LINUX.ORG.RU
ФорумAdmin

Ввести Линуксв домен 2003


0

0

Подскажите мне пожалуйста, что за ошибка у меня возникает? Настроил Samba, пробовал разные варианты. в принципе, все они похожи... Однако при попытке получить от контроллера домена билет (net ads join -U Administrator%password) вот что получаю:

net ads join -U Administrator Administrator's password: [2007/04/04 19:12:07, 0] libads/kerberos.c:ads_kinit_password(208) kerberos_kinit_password Administrator@HORSE.LOCAL failed: Cannot find KDC for requested realm [2007/04/04 19:12:07, 0] utils/net_ads.c:ads_startup(289) ads_connect: Cannot find KDC for requested realm

Что не так? Что такое KDC? Если подскажите, где хорошо описана настройка ввода Линукса в домен 2003 Server, буду очень рад...

Ответ на: комментарий от darksteel

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log

[libdefaults] default_realm = HORSE.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes

[realms] SERVER.HORSE.LOCAL = { kdc = server.horse.local:88 admin_server = server.HORSE.local:749 default_domain = horse.local }

[domain_realm] .horse.local = horse.local horse.local = horse.local

[kdc] profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }

darksteel
() автор топика
Ответ на: комментарий от darksteel

форматирование выбирать нужное религия не позволяет? :)

вот пример рабочего конфига, где написано В ВЕРХНЕМ РЕГИСТРЕ надо писать именно в ВЕРХНЕМ.

SERVER.RU соответственно заменить на свой домен
KDC это сервер домена который управляет kerberos авторизацией (его ip в 99.9% случаев равен ip контроллера домена)
--------/etc/krb5.conf--------------------
[libdefaults]
default_realm = SERVER.RU
clockskew = 300

[realms]
SERVER.RU = {
kdc = 172.16.1.1 #сменить на ip контроллера
default_domain = server.ru
admin_server = 172.16.1.1 #сменить на ip контроллера
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.server.ru = SERVER.RU
.SERVER.RU = SERVER.RU
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 1
use_shmem = sshd
}
-------------------------------------------------

после правки конфига выполнить:
# kinit admin@SERVER.RU
: вбиваем пароль своей учётки
Соответственно если у вашей учётки есть право добавлять машину в домен то вместо "admin" можно вписать свою. Не забываем царство кербероса писать БОЛЬШИМИ буквами.

если всё прошло гладко, klist должен показать начилие выданного билета.

Вот только после этого можно писать:
# net ads join -U имя_юзера

P.S. важное замечание. Время на контроллере домена и на машине к нему присоединяемой должно быть синхронизировано. То бишь либо ручками либо (лучше) по ntp.

Ej_Pulsar
()

Ну подключишь линукс в домен 2003 а дальше что? Как потом этот линукс рулить с этого контроллера? У микрософта ведь все тесно связано, да и системы разные.

qsloqs ★★
()
Ответ на: комментарий от darksteel

тогда смотри лучше в DNS и попробуй следующее # kinit admin@HORSE.LOCAL -S horse.local

Ej_Pulsar
()
Ответ на: комментарий от qsloqs

А дальше товарищ начнёт дичайшее шаманство с тем, как бы сопоставить доменных юзеров с локальными группам ;), чтобы у них играл звук и хотя бы были доступны сменные приводы. Ну и так как он вряд-ли выставил корректный winbind separator проблемы полезут из всего чего можно, начиная от архивов в mc и заканчивая любыми приложениями создающими папки в той же /tmp с путём в виде имени пользователя.

P.S. Но плюсы есть: можно же создать локального юзверя, и при заходе на доменные ресурсы получать стандартное окно ввода данных контекста безопасности.

Ej_Pulsar
()
Ответ на: комментарий от anonymous

Это разделитель домена и имени пользователя.

Определить корректность - значить удостовериться что он не содержит спецсимволов, типа дефолтного "\". Обычно заменяют его на "+".

Ej_Pulsar
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.