LINUX.ORG.RU
ФорумAdmin

Debian 7 в домене Windows

 , ,


2

2

Здравствуйте!

Не могу понять, как правильно прописать настройки Samba для того, чтобы подключить компьютер с Debian к AD. Делал по этому руководству.

Параметры сети, которые мне известны:

  • Контроллер домена - 10.0.0.5
  • Имена компов с Windows имеют вид %NAME%.KONTUR.LOCAL
  • DNS-сервера: 10.0.0.5 и 10.0.0.2

В /etc/hosts прописал:

10.0.0.5	dc.kontur.local dc
127.0.0.1	localhost C057.kontur.local	C057

В /etc/krb5.conf вот так:

[logging]
    Default = FILE:/var/log/krb5.log

[libdefaults]
    ticket_lifetime = 24000
    clock-skew = 300
    default_realm = dc.kontur.local

[realms]
    kontur.local = {
        kdc = 10.0.0.5:88
        admin_server = 10.0.0.5:464
        default_domain = dc.kontur.local
    }

[domain_realm]
        .kontur.local = dc.kontur.local
        kontur.local = dc.kontur.local

При попытке получить ключи Kerberos получаю сообщение:

kinit: Cannot resolve servers for KDC in realm "dc.kontur.local" while getting initial credentials

Как правильно указать эти параметры? Где я ошибся? После изменения всех параметров перезапускал network-manager и networking. Настройки LAN сделаны через network-manager.

/etc/krb5.conf трогать вообще не надо, это устаревшие рекомендации. Самба сама автоматически генерирует нужную конфигурацию для Kerberos (см. ман smb.conf на тему «create krb5 conf»), ее можно посмотреть где-то в /var/run/samba или /var/lib/samba.

Тут интереснее посмотреть /etc/samba/smb.conf и /etc/nsswitch.conf, а также /etc/resolv.conf

Kiborg ★★★
()
Ответ на: комментарий от Kiborg

resolv.conf генерируется автоматически, поставил нужный пакет.

Спасибо за подсказку насчёт dpkg-reconfigure krb5-config - править файл /etc/krb5.conf стало быстрее и проще.

С остальными файлами буду разбираться в понедельник, админа до того времени не будет. Если всё пройдёт успешно, напишу статью в своём блоге и выложу ссылку здесь.

dunmaksim
() автор топика
Ответ на: комментарий от dunmaksim

Еще раз: править файл /etc/krb5.conf вообще не нужно. Ну и без конфига самбы строить какие-то предположения бессмысленно.

Kiborg ★★★
()

10.0.0.5 dc.kontur.local dc

так не надо делать. Пропиши себе в dns'ы 10.0.0.5

snaf ★★★★★
()
Ответ на: комментарий от dunmaksim

Его вообще не надо трогать, ни через dpkg, ни еще как. Это бесполезно (если не вредно), потому что этот файл не используется самбой, если специально не указать в конфиге.

Kiborg ★★★
()
Ответ на: комментарий от Kiborg

Переустановил пакеты, сконфигурировал Керберос заново через dpkg-reconfigure (в этот раз он взял данные из DNS и на все вопросы я ответил по-умолчанию). Перенастроил ntp, сейчас синхронизация времени с сервером производится. Однако, kinit по-прежнему выдаёт:

Cannot contact any KDC for realm 'KONTUR.LOCAL' while getting initial credentials

Прописал FQDN в /etc/hostname вот так:

C057.KONTUR.LOCAL

В /etc/hosts написал так:

127.0.0.1	C057.KONTUR.LOCAL	C057	localhost

Выяснилось так же, что контроллер домена расположен на сервере 10.0.0.2 с именем CONTUR011 (sic!). При этом если пинговать так:

ping contur011.kontur.local
то получаю
ping: unknown host contur011.kontur.local

При этом:

traceroute 10.0.0.2
traceroute to 10.0.0.2 (10.0.0.2), 30 hops max, 60 byte packets
 1  contur011.kontur.local (10.0.0.2)  0.275 ms  0.252 ms  0.240 ms

Уже читал вот эти ссылки, но ничего не помогло:

dunmaksim
() автор топика
Ответ на: комментарий от dunmaksim

Что посоветуете делать дальше?

Прочитать ответы в этой ветке. Уже дважды я говорил, что настраивать kerberos не нужно, snaf выше указал, что смотреть надо в сторону DNS, а еще я просил показать содержимое /etc/resolv.conf, /etc/samba/smb.conf и /etc/nsswitch.conf. Если resolv.conf содержит в качестве nameserver только 127.0.0.1 или 127.0.1.1, то скорее всего запущен dnsmasq, тогда адреса DNS серверов можно обычно посмотреть при помощи nm-tool | grep -i dns.

Вкратце: Active Directory работает на основе DNS, и почти вся информация о домене содержится в DNS. Поэтому чтобы заработал AD, первым делом надо убедиться в работоспособности именно DNS серверов службы каталогов, и в том что для разрешения имен используются именно они. Собственно, поэтому я и прошу показать /etc/resolv.conf.

Далее, второй по важности пункт — настройка samba. Тут можно много чего наворотить, поэтому без содержимого /etc/samba/smb.conf отлов проблем превращается в гадание на кофейной гуще.

Пока эти два файла не покажешь, голову ломать бессмысленно, все подробности «настройки kerberos» не интересны, пригодится только информация про то, где находится контроллер домена.

Kiborg ★★★
()
Последнее исправление: Kiborg (всего исправлений: 1)

для начала напиши какой вин сервер у тебя, второе напиши в чём смысл будет добавления в домен, работает ли SUA POSIX? ну и как говорили /etc/samba/smb.conf и /etc/nsswitch.conf, а также /etc/resolv.conf.

erzent ☆☆
()
Ответ на: комментарий от Kiborg

system­-config­-authentication раньше в rhel была была чудная программа, так же она работала и под fedora в последствии её заменили на yum install authconfig-gtk. Есть нормально настроены AD+DNS то проблемы нет, authconfig-gtk берёт необходимые настройки с сервера AD, и заводит машину в домен, и даже делает возможным доменную аунтификацию. Я таким образом держал инфраструктуру на федоре в 400+ машин в AD. На сколько этот пакет рабочий в дебах я не знаю, дебиан любит хорошие продукты сломать и говорить что всё не стабильно.

erzent ☆☆
()
Ответ на: комментарий от Kiborg

единственное, как я уже писал, нужно чтобы SUA POSIX тоже работала, иначе ничего работать не будет.

erzent ☆☆
()
Ответ на: комментарий от erzent

В deb-based есть update-pam-auth, не знаю насколько это похоже на rhel-овскую штуку, но оно точно не умеет добавлять машину в AD самостоятельно. Вообще, мне кажется что кроме rhel той программы больше нигде и нет, во всяком случае я не знал про нее. Про «сломанные хорошие продукты» в дебиане тоже не слышал.

Kiborg ★★★
()
Ответ на: комментарий от Kiborg

в генту тоже есть эта прога, а в дебиане любят такое не добавлять, но для дебов он тоже есть, в гугл вбей.

erzent ☆☆
()
Ответ на: комментарий от erzent

Как тут принято? Простыни на pastebin выкладывать или можно прямо в тему (в правилах форума не нашёл ответа), если потребуется длинный конфиг показать?

Переустановил все пакеты, сейчас krb5.conf и всё остальное чистенькое.

Смысл заведения машины в домен в том, чтобы получить доступ к необходимым ресурсам сети, т.к. прямо сейчас мой комп не виден в сети, и я на нужный мне сетевой диск зайти не могу (Не удалось получить список доступных на сервере ресурсов).

/etc/hosts

127.0.0.1	C057.KONTUR.LOCAL	C057	localhost

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

/etc/hostname

C057.KONTUR.LOCAL

dunmaksim
() автор топика
Ответ на: комментарий от dunmaksim

длинный лучше на пасту, правда я из дома не прочитаю, в питере эр-телеком заблочил пастебин.... vpn пора настраивать с нашими властями.

erzent ☆☆
()
Ответ на: комментарий от dunmaksim

давай начнём с простого, опиши какие ресурсы сети тебе нужны, если ты собираешься у себя что-то раздавать это одно, подключаться тебе и нафиг домен не нужен.

erzent ☆☆
()
Ответ на: комментарий от erzent

/etc/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 10.0.0.2
nameserver 10.0.0.5
search kontur

dunmaksim
() автор топика
Ответ на: комментарий от dunmaksim

если сумеешь пересобрать пакет то решение есть готовое, а так уже хз чем помочь, я с дебов потому и слез, в них всегда нет утилит хороших и геморроя тонна.

http://rpm.pbone.net/index.php3/stat/4/idpl/26640331/dir/centos_7/com/authcon... попробуй собрать под деб его.

erzent ☆☆
()
Ответ на: комментарий от erzent

если сумеешь пересобрать пакет то решение есть готовое

это еще зачем? Как рас таки с дэбами намноло легче возится в домене. Т.к. там присутствует samba-tool в отличии от rpm

snaf ★★★★★
()
Ответ на: комментарий от snaf

сравни самба тулс. и ввести твой логин и пароль от домена? тупо вводиться а дальше эта утилита сама берёт нужные настройки с домена.

erzent ☆☆
()
Ответ на: комментарий от snaf

Джентльмены!

Вчера поставил CentOS на виртуальную машину и сразу же возник вопрос: насколько хорошо работают там «Сетевые учётные записи»?

Я видел там такой пункт, как «Домен Windows». Интересен реальный опыт, т.к. снести настроенную систему с рабочего ноута, чтобы проверить одну-единственную настройку, на мой взгляд, немного неразумно.

dunmaksim
() автор топика
Ответ на: комментарий от dunmaksim

насколько хорошо работают там «Сетевые учётные записи»?

Да особой разницы межды разными дистрибутивами не почувствуешь. Под сетевыми учётными записями подразумевается аутентификация пользователе c доменным паролем?

snaf ★★★★★
()

начнем с того, что время по utc на DC и на компе не должно расходиться более 5-ти минут. делай ntpdate по контроллеру домена, обнови и реконфигурь tzdata.
реквестирую также пинг dc.kontur.local

ger0strat
()
Ответ на: комментарий от snaf

В Debian stable сейчас только Windows Live, Google и ещё пара каких-то сетевых учётных записей, учётки Active Directory там точно нет. А в CentOS, как я понял, GNOME более свежий, потому и пунктов больше. Так же есть подозрение, что нужно поставить какие-нибудь пакеты, и всё это добро в Wheezy тоже появится.

dunmaksim
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.