The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!" 
Сообщение от Boff Искать по авторуВ закладки on 01-Ноя-05, 12:12  (MSK)
Господа! Товарищи! Комрады! Помогите!

Проблема:

Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен (с аутентификацией в AD)

самбу ставил с ключами
./configure --with-winbind --with-winbind-auth-challenge --with-acl-support --prefix=/opt/samba --with-logfilebase=/var/samba/log --with-configdir=/etc/samba --with-privatedir=/etc/samba/private --with-ads --with-krb5=/usr/heimdal/ --with-pam --with-pam_smbpass

керберос клиент - heimdal

Самбу в домен ввел, пользователи из домена на самбе видны, всё пучком, на шары заходят. НО в логи сыпятся следующие сообщения:
                              [2005/10/31 18:54:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:52, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:53, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/10/31 18:54:54, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!

klist говорит что билеты не выдавались:
bash-2.05# /usr/heimdal/bin/klist
klist: No ticket file: /tmp/krb5cc_0

kinit ругается:
1) если ввести правильный пароль то он выдает:
bash-2.05# /usr/heimdal/bin/kinit -p administrator@tg.local
administrator@tg.local's Password:
kinit: Password incorrect

2) если ввести заведомо не правльный пароль, то
bash-2.05# /usr/heimdal/bin/kinit -p administrator@tg.local
administrator@tg.local's Password:
kinit: krb5_get_init_creds: Preauthentication failed


вот мой krb5.conf:
     [libdefaults]
             default_realm = TG.LOCAL
     [realms]
             TG.LOCAL = {
                     kdc = kdc.tg.local
                     admin_server = kdc.tg.local
             }
     [domain_realm]
             .tg.local = TG.LOCAL
             tg.local = TG.LOCAL


КУДА КОПАТЬ????????????

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!" 
Сообщение от Sergey Poleckiy emailИскать по авторуВ закладки on 01-Ноя-05, 12:25  (MSK)
>Господа! Товарищи! Комрады! Помогите!
>
>Проблема:
>
>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>(с аутентификацией в AD)

Может поможет?
http://linuxcenter.ru/lib/articles/networking/fileserver.phtml

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!" 
Сообщение от Boff Искать по авторуВ закладки on 01-Ноя-05, 12:51  (MSK)
>>Господа! Товарищи! Комрады! Помогите!
>>
>>Проблема:
>>
>>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>>(с аутентификацией в AD)
>
>Может поможет?
>http://linuxcenter.ru/lib/articles/networking/fileserver.phtml


прописал в /etc/krb5.conf (согласно статье)

bash-2.05# cat /etc/krb5.conf
         [libdefaults]
                default_realm = TG.LOCAL
                clockskew = 300
                v4_instance_resolve = false
                v4_name_convert = {
                        host = {
                                rcmd = host
                                ftp = ftp
                        }
                }
        [realms]
                TG.LOCAL = {
                        kdc = KDC.TG.LOCAL
                        admin_server = KDC.TG.LOCAL
                }
        [domain_realm]
                .tg.LOCAL = TG.LOCAL

при заходе на шары самбы в логи сыпется следующее:

[2005/11/01 12:41:16, 1] smbd/ipc.c:api_fd_reply(290)
  api_fd_reply: INVALID PIPE HANDLE: 76dc

klist по прежнему пустой:

bash-2.05# /usr/heimdal/bin/klist
klist: No ticket file: /tmp/krb5cc_0

НО, если дать команду

bash-2.05# /usr/heimdal/bin/kinit -p administrator
administrator@TG.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

и тут, о чудо!

bash-2.05# /usr/heimdal/bin/klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: administrator@TG.LOCAL

  Issued           Expires          Principal        
Nov  1 12:43:07  Nov  1 22:41:47  krbtgt/TG.LOCAL@TG.LOCAL


Почему же самба не хочет использовать керберос?????? Ведь конфигурировал её я с heimdal!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!" 
Сообщение от Varyag Искать по авторуВ закладки(??) on 02-Ноя-05, 12:00  (MSK)
>>>Господа! Товарищи! Комрады! Помогите!
>>>
>>>Проблема:
>>>
>>>Есть домен на Win2K с ADS. Нужно ввести samba (3.0.20b) в домен
>>>(с аутентификацией в AD)
>>
>>Может поможет?
>>http://linuxcenter.ru/lib/articles/networking/fileserver.phtml
>
>
>прописал в /etc/krb5.conf (согласно статье)
>
>bash-2.05# cat /etc/krb5.conf
>         [libdefaults]
>            
>    default_realm = TG.LOCAL
>            
>    clockskew = 300
>            
>    v4_instance_resolve = false
>            
>    v4_name_convert = {
>            
>          
> host = {
>            
>          
>         rcmd =
>host
>            
>          
>         ftp =
>ftp
>            
>          
> }
>            
>    }
>        [realms]
>            
>    TG.LOCAL = {
>            
>          
> kdc = KDC.TG.LOCAL
>            
>          
> admin_server = KDC.TG.LOCAL
>            
>    }
>        [domain_realm]
>            
>    .tg.LOCAL = TG.LOCAL
>
>при заходе на шары самбы в логи сыпется следующее:
>
>[2005/11/01 12:41:16, 1] smbd/ipc.c:api_fd_reply(290)
>  api_fd_reply: INVALID PIPE HANDLE: 76dc
>
>klist по прежнему пустой:
>
>bash-2.05# /usr/heimdal/bin/klist
>klist: No ticket file: /tmp/krb5cc_0
>
>НО, если дать команду
>
>bash-2.05# /usr/heimdal/bin/kinit -p administrator
>administrator@TG.LOCAL's Password:
>kinit: NOTICE: ticket renewable lifetime is 1 week
>
>и тут, о чудо!
>
>bash-2.05# /usr/heimdal/bin/klist
>Credentials cache: FILE:/tmp/krb5cc_0
>        Principal: administrator@TG.LOCAL
>
>  Issued          
> Expires          
>Principal
>Nov  1 12:43:07  Nov  1 22:41:47  krbtgt/TG.LOCAL@TG.LOCAL
>
>
>Почему же самба не хочет использовать керберос?????? Ведь конфигурировал её я с
>heimdal!!


В конфиге самбы пропишите чтобы использовать Kerberos.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!" 
Сообщение от Boff Искать по авторуВ закладки on 02-Ноя-05, 12:05  (MSK)

>В конфиге самбы пропишите чтобы использовать Kerberos.

это какой параметр нужно указать в smb.conf?


  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Горю!!!!!!!!! Помогите с kerberos!!!!!!!!!!!!" 
Сообщение от Z0termaNN emailИскать по авторуВ закладки(??) on 02-Ноя-05, 17:27  (MSK)
>
>>В конфиге самбы пропишите чтобы использовать Kerberos.
>
>это какой параметр нужно указать в smb.conf?


realm = ?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру