LINUX.ORG.RU
ФорумAdmin

Вход с доменной учётки....

 , ,


0

1

net ads join -U vrevutskiy
Enter vrevutskiy's password:
Using short domain name — ESETP
Joined '.......' to dns domain 'esetp.sro'
No DNS domain configured for erzent. Unable to perform DNS Update.
DNS update failed!
на центосе(сервер) тож про днс жалуется но в доме входит. AD на 2008R2 стандарт.
ubuntu 13.10, в wbinfo -u всё показывает,керберос тоже вошёл,в nsswitch.conf винбинд вписан,конфиг правильный,что может быть?даже через консоль не войти .если входить из системы то

☆☆

Ответ на: комментарий от Pinkbyte

это на винсервере делать я так понял надо?это мне в москву писать чтоль .... с виртуалки у шефа 12,04 входит сама с теми же конфигами. На днс ругается но входит.

erzent ☆☆ ()
Ответ на: комментарий от erzent

это можно сделать с любого компьютера, где DNS-сервером прописан тот DNS, который знает про ваш домен.

Если ответ будет отрицательный(такого DNS-имени нет) - то скорее всего либо контроллеру домена не позволено обновлять DNS-записи.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от erzent

без понятия, может DNS-запись была создана вручную заранее при введении в домен

Pinkbyte ★★★★★ ()
Ответ на: комментарий от erzent

эм, DNS-сервер 127.0.1.2 - это нормально? 127.0.0.0/8 - это loopback-подсеть, то есть - компьютер от которого прислан запрос.

Используется resolvconf и какой-то локальный DNS-сервер в качестве резольвера?

И еще - ты спрашивал имеено hostname.domain - или всё-таки подставил нужные параметры?

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

да именно это,и что подразумевается под именем машины?имя пк при установке системы? не когда этим не занимался раньше ,да и у нас тут dhcp .Буду признателен за разъяснения,на работе увы помочь не кому .

erzent ☆☆ ()
Последнее исправление: erzent (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

dns на 127.0.1.2 в убунте это признак работающего dnsmasq, он имена хостов кэширует у себя

menzoberronzan ()
Ответ на: комментарий от erzent

PAM настроен на доменную авторизацию?
билет получаешь через kinit user?
через wbinfo -a user авторизация проходит?
что в логах /var/log/auth.log?
Имхо проблема еще может быть в том что на машине не совпадает время с КД, керберос критичен к точности во времени

menzoberronzan ()
Ответ на: комментарий от menzoberronzan

да,пам моунт настроен на доменную авторизацию, без неё нет доступа на счёт билета посмотрю как приду на работу, логи покажу тож как приду .

erzent ☆☆ ()
Ответ на: комментарий от menzoberronzan

не проходит ,пишет root@erzent:/home/erzent# wbinfo -a vrevutskiy
Enter vrevutskiy's password:
plaintext password authentication failed
Could not authenticate user vrevutskiy with plaintext password
Enter vrevutskiy's password:
challenge/response password authentication succeeded

erzent ☆☆ ()
Ответ на: комментарий от erzent

С доменной авторизацией много нюансов, которые обязательны к ювелирно точному выполнению

DNS time kerberos samba

Все это должно быть настроено по принципу «как книжка пишет», а не «как попало» или «должно и так работать» :) Все это перепроверить 10 раз, перегрузить сервисы, попробовать еще раз авторизироваться и не обломиться скормить полученную ошибку googl-у. Ответов там навалом Я когдато на Debian вот так настраивал http://diff.org.ua/archives/70

Все работало даже лучше чем хотелось :) Внимательность ваш лучший помощник :) Удачи!

black_13 ()
Ответ на: комментарий от black_13

войти вошёл,проблем нет уже,оказалось resolvconf был неправильный,сейчас вот правда другая проблема,авторизироваться не могу,то есть wbinfo -a в норме, net ads join -U тоже.Керберос тож нормально,но при входе под учётку,пишет неверный пароль.
либо root@erzent:/home/erzent# login erzent имя пользователя: vrevutskiy Пароль:

Неверное имя пользователя

erzent ☆☆ ()
Ответ на: комментарий от no-dashi

А у тебя такая связка быстро работает? Периодически все запросы в passwd вызывают дикие тормоза, кэш похоже протухает через минуту-две, в независимости от указанного в конфиге времени

user_undefined ()
Ответ на: комментарий от no-dashi

кстати,пока сделал так,а сильно отличается настройка от winbind+samba+kr5,нормальных манов по sssd вообще не увидел,даже начальнику показать нечего было ....

erzent ☆☆ ()
Ответ на: комментарий от erzent

а сильно отличается настройка от winbind+samba+kr5,нормальных манов по sssd вообще не увидел,даже

Очень. Вообще никакого шаманства. В принципе.

Заводишь в AD юзера для доступа sssd в LDAP.

Прописываешь в sssd.conf реквизиты LDAP-сервера (контроллера AD) - man sssd-ldap.

Пишешь /etc/krb5.conf, настраиваешь NSS и PAM на использование sssd.

Пример sssd.conf:

[sssd]
config_file_version = 2
services = nss, pam
domains = LOGOTEK

[nss]

[pam]

[domain/COMPANY]

id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
enumerate = true
min_id = 1000
max_id = 65535

ldap_tls_reqcert = never
ldap_uri = ldap://192.168.1.5
ldap_default_bind_dn = COMPANY\ldappc
ldap_default_authtok_type = password
ldap_default_authtok = PasswordForLDAPPCinAD

ldap_user_search_base = dc=company,dc=ru?subtree?(uidnumber=*)
ldap_group_search_base = dc=company,dc=ru?subtree?(gidnumber=*)
ldap_user_home_directory = unixHomeDirectory
ldap_user_object_class = user
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
ldap_user_gecos = displayname
ldap_user_name = msSFU30Name
ldap_user_principal = msSFU30Name

ldap_schema = rfc2307
ldap_group_object_class = group
ldap_group_name = samaccountname

cache_credentials = true
krb5_server = 192.168.1.5
krb5_kpasswd = 192.168.1.5
krb5_realm = COMPANY.RU

Всё. Всё работает.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

я вон решил проблемы с днс и тд,но оказалось,что теперь не создаётся в хоме директория ,а даже если создать и авторизироваться иксы в ней не пашут.... и более того,после авторизации вообще машину не выключить и не перезагрузить.

erzent ☆☆ ()
Ответ на: комментарий от no-dashi

я сссд и не пробовал ещё,пока ток самба+крб+винбитнд,и с ними вот такие траблы.

erzent ☆☆ ()
Ответ на: комментарий от no-dashi

есть ман по ним нормальный?не по развёртыванию редхета,чтот у меня в кальке нет sssd в оверлее.

erzent ☆☆ ()
Ответ на: комментарий от no-dashi

В убунте тоже работает, только инторнет забит старыми убогими хаутушками.

anonymous ()
Ответ на: комментарий от no-dashi

посмотрел конфиг ниже - у меня зачем-то было прописано два домена, смотрящих на один и тот же контроллер. Оставил один и все залетало, даже без прямого указания списка серверов

user_undefined ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.