Отпечатай - Join to domain

Титла: Join to domain
Публикувано от: runtime в Feb 16, 2010, 18:33

Здравейте...
Опитвам се да вържа линукс машина към Windows DC, но ми връща една грешка.
Дистрибуцията ми е Ubuntu 9.10
Домейна е на Windows 2000 server

Принципно като го регистрирам се добавя в домейна като компютър, но ми връща грешка и при логин не ми извежда поленце за домейн.

Та грешката е:

Цитат

sudo net ads join -U administrator
Enter administrator's password:
Using short domain name -- NTP-DOMAIN
Joined 'ADMIN' to realm 'ntp-domain.ntp.com'
DNS update failed!

Някой да има на идея за какво става дума? Ако трябва ще пусна логове и конфигурациони файлове.

Едит: Да добавя само, че dhcp сървъра ми е пуснат под slackware "dhcpd" и не съм уверен дали това не го бърка нещо, че не е на DC сървъра.

Титла: Re: Join to domain
Публикувано от: tolostoi в Feb 16, 2010, 21:43

Настроил ли си бунту-то да аутва с кереберос към ДЦ-то? Ето ако не си погледнал тук виж идеи https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto ($2)Възможно да си ги свършил тези неща, просто си дал много малко инфо и не зная какво си свършил до сега. Имай предвид, че в убунту 9.10 се ползва един туул за промяна на файловете в /etc/pam.d/ командата беше pam-auth-update ще трябва само /etc/nsswitch.conf да си промениш ръчно. Няма да ти се появи поле за домейн, аз поне не съм виждал такова до сега :) но пък си ползвам мое КДЦ не windows, варианта който може да иска като потребителско име е pesho@domain.net примерно, не съм сигурен (домейна мисля е винаги с главни букви)
Едит: дхцп-то не е от значение, но задължително трябва да ползваш неговия днс (или там който другите windows-и ползват)

Титла: Re: Join to domain
Публикувано от: runtime в Feb 17, 2010, 15:45

@tolostoi благодаря от ДНС се оказа... Сега остана обаче един неприоятаен момент. Как мога да си добавям потребителите във sudoers, че като съм с потребител от домейна и нямам sudo и ми е мног ама много криво :)

Титла: Re: Join to domain
Публикувано от: tolostoi в Feb 17, 2010, 17:42

sudo едва ли :), май то проверява в /etc/shadow пък там твоя потребител го няма, можеш ... абе отдавна не съм се логвал с тоя потребител, а сега нямам възможност, но мисля, че аз просто в конзолата си сменях потребителя с локалният в убунту, който има sudo и така си действах.

Титла: Re: Join to domain
Публикувано от: zeridon в Feb 17, 2010, 18:33

Само една вметка ... до колкото виждам домейна ntp.com май не е твой. Сигурен ли си че АД-то е настроено правилно

Титла: Re: Join to domain
Публикувано от: runtime в Feb 18, 2010, 09:13

@zeridon да не е мой, но машината няма достъп до външния свят и това не и пречи особенно много :)
@tolostoi добавих си групата администратори във sudoers и тръгнаха нещата :)

Във вид за група от DC
%DOMAIN\\domain^user ALL=(ALL) ALL
или за потребител само
domainuser ALL=(ALL) ALL

Сега съм на проба дали линукса чете logon script-a да монтира няколко папки ;D

Титла: Re: Join to domain
Публикувано от: runtime в Feb 23, 2010, 11:42

Само остана едно недоразумение да се изчисти, което нещо не ми се връзва, та ще моля за помощ пак, ако някой знае защо..

Когато достъпвам шернати ресурси на компютрите от домейна ми иска да въвеждам потребител и парола постоянно, а моят потребител е с домейн администратор права и не би следвало да ми иска. Между другото пробвах от уиндоуса и не ми иска да ги въвеждам всеки път.

Логвам се успешно във линукса със потребители от ДК, компютъра го виждам в домейн мрежата, обаче само това ме дразни, че където и да ръчкам ми иска да въвеждам парола за да достъпя ресурса.

А да кажа, че достъпвам ресурсите по следния начин:
smb://hostname/folder$

Та някакви идеи що е така?

Титла: Re: Join to domain
Публикувано от: tolostoi в Feb 23, 2010, 17:27

Да се върнем в началото, когато те питах дали ползваш керберос (това е варианта да не ти иска парола всеки път) дал съм ти линк който не съм и прегледал добре, там ползват winbind. Ако ти се чете погледни това хауту (на португалски е)

Код:

http://www.eduardosachs.org/mediawiki/index.php?title=Heimdal_Kerberos_%2B_Samba_PDC_%2B_OpenLDAP_%2B_Squid_no_Debian_Lenny_(em_construção_-_NÃO_USAR_-_COM_BUG)

преведи си го с гугъл на английски, за да е поносимо за четене ;D . Там са обяснени някой неща, има и примери как да провериш дали си успял да го конфигурираш (не е за windows домейн контролер, но повечето неща се покриват)

Титла: Re: Join to domain
Публикувано от: runtime в Feb 25, 2010, 11:01

@tolstoi благодаря свърши работа, обаче има само един проблем.
След като въведа kinit Administrator@NTP-DOMAIN.NTP.COM всичко върви нормално, но при рестарт и тикета явно се губи и пак трябва да го пиша kinit....
Някаква идея?

Код

GeSHi (Apache configuration):
[libdefaults]
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
default_realm = NTP-DOMAIN.NTP.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
ticket_lifetime = 24000
}
plain = {
something = something-else
}
}
# The following libdefaults parameters are only for Heimdal Kerberos.
[realms]
NTP-DOMAIN.NTP.COM = {
kdc = NTP-DOMAIN.NTP.COM
admin_server = NTP-DOMAIN.NTP.COM
}
[domain_realm]
.server.com = NTP-DOMAIN.NTP.COM
server.com = NTP-DOMAIN.NTP.COM
[login]
krb4_convert = true
krb4_get_tickets = true

След като съм го въвел klist ми връща:

Код

GeSHi (Apache configuration):
Ticket cache: FILE:/tmp/krb5cc_10000
Default principal: Administrator@NTP-DOMAIN.NTP.COM
 
Valid starting     Expires            Service principal
02/25/10 11:01:31  02/25/10 19:01:35  krbtgt/NTP-DOMAIN.NTP.COM@NTP-DOMAIN.NTP.COM
        renew until 02/25/10 12:01:31
02/25/10 11:01:38  02/25/10 12:01:38  novotechserver$@NTP-DOMAIN.NTP.COM
        renew until 02/25/10 12:01:31

След рестарт тикета го няма :)

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_10000)

Linux за българи: Форуми

Linux секция за напреднали => Хардуерни и софтуерни проблеми => Темата е започната от: runtime в Feb 16, 2010, 18:33