Forum Debian Users Gang

ptaszol · 2013-06-17 11:31:15

Witam,

Próbuję zintegrować sambę 3.6.6 z serwerem Active Directory.
Prosiłbym o pomoc, ponieważ poległem przy konfiguracji KRB5:)

Kod:

[libdefaults]         
ticket_lifetime = 600       
default_realm = TEST
dns_lookup_realm = true
dns_lookup_kdc = true
forwardable = yes
verify_ap_req_nofail = false


[realms]         
TEST = {         

kdc = 192.168.0.141:88
admin_server = 192.168.0.141:749       
default_domain = TEST

}  

[domain_realm]         
        .TEST = TEST
        TEST = TEST
[kdc]         
        profile = /etc/krb5kdc/kdc.conf  
[logging]         
        default = FILE:/var/log/krb5lib.log

Problem pojawia się podczas testowania:

Kod:

root@samba:~# kinit seba
Password for seba@TEST:
kinit: KDC reply did not match expectations while getting initial credentials
root@samba:~#

Czy ktoś ma jakiś pomysł co można z tym zrobić:)

Pozdrawiam

Ostatnio edytowany przez ptaszol (2013-06-17 14:08:22)

jurgensen · 2013-06-17 12:16:18

Spróbuj wywalić wpisy:

dns_lookup_realm = true
dns_lookup_kdc = true

oraz

[kdc]
profile = /etc/krb5kdc/kdc.conf

Co dziwne, odpowiedź doatajesz z domeny GTC, zamiast TEST. Spróbuj:

kinit seba@TEST

ptaszol · 2013-06-17 12:56:12

Witam,

Usunięcie wpisów nic nie dało:(
W dalszym ciągu pojawia się ten sam komunikat..

Zauważyłem, że jeżeli podam błędne hasło komunikat się zmienia:

Kod:

root@samba:~# kinit seba
Password for seba@TEST:
kinit: Preauthentication failed while getting initial credentials

Pozdrawiam

drelbrown · 2013-06-17 13:03:11

Spróbuj może samba4

jurgensen · 2013-06-17 13:23:48

A czy Twoja domena to na pewno po prostu "TEST"? Nie jest to test z jakimś sufiksem? Jeśli tak, to może problemem jest właśnie jednopoziomowa domena.

ptaszol · 2013-06-17 13:34:08

Witam,

Moim zdaniem nie ma znaczenia samba, ponieważ ja na razie próbuje protokół Kerberos i ta mi nie przechodzi hasło pomiędzy dwoma serwerami..

Poprawcie mnie jeżeli się mylę...

P.S. Rzeczywiście domena ma jeden człon - TEST:)

Pozdrawiam

jurgensen · 2013-06-17 14:59:20

Powinieneś jeszcze zmienić:

[domain_realm]
.TEST = TEST

na:

[domain_realm]
.test = TEST

Na Twoim miejscu, spróbowałbym następujący konfig:

Kod:

[libdefaults]
        default_realm = TEST
[realms]
        TEST = {
                kdc = 192.168.0.141
                kpasswd_server = 192.168.0.141
                kpasswd_protocol = SET_CHANGE
                admin_server = 192.168.0.141
        }

[domain_realm]
        .test = TEST

ptaszol · 2013-06-18 08:19:24

Witam,

Nic się nie zmieniło po zmianie konfiguracji jurgensen:(
Nie chcą mi gadać dwa serwery na linuxe. Na jednym mam debian 7 na którym jest samba i na którym występują błędy, a na drugim debian 7 na którym jest postawiona samba 4 ac dc - to z nią nie chce mi gadać protokół Kerberos.

A ma ktoś jeszcze pojęcia jak powinien wyglądać /etc/hosts oraz /etc/resolv.conf?? Może tam mam pomieszane:

Ma ktoś jeszcze może jakieś pomysły:)

Pozdrawiam

Ostatnio edytowany przez ptaszol (2013-06-18 08:25:47)

jurgensen · 2013-06-18 09:00:25

Z taką konfiguracją działają u mnie klienci z Windowsowymi kontrolerami AD. Może na Sambie masz coś nie tak z konfiguracją KDC (chociaż pewnie używasz tego, wbudowanego w Sambę). Może logi KDC coś pokażą. Co do resolv.conf, to powinien wskazywać na lokalne serwery DNS, obsługujące AD (czyli w Twoim przypadku na 99% na kontroler domeny). Natomiast konfiguracja DNS nie powinna mieć nic wspólnego z kerberosem, jeśli wywaliłeś dns_lookup_realm = true oraz dns_lookup_kdc = true i jawnie wskazałeś serwery).

Wygląda na to, że jest jest to instncja testowa, więc może stworzyłbyś domenę od nowa z pełną nazwą domenową. W trakcie przejrzyj wszystkie kounikaty o błędach i ostrzerzenia. Może Twoja Samba nie ma wkompilowanej obsługi KRB5 (chociaż wszystko wskazuje, że jednak ma).

ptaszol · 2013-06-18 13:50:06

Witam,

Mi Samba4 AD DC działa i podłączają się do niej komputery z Windowsem bez problemów...
Serwer Kerberos działa na sambie4....

jurgensen · 2013-06-18 15:45:19

Z tego, co przejrzałem w Google, komunikat ten oznacza problemy z wielkością liter w nazwie domeny. Mam jeszcze taką teorię, że windowsowe kontrolery tworzą domenę wielkimi literami, natomiast Ty, tworząc domenę na Sambie podałeś domenę małymi literami (implementacja windowsowa kerberosa może ignorować wielkość znaków, natomiast MIT Kerberos już nie). Czy znajdziesz w historii polecenie, jakim wypromowałeś Sambę na kontroler. Przydatne też mogą być konfigi Samby i KDC z kontrolera.

ptaszol · 2013-06-18 15:48:30

Witam,

Rzeczywiście problem polegał na wielkości liter w nazwie domeny w pliku krb5.conf
Bardzo wam chciałem podziękować za poświęcony mi czas dla mnie i mojego problemu...

Pozdrawiam

P.S. Właśnie pomogły mi pliki konfiguracyjne z Samby która jest kontrolerem domeny:) - dzięki bardzo jurgensen....

Ostatnio edytowany przez ptaszol (2013-06-18 15:49:57)

Forum Debian Users Gang

Ogłoszenie

#1 2013-06-17 11:31:15

ptaszol - Użytkownik

Integracja Samby z Active Directory

Kod:

Kod:

#2 2013-06-17 12:16:18

jurgensen - Użytkownik

Re: Integracja Samby z Active Directory

#3 2013-06-17 12:56:12

ptaszol - Użytkownik

Re: Integracja Samby z Active Directory

Kod:

#4 2013-06-17 13:03:11

drelbrown - Użytkownik

Re: Integracja Samby z Active Directory

#5 2013-06-17 13:23:48

jurgensen - Użytkownik

Re: Integracja Samby z Active Directory

#6 2013-06-17 13:34:08

ptaszol - Użytkownik

Re: Integracja Samby z Active Directory

#7 2013-06-17 14:59:20

jurgensen - Użytkownik

Re: Integracja Samby z Active Directory

Kod:

#8 2013-06-18 08:19:24

ptaszol - Użytkownik

Re: Integracja Samby z Active Directory

#9 2013-06-18 09:00:25

jurgensen - Użytkownik

Re: Integracja Samby z Active Directory

#10 2013-06-18 13:50:06

ptaszol - Użytkownik

Re: Integracja Samby z Active Directory

#11 2013-06-18 15:45:19

jurgensen - Użytkownik

Re: Integracja Samby z Active Directory

#12 2013-06-18 15:48:30

ptaszol - Użytkownik

Re: Integracja Samby z Active Directory

Stopka forum