[Conroe775]

cameron, уже пробовал политикой понижать уровень безопасности до более низкого. Даже если бы и получилось, то я бы просто отказался от использования самбы, т.к. подобные требования для работы ПО были бы просто свинством. Но, пожалуй, к счастью, оно всё равно не заработало.

Ыть, я просто вот этим руководствуюсь:
Существует распространенное заблуждение, что Linux (samba) при входе в домен не в состоянии самостоятельно получить первую квитанцию от центра ключей Kerberos. Это заблуждение возникло потому что в официальном руководстве по SAMBA в одном из подготовительных шагов при введении SAMBA в AD приводится настройка файла /etc/krb5.conf и вызовов команды kinit. Данный файл содержит параметры автономного клиента Kerberos в локальной Linux и утилита linit использует именно настройки из файла /etc/krb5.conf.

Соответственно, настройка krb5.conf и выполнение kinit необходимо исключительно для тестирования связи с сервером Kerberos и выполнять эти настройки совсем не обязательно. Samba может самостоятельно выполнять весь цикл взаимодействия KDC, включая обновление квитанций по истечению срока их действия без применения сторонних утилит. Чтобы библиотеки Kerberos, которые использует самба для взаимодействия с KDC корректно были настроены и работали, SAMBA создает на базе информации из файла smb.conf файл /var/run/samba/smb_krb5/krb5.conf.AD, который и заменяет стандартный /etc/krb5.conf.
http://www.k-max.name/windows/samba-...ive-directory/

Впрочем, и керберос я точно также настраивал, та же самая ошибка, безрезультатно.

[Conroe775]

После настройки кербероса:

/etc/krb5.conf

Код:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false
 default_realm = HQ.DAYREP.COM
 default_ccache_name = KEYRING:persistent:%{uid}

[realms]
 HQ.DAYREP.COM = {
  kdc = dc1.hq.dayrep.com
 }

[domain_realm]
 .HQ.DAYREP.COM = HQ.DAYREP.COM
 HQ.DAYREP.COM = HQ.DAYREP.COM

[Ыть]

Цитата Conroe775:

over rpc: NT_STATUS_CONNECTION_RESET »

поиск выдал, как и говорила cameron, решения с LM.

[Conroe775]

Ыть, дак я хорошо знаю, что выдает поиск по этому запросу Говорю же: не работает. Если хотите, сами проверьте настройки политик, может я что забыл.

[Conroe775]

Думаю забавы ради податься что-ли на офсайт мелкософта и спросить там? Хотя чую, что мне скажут переустановить виндовс и поставить хороший антивирус что дескать, машины на windows входят в домен нормально? Нормально. А линукс ваш, сами и любите его.

[cameron]

Цитата Conroe775:

Если хотите, сами проверьте настройки политик, может я что забыл. »

слева внизу этой консольки есть Group Policy Results, она покажет применилилась ли эта политика.
а лучше сделать gpupdate /force на КД и потом на нём запустить gpresult, дабы убедиться в итоговых значениях.
вообще, ЕМНИП, вкорячивание самбы в 2008r2 native сопровождалось танцами с бубном, поэтому допускаю, что и тут они нужны.

Цитата Conroe775:

Думаю забавы ради податься что-ли на офсайт мелкософта и спросить там? »

лучше на ЛОР - сомневаюсь, что на технете кто-то будет разбираться с преАльфой софта из коммьюнити дистра.

[Conroe775]

Цитата cameron:

слева внизу этой консольки есть Group Policy Results, она покажет применилилась ли эта политика. а лучше сделать gpupdate /force »

Не туда смотрите. Вот например политика, позволяющая создавать пользователей с паролем "1234" применилась сразу же Но ладно, попробую, на всякий. Но я говорю, даже если работать будет, то это уже даже не смешно как-то: понижать протокол аутентификации домен-контроллера до уровня "дуршлаг", и это чтобы файлопомойку юзерам организовать? Нет уж.

Цитата cameron:

лучше на ЛОР »

Да там за два дня один просмотр и один ответ. Я уже думаю на что-нибудь англоязычное вроде serverfault'а пойти, хотя там тоже вопросы по похожей проблеме висят без ответа.

Цитата cameron:

с преАльфой софта из коммьюнити дистра »

Так так, а с этого места поподробней. Это как - преальфа? Самба (причем как я обнаружил, она у меня таки 4 версии), скачивается из официальных репозиториев центоса, который позиционирует себя не иначе, как корпоративную операционную систему. Да и разрабатывается она годами. Почему преальфа?


lil update:
Забавно, но после развёртывания аналогичного домена на виртуалке с 2008 R2 самба без всяких проблем вошла в него. Домен поднимался с функциональностью 2008 R2. На всё про всё ушло минут 40, причем 35 из них на скачивание исошника и установку служб на винсервере. После чего бегло пробежался по конфигам на самбе, особо не заморачиваясь, и все вошло с первой попытки без проблем.

Код:

[root@samba ~]# net ads join -U admin
Enter admin's password:
Using short domain name -- CORP
Joined 'SAMBA' to dns domain 'corp.dayrep.com'
[root@samba ~]#

[Conroe775]

Помогла установка групповой политики Network security: LDAP client signing requirements в положение "Negotiate signing".