Вход с доменной учётки....

nslookup hostname.domain

где hostname - имя машины, которую вводишь в домен, domain - DNS-имя домена

это на винсервере делать я так понял надо?это мне в москву писать чтоль .... с виртуалки у шефа 12,04 входит сама с теми же конфигами. На днс ругается но входит.

это можно сделать с любого компьютера, где DNS-сервером прописан тот DNS, который знает про ваш домен.

Если ответ будет отрицательный(такого DNS-имени нет) - то скорее всего либо контроллеру домена не позволено обновлять DNS-записи.

а почему в 12,04 войти то можно без этого?

без понятия, может DNS-запись была создана вручную заранее при введении в домен

oot@erzent:/home/erzent# nslookup hostname.domain Server: 127.0.1.2 Address: 127.0.1.2#53

** server can't find hostname.domain: NXDOMAIN

эм, DNS-сервер 127.0.1.2 - это нормально? 127.0.0.0/8 - это loopback-подсеть, то есть - компьютер от которого прислан запрос.

Используется resolvconf и какой-то локальный DNS-сервер в качестве резольвера?

И еще - ты спрашивал имеено hostname.domain - или всё-таки подставил нужные параметры?

да именно это,и что подразумевается под именем машины?имя пк при установке системы? не когда этим не занимался раньше ,да и у нас тут dhcp .Буду признателен за разъяснения,на работе увы помочь не кому .

имя пк при установке системы?

Подразумевается выхлоп команды hostname

nslookup erzent.estp Server: 127.0.1.2 Address: 127.0.1.2#53

** server can't find erzent.estp: NXDOMAIN

сейчас у себя на виртуалку поставлю 12,04,с 13,10 с машины не хочет авторизовывать и входить в учётку.

с DNS-ом что-то явно не так

dns на 127.0.1.2 в убунте это признак работающего dnsmasq, он имена хостов кэширует у себя

PAM настроен на доменную авторизацию?
билет получаешь через kinit user?
через wbinfo -a user авторизация проходит?
что в логах /var/log/auth.log?
Имхо проблема еще может быть в том что на машине не совпадает время с КД, керберос критичен к точности во времени

sssd+ldap+kerberos. И SFU на windows для расширения схемы юниксовыми атрибутами.

да,пам моунт настроен на доменную авторизацию, без неё нет доступа на счёт билета посмотрю как приду на работу, логи покажу тож как приду .

не проходит ,пишет root@erzent:/home/erzent# wbinfo -a vrevutskiy
Enter vrevutskiy's password:
plaintext password authentication failed
Could not authenticate user vrevutskiy with plaintext password
Enter vrevutskiy's password:
challenge/response password authentication succeeded

С доменной авторизацией много нюансов, которые обязательны к ювелирно точному выполнению

DNS time kerberos samba

Все это должно быть настроено по принципу «как книжка пишет», а не «как попало» или «должно и так работать» :) Все это перепроверить 10 раз, перегрузить сервисы, попробовать еще раз авторизироваться и не обломиться скормить полученную ошибку googl-у. Ответов там навалом Я когдато на Debian вот так настраивал http://diff.org.ua/archives/70

Все работало даже лучше чем хотелось :) Внимательность ваш лучший помощник :) Удачи!

войти вошёл,проблем нет уже,оказалось resolvconf был неправильный,сейчас вот правда другая проблема,авторизироваться не могу,то есть wbinfo -a в норме, net ads join -U тоже.Керберос тож нормально,но при входе под учётку,пишет неверный пароль.
либо root@erzent:/home/erzent# login erzent имя пользователя: vrevutskiy Пароль:

Неверное имя пользователя

А у тебя такая связка быстро работает? Периодически все запросы в passwd вызывают дикие тормоза, кэш похоже протухает через минуту-две, в независимости от указанного в конфиге времени

Нормально работает. CentOS, Fedora.

кстати,пока сделал так,а сильно отличается настройка от winbind+samba+kr5,нормальных манов по sssd вообще не увидел,даже начальнику показать нечего было ....

а сильно отличается настройка от winbind+samba+kr5,нормальных манов по sssd вообще не увидел,даже

Очень. Вообще никакого шаманства. В принципе.

Заводишь в AD юзера для доступа sssd в LDAP.

Прописываешь в sssd.conf реквизиты LDAP-сервера (контроллера AD) - man sssd-ldap.

Пишешь /etc/krb5.conf, настраиваешь NSS и PAM на использование sssd.

Пример sssd.conf:

[sssd]
config_file_version = 2
services = nss, pam
domains = LOGOTEK

[nss]

[pam]

[domain/COMPANY]

id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
enumerate = true
min_id = 1000
max_id = 65535

ldap_tls_reqcert = never
ldap_uri = ldap://192.168.1.5
ldap_default_bind_dn = COMPANY\ldappc
ldap_default_authtok_type = password
ldap_default_authtok = PasswordForLDAPPCinAD

ldap_user_search_base = dc=company,dc=ru?subtree?(uidnumber=*)
ldap_group_search_base = dc=company,dc=ru?subtree?(gidnumber=*)
ldap_user_home_directory = unixHomeDirectory
ldap_user_object_class = user
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
ldap_user_gecos = displayname
ldap_user_name = msSFU30Name
ldap_user_principal = msSFU30Name

ldap_schema = rfc2307
ldap_group_object_class = group
ldap_group_name = samaccountname

cache_credentials = true
krb5_server = 192.168.1.5
krb5_kpasswd = 192.168.1.5
krb5_realm = COMPANY.RU

Всё. Всё работает.

я вон решил проблемы с днс и тд,но оказалось,что теперь не создаётся в хоме директория ,а даже если создать и авторизироваться иксы в ней не пашут.... и более того,после авторизации вообще машину не выключить и не перезагрузить.

Внезапно, а вот в федоре и центоси с sssd всё работает :-)

я сссд и не пробовал ещё,пока ток самба+крб+винбитнд,и с ними вот такие траблы.

есть ман по ним нормальный?не по развёртыванию редхета,чтот у меня в кальке нет sssd в оверлее.

В убунте тоже работает, только инторнет забит старыми убогими хаутушками.

посмотрел конфиг ниже - у меня зачем-то было прописано два домена, смотрящих на один и тот же контроллер. Оставил один и все залетало, даже без прямого указания списка серверов