Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Winbind и AD 2k3 authentication (http://forum.oszone.net/showthread.php?t=90793)

Fannynub 24-09-2007 12:22 648464
Winbind и AD 2k3 authentication
 
Всем Удачи и хорошего настроения!
Настраиваю авторизацию пользователей SQUID в AD. Третьи сутки бьюсь, перечитал всё что можно,- нужна Ваша помощь:
!Проблема 2!
Решить не удалось. Спасло обновление.
id userAD (Пользователь AD не определяется)
id: userAD: No such user
!Проблема 1!
Спасибо решили (следовало добавить имя домена: wbinfo -a MYDOMEN+adminAD%passwordAD)
wbinfo -a adminAD%passwordAD
plaintext password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user adminAD%passwordAD with plaintext password
challenge/response password authentication succeeded
id root OK (Unix пользователи определяются нормально)

Что делаю чтоб работало:

Samb.conf
читать дальше »


[global]
log file = /var/log/samba/log.%m
smb passwd file = /etc/samba/smbpasswd
load printers = yes
socket options = TCP_NODELAY
encrypt passwords = yes
dns proxy = no
netbios name = post
netbios aliases = post server
server string = SS %h (v. %v)
printing = cups
password server = base.MyDomen.LOCAL
workgroup = MyDomen
realm = MyDomen.LOCAL
use sendfile = yes
os level = 20
printcap name = cups
security = ads
max log size = 50

hosts allow = 192.168. 127.
interfaces = 192.168.0.101/24

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = +
winbind enum groups = yes
winbind enum users = yes
winbind cache time = 60

template homedir = /home/%D/%U
template shell = /bin/bash

force directory mode = 0777
force create mode = 0777

[homes]
comment = Home Directory for '%u'
browseable = yes
writable = yes

[sharefolder]
comment = Admin's share for Technical Unit, Press Unit, User
path = /home/key/share
valid users = MyDomen\elax
public = no
writable = no
printable= no
write list = MyDomen\elax




Nsswitch.conf
читать дальше »


passwd: files winbind # nisplus nis
shadow: tcb files winbind # nisplus nis
group: files winbind # nisplus nis

hosts: files dns # nisplus nis

ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files

bootparams: nisplus [NOTFOUND=return] files

netgroup: nisplus

publickey: nisplus

automount: files nisplus
aliases: files nisplus



Kerberos.conf
читать дальше »
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MYDOMEN.LOCAL
dns_lookup_kdc = false

[realms]
MYDOMEN.LOCAL = {
default_domain = MYDOMEN.LOCAL
kdc = BASE.MYDOMEN.LOCAL:88
admin_server = BASE.MYDOMEN.LOCAL:749
}

[domain_realm]
MyDomen.LOCAL = MYDOMEN.LOCAL
.MyDomen.local = MYDOMEN.LOCAL



net ads join -U adminAD%passwordAD OK

kinit -p adminAD@MYDOMEN.LOCAL OK
klist OK

Winbind 3.0.5
winbind -t OK
winbind -u OK (MYDOMEN+userAD....)
winbind -g OK (MYDOMEN+groupAD....)

PS:
Почему не проходит plaintext authentication? (следовало добавить имя домена: wbinfo -a MYDOMEN+adminAD%passwordAD)
Почему не работает id с доменными юзерами?
Помогите разобратся, время уже поджимает :(

[mzd] 24-09-2007 12:25 648469
Цитата:
Цитата Fannynub
Проблема 1 »
Попробуйте не передавать пароль в открытом виде, т.е. набрать
Цитата:
Цитата Fannynub
wbinfo -a adminAD »

Dm1try 24-09-2007 12:30 648474
id MYDOMEN+adminAD - работает?

Если да, то - добавьте в конфиг самбы:
winbind use default domain = yes

P.S> ИМХО - winbind separator = \

must die 24-09-2007 12:39 648481
Fannynub,

Цитата:
Цитата Fannynub
wbinfo -a adminAD%passwordAD »
adminAD - это имя домена + разделитель?

Цитата:
Цитата Fannynub
id: userAD: No such user »
аналогично вышесказанному.

Т.е. должно быть id domainname+username

Fannynub 24-09-2007 13:15 648504
[mzd],
Результат попытки:
wbinfo -a MYDOMEN+adminAD и wbinfo -a adminAD
plaintext password authentication failed
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
error messsage was: Wrong Password
Could not authenticate user MYDOMEN+adminAD with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
error messsage was: Wrong Password
Could not authenticate user MYDOMEN+adminAD with challenge/response
Dm1try,
Цитата:
Цитата Dm1try
id MYDOMEN+adminAD »
id: MYDOMEN+adminAD: No such user

must die,
wbinfo -a MYDOMEN+adminAD%passwordAD OK Прошла !
а
id MYDOMEN+adminAD No such user

[mzd] 24-09-2007 13:23 648510
Понял, значит домен хочет пароль получить обязательно в строке wbinfo. А что говорит при попытке аутентифицировать wbinfo -a MYDOMEN+adminAD%passwordAD ?

Fannynub 24-09-2007 13:31 648513
[mzd],
wbinfo -a MYDOMEN+adminAD%passwordAD
Проходит нормально.

Dm1try 24-09-2007 13:41 648516
Добавьте это в конфиг и будет Вам счастье:
Код:
winbind use default domain = yes
Что при этом происходит?
Без этого параметра samba получает список пользователей в виде: MYDOMAIN\username. MYDOMAIN - это не полное название домена (до точки), которое берется из Kerberos realms.
C этим параметром читается принимается во внмание параметр: default_domain и по умолчанию добавляется перед именем пользователя.

Fannynub 24-09-2007 13:55 648518
Спасибо всем за ответы!

Dm1try,
winbind use default domain = Yes Добавил (сервисы samba и winbind restart)
Ситуация не изменилась.
id adminAD
id: adminAD: No such user

id MYDOMEN+adminAD
id: MYDOMEN+adminAD: No such user

id MYDOMEN.LOCAL+adminAD
id: MYDOMEN.LOCAL+adminAD: No such user

Dm1try 24-09-2007 14:15 648527
Давайте логи winbind. И версию samba озвучьте :)

Fannynub 24-09-2007 14:25 648532
OS ALT linux master 2.4
Samba version 3.05

log.winbindd
читать дальше »


[2007/09/24 13:49:39, 1] nsswitch/winbindd.c:main(843)
winbindd version 3.0.5 started.
Copyright The Samba Team 2000-2004
[2007/09/24 13:49:39, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain MYDOMEN MYDOMEN.LOCAL S-0-0
[2007/09/24 13:49:39, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
[2007/09/24 13:49:40, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain BUILTIN S-1-5-32
[2007/09/24 13:49:40, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain POST S-1-5-21-2598127683-2868193808-2578808510
[2007/09/24 13:49:46, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:49:53, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:13, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain MYDOMEN MYDOMEN.LOCAL S-0-0
[2007/09/24 13:53:13, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain BUILTIN S-1-5-32
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain POST S-1-5-21-2598127683-2868193808-2578808510
[2007/09/24 13:53:13, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:18, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:27, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD@MYDOMEN.LOCAL' does not exist
[2007/09/24 13:53:41, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 14:01:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1032)
user 'root' does not exist
[2007/09/24 14:02:56, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1032)
user 'postfix' does not exist

Dm1try 24-09-2007 14:43 648538
1. Обновиться - хотя бы до samba-3.20b
2. Вывести машину их домена, сначала взять билет kinit-ом, потом ввести в домен: net ads join -U adminAD.

ИМХО - обновление решит Вашу проблему.

Fannynub 24-09-2007 15:40 648582
Dm1try,

Вывел LinuxHost из AD путём блокировки и последующим удаления учёной записи.
time out 45 минут.
1. Синхронизация времени с контроллером домена (net time SET -S base)
2. Получен ключ командой kinit -p adminAD@MYDOMEN.LOCAL
3. Выполнено присоединение к домену: net ads join -U adminAD.
4. Попытка:

id adminAD
ответ: No such user
5. Команда getent passwd
Список пользователей без указания домена через разделитель!
6. id adminAD
!!!!!!!!!!OK!!!!!!!
Другие доменные пользователи OK
7. id groupeAD
No such user
8. Команда getent group
Список групп без указания домена через разделитель!
9. id groupeAD
No such user
10. services smb restart OK
services winbind restart OK
11. id adminAD
ответ: !!!No such user!!!

Dm1try 24-09-2007 16:05 648603
Синхронизируйте время на FreeBSD и на контроллере домена (ntpdate). Проверьте часовой пояс на FreeBSD в частности.

[mzd] 24-09-2007 17:05 648665
Как это сделать, расписано тут

Fannynub 24-09-2007 17:33 648692
Время нормально синхронизируется
Её богу сейчас не до NTP...
В предыдущем посте имею ввиду, что после перезагузки самбы и винбинд id опять неработает, хотя после свежего вхождения в домен заработала.

PS
В целом требуется настроить SQUID пользователей на авторизацию в AD.
Без авторизации все работают, но это не есть гуд :).

[mzd] 24-09-2007 17:39 648697
а по какому ману настраивали? не с опеннет?

Fannynub 24-09-2007 17:50 648706
Сложно ответить, учусь на своих жучках :)
Рою гугл, читаю форумы, очень помог www.unixdoc.ru, вот и до Вас добрался...

[mzd] 24-09-2007 18:27 648731
Я так настраивал, правда, в Linux.

Dm1try 25-09-2007 09:29 649012
Цитата:
Цитата Fannynub
Время нормально синхронизируется
Её богу сейчас не до NTP...
В предыдущем посте имею ввиду, что после перезагузки самбы и винбинд id опять неработает, хотя после свежего вхождения в домен заработала. »
Билет Kerboros, выданный контроллером домена действителен в течении определенного промежутка времени, потом необходимо получить новый билет.
Если время на КД и на клиенте рассинхронизированно (возможно на клиенте другой часовой пояс), то при проверке подлинности билета - сервер, естественным образом, ответит клиенту, что билет просрочен и соответсвенно - не авторизует клиента и клиент не сможет получить информацию о "ресурсах домена."

ИМХО:
Исходя из этой ошибки и описанной Вами ситуации - можно предположить: синхронизировав время и получив билет - все работает.
Код:
[2007/09/24 13:49:39, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
По прошествии некоторого времени FreeBSD замечает/исправляет разницу в системном времени (опять таки из-за временного пояса) - билет становится просроченым и все не работает. Синхронизация времени с КД позволит исправить данную ситуацию.



P.S> Ну обновите же samba - возьмите src.rpm из backports или сизифа, соберите и поставьте пакет - поверьте проблем поубавится.
Есть список рассылки - samba@lists.altlinux.org .

Fannynub 25-09-2007 10:13 649041
Да, буду пробовать обновить самба. О результатах сообщу.

Fannynub 28-09-2007 11:53 650960
И снова здравствуйте...

Обновил не только samba но и всю систему, теперь работаю на ALT 4.0.1

Команда id заработала с доменными пользователями.
Синтаксис:
id MYDOMEN+userAD OK

Dm1try 28-09-2007 14:27 651038
На самом деле можно было просто обновить пакет samba :)

P.S> Как впечатления от ALT 4.0.1 ?

Fannynub 02-10-2007 09:45 652793
Dm1try,
Только начал работать, поэтому заранее говорить сложно, но:
Быстрая и упрощеная установка,
Поддержка виртуализации - OpenVZ,
Элементарно необходимые настройки безопасности включены по умолчанию (запрет root через ssh например),
Система управления через web интерфейс (не webmin)
это то, что бросается в глаза, дальше время покажет :).


Время: 18:06.

Время: 18:06.
© OSzone.net 2001-