https://mobile.opennet.me/openforum/vsluhforumID14/622.html Существует домен на Win2000 (ADS) Нужно ввести в домен самба с авторизацией пользователей в ADS.<br><br>ставил самбу согласно документу идущему с исходниками самбы Samba3-ByExample.pdf<br><br>Samba 3.0.20b собрана со след опциями:<br>./configure --with-winbind --with-winbind-auth-challenge --with-acl-support --prefix=/opt/samba --with-logfilebase=/var/samba/log --with-configdir=/etc/samba --with-privatedir=/etc/samba/private --with-ads --with-krb5=/usr/heimdal/<br><br>вот конфиг:<br>bash-2.05# cat /etc/samba/smb.conf<br>[global]<br>workgroup = DOMAIN1 <br>netbios name = SAMBASERVER<br>realm = DOMAIN1.NET<br>server string = samba server<br>security = ads<br>username map=/etc/samba/smbusers<br>log level = 1<br>syslog = 0<br>log file = /var/samba/log/%U_%m.log<br>max log size = 500<br><br>ldap ssl = no<br>idmap uid=10000-20000<br>idmap gid=10000-20000<br>template shell = /bin/bash<br><br>[homes]<br>comment = Home Directories<br>valid users = %S<br>read only = No<br>create mask = 0664<br>directory mask = 0775<br>browseable = No<br><br>[public]<br>path = /export/home/public<br>read on https://mobile.opennet.me/openforum/vsluhforumID14/622.html#14 Mon, 02 Aug 2010 07:49:50 GMT Огромное спасибо всем...с этим конфигом, всё заработало<br>sudo nano /etc/krb3.conf<br>[libdefaults]<br> default_realm = VLG<br> clockskew = 300<br>[realms]<br> VLG= {<br> kdc = home-dc1.vlg.home.ru<br> admin_server = home-dc1.vlg.home.ru<br> }<br># This sections describes how to figure out a realm given a DNS name<br>[domain_realm]<br> .vlg.home.ru = VLG<br>[kadmin]<br>[logging]<br> kadmind = FILE:/var/heimdal/kadmind.log<br><br>далее,<br>keiz@ekzorchik:~$ kinit user@HOME.RU<br>Password for user@HOME.RU<br>user@localhost:~$ klist -f<br>Ticket cache: FILE:/tmp/krb5cc_1000<br>Default principal: user@HOME.RU<br><br>Valid starting Expires Service principal<br>08/02/10 11:44:51 08/02/10 21:45:24 krbtgt/HOME.RU@HOME.RU<br> renew until 08/03/10 11:44:51, Flags: RIA<br><br><br>Kerberos 4 ticket cache: /tmp/tkt1000<br>klist: You have no tickets cached<br><br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#13 Thu, 12 Feb 2009 08:32:02 GMT &gt;Подтверждаю! <br>&gt;только добавочка - команде kinit тоже надо скармливать домен большими буквами <br><br>ВОТ! Константин - большое спасибо! Я бился с именем домена user@DOMAIN.local - ответ был один "Incorrect"<br>Стоило написать user@DOMAIN.LOCAL как тут же получил тикет<br>в krb5 все в виде DOMAIN.local<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#12 Thu, 29 Jan 2009 11:38:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;если вводит ЗАВЕДОМО неверный, то выводит <br>&gt;&gt;&gt;bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net <br>&gt;&gt;&gt;administrator@domain1.net's Password: <br>&gt;&gt;&gt;kinit: krb5_get_init_creds: Preauthentication failed <br>&gt;&gt;<br>&gt;&gt;Аналогичная проблема. Предложенные методы не помогают. <br>&gt;<br>&gt;Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно. <br>&gt;Мне помогло. <br><br>Подтверждаю!<br>только добавочка - команде kinit тоже надо скармливать домен большими буквами<br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#11 Fri, 20 Apr 2007 05:26:38 GMT киньте пжл рабочий конфиг krb5.conf.<br>У меня такая же проблема ни переход на заглавные не помогает.<br><br>[libdefaults]<br>default_realm = VLG<br> clockskew = 300<br>[realms]<br>VLG= {<br>kdc = home-dc1.vlg.home.ru<br>admin_server = home-dc1.vlg.home.ru<br>}<br># This sections describes how to figure out a realm given a DNS name<br>[domain_realm]<br>.vlg.home.ru = VLG<br>[kadmin]<br>[logging]<br>kadmind = FILE:/var/heimdal/kadmind.log<br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#10 Fri, 06 Apr 2007 00:30:29 GMT &gt;Подтверждаю. <br>&gt;<br>&gt;После того как исправил в конфиге самбы название сервера и домена на <br>&gt;заглавные - не помогло, когда исправил еще и в krb5.conf - <br>&gt;ЗАРАБОТАЛО! <br><br><br>ТОже была такая проблема, но ничего не помогало, хоть об стену бейся. Проблема была тупой - системные часы были в локальном времени, т.е. часы сравниваешь - все ок, а не работает :(. Поставил UTC - все работает отл. https://mobile.opennet.me/openforum/vsluhforumID14/622.html#9 Fri, 12 Jan 2007 18:47:16 GMT Подтверждаю.<br><br>После того как исправил в конфиге самбы название сервера и домена на заглавные - не помогло, когда исправил еще и в krb5.conf - ЗАРАБОТАЛО!<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#8 Wed, 19 Jul 2006 11:30:13 GMT &gt;&gt;<br>&gt;&gt;&gt;по команде kinit (если вводит правильный пароль) выводит следующее <br>&gt;&gt;&gt;bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net <br>&gt;&gt;&gt;administrator@domain1.net's Password: <br>&gt;&gt;&gt;kinit: Password incorrect <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;если вводит ЗАВЕДОМО неверный, то выводит <br>&gt;&gt;&gt;bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net <br>&gt;&gt;&gt;administrator@domain1.net's Password: <br>&gt;&gt;&gt;kinit: krb5_get_init_creds: Preauthentication failed <br>&gt;&gt;<br>&gt;&gt;Аналогичная проблема. Предложенные методы не помогают. <br>&gt;<br>&gt;Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно. <br>&gt;Мне помогло.<br><br>Подтверждаю имя домена ЗАГЛАВНЫМИ БУКВАМИ. Действительно заработало!!! :)<br><br><br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#7 Mon, 17 Apr 2006 07:10:29 GMT &gt;&gt;<br>&gt;&gt;&gt;по команде kinit (если вводит правильный пароль) выводит следующее <br>&gt;&gt;&gt;bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net <br>&gt;&gt;&gt;administrator@domain1.net's Password: <br>&gt;&gt;&gt;kinit: Password incorrect <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;если вводит ЗАВЕДОМО неверный, то выводит <br>&gt;&gt;&gt;bash-2.05# /usr/heimdal/bin/kinit -p administrator@domain1.net <br>&gt;&gt;&gt;administrator@domain1.net's Password: <br>&gt;&gt;&gt;kinit: krb5_get_init_creds: Preauthentication failed <br>&gt;&gt;<br>&gt;&gt;Аналогичная проблема. Предложенные методы не помогают. <br>&gt;<br>&gt;Парни, попробуйте в /etc/krb5.conf имя домена переписать заглавными буквами, где только можно. <br>&gt;Мне помогло. <br><br>Вы знаете у меня аналогичная проблема в логах пишет<br><br>[2006/04/17 11:08:57, 1] smbd/sesssetup.c:reply_spnego_kerberos(248)<br> Username Domain\USER$ is invalid on this system<br><br>причет getent group/passwd выдает все правильно.<br><br><br><br><br> https://mobile.opennet.me/openforum/vsluhforumID14/622.html#6 Fri, 13 Jan 2006 09:14:41 GMT <br>&gt;<br>&gt;уже решил проблему. Теперь всё работает, самба пускает, авторизует, вот только почему <br><br>Та же проблема! Как её решили, подскажите пожалуйста. <br>Все пользователи по getent passwd видны, но на машину в сети не пускает. Ругается на керберос. В чём проблема?