forum.opennet.ru - "Kerberos FreeBSD" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Kerberos FreeBSD"

Форум Samba, вопросы интеграции Unix и Windows (Аутентификация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Kerberos FreeBSD"	+/–
Сообщение от Gromophon (ok) on 17-Мрт-14, 11:00
Не выдается список пользователей самба по команде wbinfo -u а также список групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже авторизует, в логе сообщение tail -100 log.wb-[DOMAIN] [2014/03/17 17:52:18.747053, 0] libads/kerberos_util.c:101(ads_kinit_password) kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested realm пример krb5.conf [libdefaults] default_realm = DOMAIN.XXXX.RU # kdc_timesync = 1 # ccache_type = 4 # forwardable = true # proxiable = true # fcc-mit-ticketflags = true # default_keytab_name = FILE:/etc/krb5.keytab clockskew = 300 v4_instance_resolv = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } [realms] DOMAIN.XXXX.RU = { dns_lookup_kdc = true # kdc = dc1 # kdc = dc2 kdc = tcp/DOMAIN.XXXX.RU admin_server = tcp/DOMAIN.XXXX.RU } [domain_realm] .domain.xxxx.ru = DOMAIN.XXXX.RU domain.xxxx.ru = DOMAIN.XXXX.RU [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON система FreeBSD 9.2 , на рядом стоящей 9.1 с аналогичными настройками все работает, как переустановить собственно клиента керберос, во фряхе он уже вроде встроенный heimdal? Если ставить из портов другой керберос то же самое. Самба 3.6, авторизация доменная.
Ответить \| Правка \| Cообщить модератору

Оглавление

Kerberos FreeBSD, Сергей, 01:28 , 18-Мрт-14, (1)

Kerberos FreeBSD, Gromophon, 02:30 , 18-Мрт-14, (2)

Kerberos FreeBSD, Gromophon, 05:19 , 18-Мрт-14, (3)

Kerberos FreeBSD, Gromophon, 02:56 , 20-Мрт-14, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Kerberos FreeBSD" +/–

Сообщение от Сергей (??) on 18-Мрт-14, 01:28

> Не выдается список пользователей самба по команде wbinfo -u а также список
> групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже
> авторизует, в логе сообщение
>  tail -100 log.wb-[DOMAIN]
> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
>     kdc = tcp/DOMAIN.XXXX.RU
  У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите что вам ответят

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Kerberos FreeBSD" +/–

Сообщение от Gromophon (ok) on 18-Мрт-14, 02:30

>> Не выдается список пользователей самба по команде wbinfo -u а также список
>> групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже
>> авторизует, в логе сообщение
>>  tail -100 log.wb-[DOMAIN]
>> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
>>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
>>     kdc = tcp/DOMAIN.XXXX.RU
>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
> что вам ответят
да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список доменов корректно

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Kerberos FreeBSD" +/–

Сообщение от Gromophon (ok) on 18-Мрт-14, 05:19

>[оверквотинг удален]
>>> авторизует, в логе сообщение
>>>  tail -100 log.wb-[DOMAIN]
>>> [2014/03/17 17:52:18.747053,  0] libads/kerberos_util.c:101(ads_kinit_password)
>>>   kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested
>>>     kdc = tcp/DOMAIN.XXXX.RU
>>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
>> что вам ответят
> да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
> но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список
> доменов корректно
список выходит даже по команде net ads user, но wbinfo не работает, все-таки что кривое керберос или самба интересно?
Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя уже приходит мысль переделать под net ads user

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Kerberos FreeBSD" +/–

Сообщение от Gromophon (ok) on 20-Мрт-14, 02:56

>[оверквотинг удален]
>>>>     kdc = tcp/DOMAIN.XXXX.RU
>>>   У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите
>>> что вам ответят
>> да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена
>> но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список
>> доменов корректно
> список выходит даже по команде net ads user, но wbinfo не работает,
> все-таки что кривое керберос или самба интересно?
> Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя
> уже приходит мысль переделать под net ads user
Вобщем кому интересно, wbinfo -u так и не заработало, альтернативный вариант через
net rpc user info [user] -U [user_domain] -S [server] работает пока стабильно хорошо, отображается принадлежность пользователя группам, перепилил скрипт wbinfo_group.pl под выполнение этой команды, сократилось количество вызовов с 3, как в стандартном скрипте до 1, сделал по мелочи проверку домен-контроллеров на живучесть, чтоб при перезагрузке одного из двух выбирался тот, который в апе, оставил так. Сделал вывод, что глюк где-то в связке samba+kerberos, в чем именно хз, причем сначала при установке системы все работало хорошо, но при накате какого-то пакета произошел сбой (где, какой?), который привел к отказу wbinfo.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Kerberos FreeBSD"	+/–
Сообщение от Сергей (??) on 18-Мрт-14, 01:28
> Не выдается список пользователей самба по команде wbinfo -u а также список > групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже > авторизует, в логе сообщение > tail -100 log.wb-[DOMAIN] > [2014/03/17 17:52:18.747053, 0] libads/kerberos_util.c:101(ads_kinit_password) > kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested > kdc = tcp/DOMAIN.XXXX.RU У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите что вам ответят
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Kerberos FreeBSD"	+/–
	Сообщение от Gromophon (ok) on 18-Мрт-14, 02:30
	>> Не выдается список пользователей самба по команде wbinfo -u а также список >> групп, хотя домены видит kinit нормально авторизует, wbinfo -a [user] тоже >> авторизует, в логе сообщение >> tail -100 log.wb-[DOMAIN] >> [2014/03/17 17:52:18.747053, 0] libads/kerberos_util.c:101(ads_kinit_password) >> kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested >> kdc = tcp/DOMAIN.XXXX.RU > У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите > что вам ответят да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список доменов корректно
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Kerberos FreeBSD"	+/–
	Сообщение от Gromophon (ok) on 18-Мрт-14, 05:19
	>[оверквотинг удален] >>> авторизует, в логе сообщение >>> tail -100 log.wb-[DOMAIN] >>> [2014/03/17 17:52:18.747053, 0] libads/kerberos_util.c:101(ads_kinit_password) >>> kerberos_kinit_password SRVC$@DOMAIN.XXXX.RU failed: Cannot contact any KDC for requested >>> kdc = tcp/DOMAIN.XXXX.RU >> У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите >> что вам ответят > да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена > но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список > доменов корректно список выходит даже по команде net ads user, но wbinfo не работает, все-таки что кривое керберос или самба интересно? Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя уже приходит мысль переделать под net ads user
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Kerberos FreeBSD"	+/–
	Сообщение от Gromophon (ok) on 20-Мрт-14, 02:56
	>[оверквотинг удален] >>>> kdc = tcp/DOMAIN.XXXX.RU >>> У вас так обзывается kdc, сделайте ping DOMAIN.XXXX.RU и посмотрите >>> что вам ответят >> да, пинг проходит успешно, ответ приходит от одного из серверов виндовс-контроллера домена >> но ни юзеров, ни групп не отображает, хотя wbinfo -m выводит список >> доменов корректно > список выходит даже по команде net ads user, но wbinfo не работает, > все-таки что кривое керберос или самба интересно? > Просто рулится сквид с виндовыми группами и удобно сделать через wbinfo, хотя > уже приходит мысль переделать под net ads user Вобщем кому интересно, wbinfo -u так и не заработало, альтернативный вариант через net rpc user info [user] -U [user_domain] -S [server] работает пока стабильно хорошо, отображается принадлежность пользователя группам, перепилил скрипт wbinfo_group.pl под выполнение этой команды, сократилось количество вызовов с 3, как в стандартном скрипте до 1, сделал по мелочи проверку домен-контроллеров на живучесть, чтоб при перезагрузке одного из двух выбирался тот, который в апе, оставил так. Сделал вывод, что глюк где-то в связке samba+kerberos, в чем именно хз, причем сначала при установке системы все работало хорошо, но при накате какого-то пакета произошел сбой (где, какой?), который привел к отказу wbinfo.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору