Как ввести в домен Win2003 c AD ASPLinux 11.2

Автор: Nick64 Дата: 17.04.2007 11:00 Привет, ALL!
Если проблема никак не могу ввести в домен с Win2003 и AD ASPLinux 11.2.
Пробовал делать по статье [forum.asplinux.ru]
Все заканчивается на
kinit $alexp@domain.local
kinit(v5): Cannot contact any KDC for requested realm while getting initial credentials
[root@asplinux pam.d]# net join -U alexp
[2007/04/17 11:13:39, 0] param/loadparm.c:map_parameter(2693)
Unknown parameter encountered: "auth metods"
[2007/04/17 11:13:39, 0] param/loadparm.c:lp_do_parameter(3429)
Ignoring unknown parameter "auth metods"
Unable to find a suitable server
Unable to find a suitable server

krb5conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = domen.local
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[realms]
uea2.local = {
kdc = tserver.domen.local:88
admin_server = tserver.domen.local:749
default_domain = domen.local
}

[domain_realm]
.domen.local = domen.LOCAL
domen.local = domen.LOCAL

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

Что делать не представляю, подскажите
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 17.04.2007 14:38Adim Ты не все так делал, как указано по ссылке. Для примера:
1. У тебя:
[realms]
uea2.local = {
kdc = tserver.domen.local:88
admin_server = tserver.domen.local:749
default_domain = domen.local
}

а у меня:

[realms]
UEA2.LOCAL = {
kdc = tserver.domen.local:88
admin_server = tserver.domen.local:749
default_domain = domen.local
}


2. У тебя:

kinit $alexp@domain.local

У меня:

kinit alexp@DOMAIN.LOCAL


Ну и т.д.
Т.е. там, где у меня большие буквы - должны быть большие (ессно, это не касается переменных, таких как $USER, например)
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 19.04.2007 12:35Nick64 Спасибо огромное за статью, с этой проблемой разобрался.
Теперь еще вопрос появилися
Когда заходишь на Linux-машину пользователем из домена почему-то не отображается его имя, а только uid и gid. Так и должно быть или я чего-то напутал?
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 19.04.2007 13:14Adim Так быть не должно - скорее всего, где-то напутано с winbind . Отправлю тебя к полному варианту моих изысканий [www.asplinuxclub.org]
посмотри и проверь все еще раз. Если не получится выложи конфиги nsswitch.conf , smb.conf и вообще, расскажи, что конкретно сделано, и подробней опиши проблему.
Скорее всего, если прочтешь все и проверишь - сам отыщещь проблему. Тем не менее, в любом случае, расскажи о результатах.
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 20.04.2007 06:17Nick64 Действительно перечитав статью еще раз все получилось, спасибо уважаемый Adim.
И еще напоследок вопрос, у нас в домене 98% акаунтов на русском и Linux не хочет их принимать при входе. Это как-нибудь решается?
Ах, да еще. Вход в систему у меня графический (это в силу того что юзери у меня вряд ли будут довольны текстовым входом), так вот как получать билет керберос при входе автоматически?
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 20.04.2007 09:22Adim Акаунты на русском - это интересно!!! Не разбирался с этим вопросом, но, хочу поинтересоваться - выложи результат locale на своем Linux.
Что касается графического входа, впрочем, как и консольного, билет керберос надо получать все равно, и у меня получается так, что первый этап - это вход, второй - получение билета.
Если сможешь красиво решить эту проблему - выложи!"
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 20.04.2007 10:35Nick64 Вот собственно locale
LANG=ru_RU.UTF-8
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC="ru_RU.UTF-8"
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF-8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASUREMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL=
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 25.04.2007 12:50Adim Я не уверен, но, что-то мне говорит, что проблема с русскими акаунтами не решается. Или уже решилась? Если да - то расскажи как.
Re: Как ввести в домен Win2003 c AD ASPLinux 11.2 07.05.2007 14:38Nick64 Все-таки решил проблему с билетами!!! Теперь билет получается на автомате когда пользователь заходит в систему, причем в граф. режиме и парольнужно набирать всего один раз.
Изменения коснулись только файла /etc/pam.d/system-auth.
Вот его содержание
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_krb5.so use_first_pass
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so broken_shadow
account sufficient /lib/security/$ISA/pam_localuser.so #This
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_krb5.so
account [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_winbind.so
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so try_first_pass retry=3
password required /lib/security/$ISA/pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 retry=3 enforce=users
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_authtok
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_mkhomedir.so umask=0077
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_krb5.so

Вот что было добавленно pam_krb5.so
И в /etc/pam_smb.conf была добавленна строка как realm в smb.conf
И все работает!!!
А с русскими аккаунтами действительно никак, хотя может чего и придумаю.
RSS-материал