The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Kerberos FreeBSD, !*! Gromophon, 17-Мрт-14, 11:00  [смотреть все]
Не выдается список пользователей самба по команде wbinfo -u а также список групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже авторизует, в логе сообщение
tail -100 log.wb-[DOMAIN]

[2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
  kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested realm
пример krb5.conf
[libdefaults]
        default_realm = DOMAIN.XXXX.RU

#    kdc_timesync = 1
#    ccache_type = 4
#    forwardable = true
#    proxiable = true
#    fcc-mit-ticketflags = true
#    default_keytab_name = FILE:/etc/krb5.keytab

        clockskew = 300
        v4_instance_resolv = false
        v4_name_convert = {
        host = {
        rcmd = host
        ftp = ftp
        }
        plain = {
        something = something-else
        }
        }

[realms]
        DOMAIN.XXXX.RU = {
                dns_lookup_kdc = true
#                kdc = dc1
#                kdc = dc2
                kdc = tcp/DOMAIN.XXXX.RU
                admin_server = tcp/DOMAIN.XXXX.RU
        }
[domain_realm]
.domain.xxxx.ru = DOMAIN.XXXX.RU
domain.xxxx.ru = DOMAIN.XXXX.RU

[logging]
    kdc = FILE:/var/log/krb5/krb5kdc.log
    admin_server = FILE:/var/log/krb5/kadmind.log
    default = SYSLOG:NOTICE:DAEMON

система FreeBSD 9.2 , на рядом стоящей 9.1 с аналогичными настройками все работает, как переустановить собственно клиента керберос, во фряхе он уже вроде встроенный heimdal? Если ставить из портов другой керберос то же самое. Самба 3.6, авторизация доменная.

Ответить | Сообщить модератору
  • Kerberos FreeBSD, !*! Сергей, 01:28 , 18-Мрт-14 (1)
    • Kerberos FreeBSD, !*! Gromophon, 02:30 , 18-Мрт-14 (2)
      >> Не выдается список пользователей самба по команде wbinfo -u а также список
      >> групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже
      >> авторизует, в логе сообщение
      >>  tail -100 log.wb-[DOMAIN]
      >> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
      >>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
      >>     kdc = tcp/DOMAIN.XXXX.RU
      >   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
      > что вам ответят

      да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
      но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список доменов корректно

      Ответить | Сообщить модератору
      • Kerberos FreeBSD, !*! Gromophon, 05:19 , 18-Мрт-14 (3)
        >[оверквотинг удален]
        >>> авторизует, в логе сообщение
        >>>  tail -100 log.wb-[DOMAIN]
        >>> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
        >>>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
        >>>     kdc = tcp/DOMAIN.XXXX.RU
        >>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
        >> что вам ответят
        > да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
        > но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список
        > доменов корректно

        список выходит даже по команде net ads user, но wbinfo не работает, все-таки что кривое керберос или самба интересно?
        Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя уже приходит мысль переделать под net ads user

        Ответить | Сообщить модератору
        • Kerberos FreeBSD, !*! Gromophon, 02:56 , 20-Мрт-14 (4)
          >[оверквотинг удален]
          >>>>     kdc = tcp/DOMAIN.XXXX.RU
          >>>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
          >>> что вам ответят
          >> да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
          >> но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список
          >> доменов корректно
          > список выходит даже по команде net ads user, но wbinfo не работает,
          > все-таки что кривое керберос или самба интересно?
          > Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя
          > уже приходит мысль переделать под net ads user

          Вобщем кому интересно, wbinfo -u так и не заработало, альтернативный вариант через
          net rpc user info [user] -U [user_domain] -S [server] работает пока стабильно хорошо, отображается принадлежность пользователя группам, перепилил скрипт wbinfo_group.pl под выполнение этой команды, сократилось количество вызовов с 3, как в стандартном скрипте до 1, сделал по мелочи проверку домен-контроллеров на живучесть, чтоб при перезагрузке одного из двух выбирался тот, который в апе, оставил так. Сделал вывод, что глюк где-то в связке samba+kerberos, в чем именно хз, причем сначала при установке системы все работало хорошо, но при накате какого-то пакета произошел сбой (где, какой?), который привел к отказу wbinfo.

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру