Debian 7 в домене Windows

/etc/krb5.conf трогать вообще не надо, это устаревшие рекомендации. Самба сама автоматически генерирует нужную конфигурацию для Kerberos (см. ман smb.conf на тему «create krb5 conf»), ее можно посмотреть где-то в /var/run/samba или /var/lib/samba.

Тут интереснее посмотреть /etc/samba/smb.conf и /etc/nsswitch.conf, а также /etc/resolv.conf

resolv.conf генерируется автоматически, поставил нужный пакет.

Спасибо за подсказку насчёт dpkg-reconfigure krb5-config - править файл /etc/krb5.conf стало быстрее и проще.

С остальными файлами буду разбираться в понедельник, админа до того времени не будет. Если всё пройдёт успешно, напишу статью в своём блоге и выложу ссылку здесь.

Еще раз: править файл /etc/krb5.conf вообще не нужно. Ну и без конфига самбы строить какие-то предположения бессмысленно.

10.0.0.5 dc.kontur.local dc

так не надо делать. Пропиши себе в dns'ы 10.0.0.5

Я его теперь руками не трогаю, всё через dpkg-reconfigure.

Его вообще не надо трогать, ни через dpkg, ни еще как. Это бесполезно (если не вредно), потому что этот файл не используется самбой, если специально не указать в конфиге.

Переустановил пакеты, сконфигурировал Керберос заново через dpkg-reconfigure (в этот раз он взял данные из DNS и на все вопросы я ответил по-умолчанию). Перенастроил ntp, сейчас синхронизация времени с сервером производится. Однако, kinit по-прежнему выдаёт:

Cannot contact any KDC for realm 'KONTUR.LOCAL' while getting initial credentials

Прописал FQDN в /etc/hostname вот так:

C057.KONTUR.LOCAL

В /etc/hosts написал так:

127.0.0.1	C057.KONTUR.LOCAL	C057	localhost

Выяснилось так же, что контроллер домена расположен на сервере 10.0.0.2 с именем CONTUR011 (sic!). При этом если пинговать так:

ping contur011.kontur.local

ping: unknown host contur011.kontur.local

При этом:

traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
 1  contur011.kontur.local (10.0.0.2)  0.275 ms  0.252 ms  0.240 ms

Уже читал вот эти ссылки, но ничего не помогло:

• https://itservices.stanford.edu/service/kerberos/install_debian
• http://serverfault.com/questions/612869/kinit-cannot-contact-any-kdc-for-real...
• http://serverfault.com/questions/94475/how-to-enable-ad-authentication-with-k...

  Что посоветуете делать дальше? Что ещё можно попробовать? Может быть, я упускаю какой-то важный момент?

Что посоветуете делать дальше?

Прочитать ответы в этой ветке. Уже дважды я говорил, что настраивать kerberos не нужно, snaf выше указал, что смотреть надо в сторону DNS, а еще я просил показать содержимое /etc/resolv.conf, /etc/samba/smb.conf и /etc/nsswitch.conf. Если resolv.conf содержит в качестве nameserver только 127.0.0.1 или 127.0.1.1, то скорее всего запущен dnsmasq, тогда адреса DNS серверов можно обычно посмотреть при помощи nm-tool | grep -i dns.

Вкратце: Active Directory работает на основе DNS, и почти вся информация о домене содержится в DNS. Поэтому чтобы заработал AD, первым делом надо убедиться в работоспособности именно DNS серверов службы каталогов, и в том что для разрешения имен используются именно они. Собственно, поэтому я и прошу показать /etc/resolv.conf.

Далее, второй по важности пункт — настройка samba. Тут можно много чего наворотить, поэтому без содержимого /etc/samba/smb.conf отлов проблем превращается в гадание на кофейной гуще.

Пока эти два файла не покажешь, голову ломать бессмысленно, все подробности «настройки kerberos» не интересны, пригодится только информация про то, где находится контроллер домена.

не проще ему было порекомендовать аутоконф?

Порекомендуй, заодно и я узнаю что это. Гугл только про autotools и иже с ними говорит.

для начала напиши какой вин сервер у тебя, второе напиши в чём смысл будет добавления в домен, работает ли SUA POSIX? ну и как говорили /etc/samba/smb.conf и /etc/nsswitch.conf, а также /etc/resolv.conf.

system­-config­-authentication раньше в rhel была была чудная программа, так же она работала и под fedora в последствии её заменили на yum install authconfig-gtk. Есть нормально настроены AD+DNS то проблемы нет, authconfig-gtk берёт необходимые настройки с сервера AD, и заводит машину в домен, и даже делает возможным доменную аунтификацию. Я таким образом держал инфраструктуру на федоре в 400+ машин в AD. На сколько этот пакет рабочий в дебах я не знаю, дебиан любит хорошие продукты сломать и говорить что всё не стабильно.

единственное, как я уже писал, нужно чтобы SUA POSIX тоже работала, иначе ничего работать не будет.

В deb-based есть update-pam-auth, не знаю насколько это похоже на rhel-овскую штуку, но оно точно не умеет добавлять машину в AD самостоятельно. Вообще, мне кажется что кроме rhel той программы больше нигде и нет, во всяком случае я не знал про нее. Про «сломанные хорошие продукты» в дебиане тоже не слышал.

в генту тоже есть эта прога, а в дебиане любят такое не добавлять, но для дебов он тоже есть, в гугл вбей.

Как тут принято? Простыни на pastebin выкладывать или можно прямо в тему (в правилах форума не нашёл ответа), если потребуется длинный конфиг показать?

Переустановил все пакеты, сейчас krb5.conf и всё остальное чистенькое.

Смысл заведения машины в домен в том, чтобы получить доступ к необходимым ресурсам сети, т.к. прямо сейчас мой комп не виден в сети, и я на нужный мне сетевой диск зайти не могу (Не удалось получить список доступных на сервере ресурсов).

/etc/hosts

127.0.0.1	C057.KONTUR.LOCAL	C057	localhost

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

/etc/hostname

C057.KONTUR.LOCAL

длинный лучше на пасту, правда я из дома не прочитаю, в питере эр-телеком заблочил пастебин.... vpn пора настраивать с нашими властями.

давай начнём с простого, опиши какие ресурсы сети тебе нужны, если ты собираешься у себя что-то раздавать это одно, подключаться тебе и нафиг домен не нужен.

/etc/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 10.0.0.2
nameserver 10.0.0.5
search kontur

если сумеешь пересобрать пакет то решение есть готовое, а так уже хз чем помочь, я с дебов потому и слез, в них всегда нет утилит хороших и геморроя тонна.

http://rpm.pbone.net/index.php3/stat/4/idpl/26640331/dir/centos_7/com/authcon... попробуй собрать под деб его.

если сумеешь пересобрать пакет то решение есть готовое

это еще зачем? Как рас таки с дэбами намноло легче возится в домене. Т.к. там присутствует samba-tool в отличии от rpm

сравни самба тулс. и ввести твой логин и пароль от домена? тупо вводиться а дальше эта утилита сама берёт нужные настройки с домена.

извини, но я ничего не распарсил

Джентльмены!

Вчера поставил CentOS на виртуальную машину и сразу же возник вопрос: насколько хорошо работают там «Сетевые учётные записи»?

Я видел там такой пункт, как «Домен Windows». Интересен реальный опыт, т.к. снести настроенную систему с рабочего ноута, чтобы проверить одну-единственную настройку, на мой взгляд, немного неразумно.

насколько хорошо работают там «Сетевые учётные записи»?

Да особой разницы межды разными дистрибутивами не почувствуешь. Под сетевыми учётными записями подразумевается аутентификация пользователе c доменным паролем?

начнем с того, что время по utc на DC и на компе не должно расходиться более 5-ти минут. делай ntpdate по контроллеру домена, обнови и реконфигурь tzdata.
реквестирую также пинг dc.kontur.local

В Debian stable сейчас только Windows Live, Google и ещё пара каких-то сетевых учётных записей, учётки Active Directory там точно нет. А в CentOS, как я понял, GNOME более свежий, потому и пунктов больше. Так же есть подозрение, что нужно поставить какие-нибудь пакеты, и всё это добро в Wheezy тоже появится.