Всем Удачи и хорошего настроения!
Настраиваю авторизацию пользователей SQUID в AD. Третьи сутки бьюсь, перечитал всё что можно,- нужна Ваша помощь:

!Проблема 2! Решить не удалось. Спасло обновление.
id userAD (Пользователь AD не определяется)
id: userAD: No such user

!Проблема 1! Спасибо решили (следовало добавить имя домена: wbinfo -a MYDOMEN+adminAD%passwordAD)
wbinfo -a adminAD%passwordAD
plaintext password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user adminAD%passwordAD with plaintext password
challenge/response password authentication succeeded

id root OK (Unix пользователи определяются нормально)

Что делаю чтоб работало:

Samb.conf


[global]
log file = /var/log/samba/log.%m
smb passwd file = /etc/samba/smbpasswd
load printers = yes
socket options = TCP_NODELAY
encrypt passwords = yes
dns proxy = no
netbios name = post
netbios aliases = post server
server string = SS %h (v. %v)
printing = cups
password server = base.MyDomen.LOCAL
workgroup = MyDomen
realm = MyDomen.LOCAL
use sendfile = yes
os level = 20
printcap name = cups
security = ads
max log size = 50

hosts allow = 192.168. 127.
interfaces = 192.168.0.101/24

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = +
winbind enum groups = yes
winbind enum users = yes
winbind cache time = 60

template homedir = /home/%D/%U
template shell = /bin/bash

force directory mode = 0777
force create mode = 0777

[homes]
comment = Home Directory for '%u'
browseable = yes
writable = yes

[sharefolder]
comment = Admin's share for Technical Unit, Press Unit, User
path = /home/key/share
valid users = MyDomen\elax
public = no
writable = no
printable= no
write list = MyDomen\elax




Nsswitch.conf


passwd: files winbind # nisplus nis
shadow: tcb files winbind # nisplus nis
group: files winbind # nisplus nis

hosts: files dns # nisplus nis

ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files

bootparams: nisplus [NOTFOUND=return] files

netgroup: nisplus

publickey: nisplus

automount: files nisplus
aliases: files nisplus



Kerberos.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMEN.LOCAL
dns_lookup_kdc = false

[realms]
MYDOMEN.LOCAL = {
default_domain = MYDOMEN.LOCAL
kdc = BASE.MYDOMEN.LOCAL:88
admin_server = BASE.MYDOMEN.LOCAL:749
}

[domain_realm]
MyDomen.LOCAL = MYDOMEN.LOCAL
.MyDomen.local = MYDOMEN.LOCAL


net ads join -U adminAD%passwordAD OK

kinit -p adminAD@MYDOMEN.LOCAL OK
klist OK

Winbind 3.0.5
winbind -t OK
winbind -u OK (MYDOMEN+userAD....)
winbind -g OK (MYDOMEN+groupAD....)

PS:
Почему не проходит plaintext authentication? (следовало добавить имя домена: wbinfo -a MYDOMEN+adminAD%passwordAD)
Почему не работает id с доменными юзерами?
Помогите разобратся, время уже поджимает :(

Проблема 1 »
Попробуйте не передавать пароль в открытом виде, т.е. набрать wbinfo -a adminAD »

id MYDOMEN+adminAD - работает?

Если да, то - добавьте в конфиг самбы:
winbind use default domain = yes

P.S> ИМХО - winbind separator = \

Fannynub,

wbinfo -a adminAD%passwordAD »

adminAD - это имя домена + разделитель?

id: userAD: No such user »

аналогично вышесказанному.

Т.е. должно быть id domainname+username

[mzd],
Результат попытки:
wbinfo -a MYDOMEN+adminAD и wbinfo -a adminAD
plaintext password authentication failed
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
error messsage was: Wrong Password
Could not authenticate user MYDOMEN+adminAD with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
error messsage was: Wrong Password
Could not authenticate user MYDOMEN+adminAD with challenge/response

Dm1try,
id MYDOMEN+adminAD »

id: MYDOMEN+adminAD: No such user

must die,
wbinfo -a MYDOMEN+adminAD%passwordAD OK Прошла !
а
id MYDOMEN+adminAD No such user

Понял, значит домен хочет пароль получить обязательно в строке wbinfo. А что говорит при попытке аутентифицировать wbinfo -a MYDOMEN+adminAD%passwordAD ?

[mzd],
wbinfo -a MYDOMEN+adminAD%passwordAD
Проходит нормально.

Добавьте это в конфиг и будет Вам счастье:
winbind use default domain = yes

Что при этом происходит?
Без этого параметра samba получает список пользователей в виде: MYDOMAIN\username. MYDOMAIN - это не полное название домена (до точки), которое берется из Kerberos realms.
C этим параметром читается принимается во внмание параметр: default_domain и по умолчанию добавляется перед именем пользователя.

Спасибо всем за ответы!

Dm1try,
winbind use default domain = Yes Добавил (сервисы samba и winbind restart)
Ситуация не изменилась.
id adminAD
id: adminAD: No such user

id MYDOMEN+adminAD
id: MYDOMEN+adminAD: No such user

id MYDOMEN.LOCAL+adminAD
id: MYDOMEN.LOCAL+adminAD: No such user

Давайте логи winbind. И версию samba озвучьте :)

OS ALT linux master 2.4
Samba version 3.05

log.winbindd


[2007/09/24 13:49:39, 1] nsswitch/winbindd.c:main(843)
winbindd version 3.0.5 started.
Copyright The Samba Team 2000-2004
[2007/09/24 13:49:39, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain MYDOMEN MYDOMEN.LOCAL S-0-0
[2007/09/24 13:49:39, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
[2007/09/24 13:49:40, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain BUILTIN S-1-5-32
[2007/09/24 13:49:40, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain POST S-1-5-21-2598127683-2868193808-2578808510
[2007/09/24 13:49:46, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:49:53, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:13, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain MYDOMEN MYDOMEN.LOCAL S-0-0
[2007/09/24 13:53:13, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain BUILTIN S-1-5-32
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain POST S-1-5-21-2598127683-2868193808-2578808510
[2007/09/24 13:53:13, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:18, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:27, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD@MYDOMEN.LOCAL' does not exist
[2007/09/24 13:53:41, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 14:01:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1032)
user 'root' does not exist
[2007/09/24 14:02:56, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1032)
user 'postfix' does not exist

1. Обновиться - хотя бы до samba-3.20b
2. Вывести машину их домена, сначала взять билет kinit-ом, потом ввести в домен: net ads join -U adminAD.

ИМХО - обновление решит Вашу проблему.

Dm1try,

Вывел LinuxHost из AD путём блокировки и последующим удаления учёной записи.
time out 45 минут.
1. Синхронизация времени с контроллером домена (net time SET -S base)
2. Получен ключ командой kinit -p adminAD@MYDOMEN.LOCAL
3. Выполнено присоединение к домену: net ads join -U adminAD.
4. Попытка:

id adminAD
ответ: No such user

5. Команда getent passwd
Список пользователей без указания домена через разделитель!
6. id adminAD
!!!!!!!!!!OK!!!!!!!
Другие доменные пользователи OK

7. id groupeAD
No such user
8. Команда getent group
Список групп без указания домена через разделитель!
9. id groupeAD
No such user
10. services smb restart OK
services winbind restart OK
11. id adminAD
ответ: !!!No such user!!!

Синхронизируйте время на FreeBSD и на контроллере домена (ntpdate). Проверьте часовой пояс на FreeBSD в частности.

Как это сделать, расписано тут (http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/network-ntp.html)

Время нормально синхронизируется
Её богу сейчас не до NTP...
В предыдущем посте имею ввиду, что после перезагузки самбы и винбинд id опять неработает, хотя после свежего вхождения в домен заработала.

PS
В целом требуется настроить SQUID пользователей на авторизацию в AD.
Без авторизации все работают, но это не есть гуд :).

а по какому ману настраивали? не с опеннет?

Сложно ответить, учусь на своих жучках :)
Рою гугл, читаю форумы, очень помог www.unixdoc.ru, вот и до Вас добрался...

Я так (http://www.opennet.ru/base/net/win_domain_squid.txt.html) настраивал, правда, в Linux.

Время нормально синхронизируется
Её богу сейчас не до NTP...
В предыдущем посте имею ввиду, что после перезагузки самбы и винбинд id опять неработает, хотя после свежего вхождения в домен заработала. »

Билет Kerboros, выданный контроллером домена действителен в течении определенного промежутка времени, потом необходимо получить новый билет.
Если время на КД и на клиенте рассинхронизированно (возможно на клиенте другой часовой пояс), то при проверке подлинности билета - сервер, естественным образом, ответит клиенту, что билет просрочен и соответсвенно - не авторизует клиента и клиент не сможет получить информацию о "ресурсах домена."

ИМХО:
Исходя из этой ошибки и описанной Вами ситуации - можно предположить: синхронизировав время и получив билет - все работает.
[2007/09/24 13:49:39, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)

По прошествии некоторого времени FreeBSD замечает/исправляет разницу в системном времени (опять таки из-за временного пояса) - билет становится просроченым и все не работает. Синхронизация времени с КД позволит исправить данную ситуацию.



P.S> Ну обновите же samba - возьмите src.rpm из backports или сизифа, соберите и поставьте пакет - поверьте проблем поубавится.
Есть список рассылки - samba@lists.altlinux.org .