Новые ответы

Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!,

Boff, 01-Ноя-05, 12:12 [смотреть все]

Господа! Товарищи! Комрады! Помогите!
Проблема:
Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен (с аутентификацией в AD)
самбу ставил с ключами
./configure --with-winbind --with-winbind-auth-challenge --with-acl-support --prefix=/opt/samba --with-logfilebase=/var/samba/log --with-configdir=/etc/samba --with-privatedir=/etc/samba/private --with-ads --with-krb5=/usr/heimdal/ --with-pam --with-pam_smbpass
керберос клиент - heimdal
Самбу в домен ввел, пользователи из домена на самбе видны, всё пучком, на шары заходят. НО в логи сыпятся следующие сообщения:
                              [2005/10/31 18:54:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:53, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:54, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
klist говорит что билеты не выдавались:
bash-2.05# /usr/heimdal/bin/klist
klist: No ticket file: /tmp/krb5cc_0
kinit ругается:
1) если ввести правильный пароль то он выдает:
bash-2.05# /usr/heimdal/bin/kinit -p administrator@tg.local
administrator@tg.local's Password:
kinit: Password incorrect
2) если ввести заведомо не правльный пароль, то
bash-2.05# /usr/heimdal/bin/kinit -p administrator@tg.local
administrator@tg.local's Password:
kinit: krb5_get_init_creds: Preauthentication failed

вот мой krb5.conf:
     [libdefaults]
             default_realm = TG.LOCAL
     [realms]
             TG.LOCAL = {
                     kdc = kdc.tg.local
                     admin_server = kdc.tg.local
             }
     [domain_realm]
             .tg.local = TG.LOCAL
             tg.local = TG.LOCAL

КУДА КОПАТЬ????????????

Ответить | Сообщить модератору

Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!, Sergey Poleckiy, 12:25 , 01-Ноя-05 (1)
>Господа! Товарищи! Комрады! Помогите!
>
>Проблема:
>
>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>(с аутентификацией в AD)
Может поможет?
http://linuxcenter.ru/lib/articles/networking/fileserver.phtml
Ответить | Сообщить модератору

Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!, Boff, 12:51 , 01-Ноя-05 (2)
>>Господа! Товарищи! Комрады! Помогите!
>>
>>Проблема:
>>
>>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>>(с аутентификацией в AD)
>
>Может поможет?
>http://linuxcenter.ru/lib/articles/networking/fileserver.phtml

прописал в /etc/krb5.conf (согласно статье)
bash-2.05# cat /etc/krb5.conf
         [libdefaults]
                default_realm = TG.LOCAL
                clockskew = 300
                v4_instance_resolve = false
                v4_name_convert = {
                        host = {
                                rcmd = host
                                ftp = ftp
                        }
                }
        [realms]
                TG.LOCAL = {
                        kdc = KDC.TG.LOCAL
                        admin_server = KDC.TG.LOCAL
                }
        [domain_realm]
                .tg.LOCAL = TG.LOCAL
при заходе на шары самбы в логи сыпется следующее:
[2005/11/01 12:41:16, 1] smbd/ipc.c:api_fd_reply(290)
  api_fd_reply: INVALID PIPE HANDLE: 76dc
klist по прежнему пустой:
bash-2.05# /usr/heimdal/bin/klist
klist: No ticket file: /tmp/krb5cc_0
НО, если дать команду
bash-2.05# /usr/heimdal/bin/kinit -p administrator
administrator@TG.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
и тут, о чудо!
bash-2.05# /usr/heimdal/bin/klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@TG.LOCAL
  Issued           Expires          Principal
Nov  1 12:43:07  Nov  1 22:41:47  krbtgt/TG.LOCAL@TG.LOCAL

Почему же самба не хочет использовать керберос?????? Ведь конфигурировал её я с heimdal!!
Ответить | Сообщить модератору

Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!, Varyag, 12:00 , 02-Ноя-05 (3)
>>>Господа! Товарищи! Комрады! Помогите!
>>>
>>>Проблема:
>>>
>>>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>>>(с аутентификацией в AD)
>>
>>Может поможет?
>>http://linuxcenter.ru/lib/articles/networking/fileserver.phtml
>
>
>прописал в /etc/krb5.conf (согласно статье)
>
>bash-2.05# cat /etc/krb5.conf
>         [libdefaults]
>
>    default_realm = TG.LOCAL
>
>    clockskew = 300
>
>    v4_instance_resolve = false
>
>    v4_name_convert = {
>
>
> host = {
>
>
>         rcmd =
>host
>
>
>         ftp =
>ftp
>
>
> }
>
>    }
>        [realms]
>
>    TG.LOCAL = {
>
>
> kdc = KDC.TG.LOCAL
>
>
> admin_server = KDC.TG.LOCAL
>
>    }
>        [domain_realm]
>
>    .tg.LOCAL = TG.LOCAL
>
>при заходе на шары самбы в логи сыпется следующее:
>
>[2005/11/01 12:41:16, 1] smbd/ipc.c:api_fd_reply(290)
>  api_fd_reply: INVALID PIPE HANDLE: 76dc
>
>klist по прежнему пустой:
>
>bash-2.05# /usr/heimdal/bin/klist
>klist: No ticket file: /tmp/krb5cc_0
>
>НО, если дать команду
>
>bash-2.05# /usr/heimdal/bin/kinit -p administrator
>administrator@TG.LOCAL's Password:
>kinit: NOTICE: ticket renewable lifetime is 1 week
>
>и тут, о чудо!
>
>bash-2.05# /usr/heimdal/bin/klist
>Credentials cache: FILE:/tmp/krb5cc_0
>        Principal: administrator@TG.LOCAL
>
>  Issued
> Expires
>Principal
>Nov  1 12:43:07  Nov  1 22:41:47  krbtgt/TG.LOCAL@TG.LOCAL
>
>
>Почему же самба не хочет использовать керберос?????? Ведь конфигурировал её я с
>heimdal!!

В конфиге самбы пропишите чтобы использовать Kerberos.
Ответить | Сообщить модератору

Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!, Boff, 12:05 , 02-Ноя-05 (4)

>В конфиге самбы пропишите чтобы использовать Kerberos.
это какой параметр нужно указать в smb.conf?

Ответить | Сообщить модератору

Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!, Z0termaNN, 17:27 , 02-Ноя-05 (5)
>
>>В конфиге самбы пропишите чтобы использовать Kerberos.
>
>это какой параметр нужно указать в smb.conf?

realm = ?
Ответить | Сообщить модератору