... там имеет значение маленькие буквы используете или большие...
3. Настраивается nsswitch.conf
4. командочкой net join ads -U .... входите в домен
5. стартуете winbind и samba
6. далее тестим командочкой wbinfo -g или winbind -u пытаемся получить соответственно группы и пользователей домена.....
почитать полемику на эту тему можно тут
http://linuxportal.ru/forums/index.php/mv/msg/18955/0/0/
P.S.
Работают 3-и сервака по этой схеме пока все работает отлично....
Но но об этом позже введите suse в домен а там дальше поговорим....
Удачи.....
Zip отвечу вам следующим образом....
Последовательность действий следующая....
1. Инсталите:
samba с потдержкой winbind
керберовского клиента
2. Все это настраивается, при этом больше всего времени у меня заняло настройка кербероса....
там имеет значение маленькие буквы используете или большие... 3. Настраивается nsswitch.conf
4. командочкой net join ads -U .... входите в домен
5. стартуете winbind и samba
6. далее тестим командочкой wbinfo -g или winbind -u пытаемся получить соответственно группы и пользователей домена.....
почитать полемику на эту тему можно тут
http://linuxportal.ru/forums/index.php/mv/msg/18955/0/0/
P.S.
Работают 3-и сервака по этой схеме пока все работает отлично....
Но
но об этом позже введите suse в домен а там дальше поговорим....Удачи.....
-
zip
- Сообщения: 35
Re: Windows DM + 10.1
nsswitch.conf:
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
# compat Use compatibility setup
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# [NOTFOUND=return] Stop searching if not found so far
#
# For more information, please read the nsswitch.conf.5 manual page.
#
# passwd: files nis
# shadow: files nis
# group: files nis
passwd: compat winbind
group: compat winbind
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files nis
aliases: files
krb5.conf
[libdefaults]
default_realm = BD.KOLOS.RU
clockskew = 300
[realms]
BD = {
kdc = 10.0.0.1
default_domain = bd
admin_server = 10.0.0.1
}
BD.KOLOS.RU = {
kdc = 10.0.0.1
default_domain = bd.kolos.ru
admin_server = 10.0.0.1
}
EXAMPLE.COM = {
kdc = kerberos.example.com
admin_server = kerberos.example.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.bd.kolos.ru = BD.KOLOS.RU
.bd = BD.KOLOS.RU
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}
smb.conf
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-05-02
[global]
workgroup = BD
printcap name = cups
cups options = raw
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
winbind gid = 10000-20000
winbind uid = 10000-20000
realm = BD.KOLOS.RU
security = ads
template shell = /bin/bash
winbind refresh tickets = yes
domain master = no
restrict anonymous = no
max protocol = NT
ldap ssl = No
server signing = Auto
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
preferred master = no
server string =
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
prog:~ # wbinfo -u
BD\administrator
BD\guest
BD\support_388945a0
BD\server01$
BD\krbtgt
И далее все юзера из домена
#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
# compat Use compatibility setup
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# [NOTFOUND=return] Stop searching if not found so far
#
# For more information, please read the nsswitch.conf.5 manual page.
#
# passwd: files nis
# shadow: files nis
# group: files nis
passwd: compat winbind
group: compat winbind
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files nis
aliases: files
krb5.conf
[libdefaults]
default_realm = BD.KOLOS.RU
clockskew = 300
[realms]
BD = {
kdc = 10.0.0.1
default_domain = bd
admin_server = 10.0.0.1
}
BD.KOLOS.RU = {
kdc = 10.0.0.1
default_domain = bd.kolos.ru
admin_server = 10.0.0.1
}
EXAMPLE.COM = {
kdc = kerberos.example.com
admin_server = kerberos.example.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.bd.kolos.ru = BD.KOLOS.RU
.bd = BD.KOLOS.RU
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}
smb.conf
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-05-02
[global]
workgroup = BD
printcap name = cups
cups options = raw
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
winbind gid = 10000-20000
winbind uid = 10000-20000
realm = BD.KOLOS.RU
security = ads
template shell = /bin/bash
winbind refresh tickets = yes
domain master = no
restrict anonymous = no
max protocol = NT
ldap ssl = No
server signing = Auto
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
preferred master = no
server string =
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
prog:~ # wbinfo -u
BD\administrator
BD\guest
BD\support_388945a0
BD\server01$
BD\krbtgt
И далее все юзера из домена
-
zip
- Сообщения: 35
Re: Windows DM + 10.1
Значит так : керберос,самба и нетсвитч остаются в таком же виде как я указал выше.
Появилась "барабашка": в трех случаях из десяти - при перезагрузке машины, загружается учетная запись (во всяком случае я так думаю) из домена AD.
Причем на автомате: то есть логин и пароль не спрашивается, хотя когда я лезу в Яст - там вижу учетную запись BD\prog - в которой нет настроек на беспарольный вход.
Ептить...в самбе при входе в виндовое сетевое окружение - домен просит логин и пароль,ввожу и шарюсь далее.
Значит при загрузке такой байды - выскакивает вот такая мессага:
"System.NullReferenceException: Object reference not set to an instance of an object
in <0x00296> Novell.Zenworks.Gui.ZenTrayIcon:CheckUpdatesLoop ()
in (wrapper delegate-invoke) System.MulticastDelegate:invoke_void ()"
Перезагрузишь машину пару раз и все - "Ошибка Доступа!" и опять тока под рутом.
Появилась "барабашка": в трех случаях из десяти - при перезагрузке машины, загружается учетная запись (во всяком случае я так думаю) из домена AD.
Причем на автомате: то есть логин и пароль не спрашивается, хотя когда я лезу в Яст - там вижу учетную запись BD\prog - в которой нет настроек на беспарольный вход.
Ептить...в самбе при входе в виндовое сетевое окружение - домен просит логин и пароль,ввожу и шарюсь далее.
Значит при загрузке такой байды - выскакивает вот такая мессага:
"System.NullReferenceException: Object reference not set to an instance of an object
in <0x00296> Novell.Zenworks.Gui.ZenTrayIcon:CheckUpdatesLoop ()
in (wrapper delegate-invoke) System.MulticastDelegate:invoke_void ()"
Перезагрузишь машину пару раз и все - "Ошибка Доступа!" и опять тока под рутом.