Многие сталкивались с проблемой дороговизны AD от Microsoft и решение было одно – очень муторная связка Samba + LDAP + phpadminldap (ну или другой редактор gosa или MDS), но помимо крайне трудной настройки всего этого чуда, она еще много чего не поддерживала, например групповые политики. Но тут пришел он – SAMBA 4. Что самое главное, так это решение пресловутой проблемы с отсутствием групповых политик и гемороев с редактором, теперь у нас есть и групповые политики и относительная простота в настройке и, что самое приятное, возможность управления с Windows, например я управляю с ноутбука (подробно написано, как ставить тут). Меня тут просили указать железо и IP в реальном случае использовалась виртуалка на базе KVM запущенная на сервере Dell R320 (под сервер выделены след. ресурсы: ОЗУ 4 ГБ, HDD 15 ГБ (каталог на СХД монтируется отдельно), Проц. 1 Intel Xeon E5-1410), с IP 192.168.0.101. В данном же примере IP, по традиции 192.168.0.1, а конфигурация приблизительно следующая (ОЗУ 2 ГБ, HDD 7 ГБ). И так, давайте приступим к настройке
1 2 | nano /etc/sysconfig/network HOSTNAME=dc //имя нашего сервера |
Как понятно из комментария мы определяем имя нашего будущего сервера.
1 2 3 | nano /etc/sysconfig/selinux SELINUX=disabled setenforce 0 |
Отключаем наш “любимый” selinux
1 | yum -y install gcc make wget python-devel gnutls-devel openssl-devel libacl-devel krb5-server krb5-libs krb5-workstation bind bind-libs bind-utils |
Устанавливаем все необходимое нам. В данном случае в качестве dns-backend используется bind.
1 2 3 4 5 6 | wget http://ftp.samba.org/pub/samba/samba-4.0.4.tar.gz tar -xzvf samba-4.0.4.tar.gz cd ./samba-4.0.4 ./configure --enable-selftest make make install |
Качаем и устанавливаем Samba, на момент написания статьи актуальной версией была 4.0.4
И тут у нас два варианта, либо:
1 | /usr/local/samba/bin/samba-tool domain provision |
и дальше по пунктам:
1 2 3 4 5 6 7 8 9 | Realm [TEST.LOCAL]: (Enter) Domain [TEST]: (Enter) Server Role (dc, member, standalone) [dc]: (Enter) DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [BIND9_DLZ]: (Enter) DNS forwarder IP address (write 'none' to disable forwarding) [192.168.0.1]: 8.8.8.8 Administrator password: Ваш пароль Retype password: Повторить Ваш пароль |
Не забудьте, что пароль имеет свои критерии (количество символов и т.д. как в windows). Тут все ясно, разве что 8.8.8.8 это forwarder dns (в случае если запрашивается имя о котором нет записи в нашем dns, то мы обращаемся сюды). Либо такой вариант:
1 | /usr/local/samba/bin/samba-tool domain provision --realm=test.local --domain=TEST --adminpass 'Ваш пароль' --server-role=dc --dns-backend=BIND9_DLZ |
И создаем новый домен ;). Собственно и все, ну почти все, нужно еще dns поднастроить и по мелочи…
1 | rndc-confgen -a -r /dev/urandom |
Создаем файлы конфигурации для RNDC. Он может быть использован в качестве удобной альтернативы к написанию rndc.conf файла, соответствующих элементов управления и основных ключей в named.conf. Во какая удобная штука.
1 2 3 4 5 6 7 8 9 | nano /etc/named.conf options { listen-on port 53 { any; }; //тут понятно (какой порт слушать) forwarders {8.8.8.8; }; //тут тоже (forwarder dns) allow-query { any; }; //кому можно ходить tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab"; //dinamic DNS через Kerberos }; include "/usr/local/samba/private/named.conf"; |
Вроде все понятно ;)
1 2 3 | nano /etc/resolv.conf nameserver 127.0.0.1 domain test.local |
Вот мы и домене.
1 2 3 4 5 | nano /etc/krb5.conf [libdefaults] default_realm = TEST.LOCAL dns_lookup_realm = false dns_lookup_kdc = true |
Настраиваем наш сервер kerberos.
1 2 3 4 5 | wget http://www.eecis.udel.edu/~ntp/ntp_spool/ntp4/ntp-4.2/ntp-4.2.6p5.tar.gz tar -xzvf ntp-4.2.6p5.tar.gz cd ntp-4.2.6p5 ./configure --enable-ntp-signd make && make install |
Ставим NTP сервер
1 2 3 4 5 6 7 8 9 10 11 12 | nano /etc/ntp.conf server 127.127.1.0 fudge 127.127.1.0 stratum 10 server 0.pool.ntp.org iburst prefer server 1.pool.ntp.org iburst prefer driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntp ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/ restrict default kod nomodify notrap nopeer mssntp restrict 127.0.0.1 restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery |
Ну тут все ясно, настраиваем NTP, у кого есть другие NTP сервера могут воткнуть их.
1 2 3 | chown named:named /usr/local/samba/private/dns chown named:named /usr/local/samba/private/dns.keytab chmod 775 /usr/local/samba/private/dns |
Тут происходит беспрецедентная раздача прав, прям демократия в действии
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 | nano /etc/init.d/samba4 #! /bin/bash # # samba4 Bring up/down samba4 service # # chkconfig: - 90 10 # description: Activates/Deactivates all samba4 interfaces configured to # start at boot time. # ### BEGIN INIT INFO # Provides: # Should-Start: # Short-Description: Bring up/down samba4 # Description: Bring up/down samba4 ### END INIT INFO # Source function library. // бла бла бла, я этот скрипт стырил ))) . /etc/init.d/functions if [ -f /etc/sysconfig/samba4 ]; then . /etc/sysconfig/samba4 fi CWD=$(pwd) prog="samba4" start() { # Attach irda device echo -n $"Starting $prog: " /usr/local/samba/sbin/samba sleep 2 if ps ax | grep -v "grep" | grep -q /samba/sbin/samba ; then success $"samba4 startup"; else failure $"samba4 startup"; fi echo } stop() { # Stop service. echo -n $"Shutting down $prog: " killall samba sleep 2 if ps ax | grep -v "grep" | grep -q /samba/sbin/samba ; then failure $"samba4 shutdown"; else success $"samba4 shutdown"; fi echo } status() { /usr/local/samba/sbin/samba --show-build } # See how we were called. case "$1" in start) start ;; stop) stop ;; status) status irattach ;; restart|reload) stop start ;; *) echo $"Usage: $0 {start|stop|restart|status}" exit 1 esac exit 0 |
Все в принципе понятно, запускаем samba
1 | chmod 755 /etc/init.d/samba4 |
Опять раздаем права, мы добрые. Всем демократии)))
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 | nano /etc/init.d/ntp #! /bin/bash # # ntp Bring up/down ntp service # #chkconfig: - 99 30 #description: Bring up/down ntp # ### BEGIN INIT INFO # Provides: # Should-Start: # Short-Description: Bring up/down ntp # Description: Bring up/down ntp ### END INIT INFO # Source function library. //бла бла бла и этот я украл))) . /etc/init.d/functions CWD=$(pwd) NTPD=/usr/local/bin/ntpd prog="ntp" start() { # Attach irda device echo -n $"Starting $prog: " $NTPD -p /var/run/ntpd.pid sleep 2 if ps ax | grep -v "grep" | grep -q $NTPD ; then success $"ntp startup"; else failure $"ntp startup"; fi echo } stop() { # Stop service. echo -n $"Shutting down $prog: " kill -9 `cat /var/run/ntpd.pid` > /dev/null 2>&1 sleep 2 if ps ax | grep -v "grep" | grep -q $NTPD ; then failure $"ntp shutdown"; else success $"ntp shutdown"; fi echo } # See how we were called. case "$1" in start) start ;; stop) stop ;; restart|reload) stop start ;; *) echo $"Usage: $0 {start|stop|restart}" exit 1 esac exit 0 |
Тут такой же скрипт на запуск, только уже NTP сервера.
1 2 3 4 5 6 7 8 9 10 11 12 | chmod 755 /etc/init.d/ntp //Даем права /etc/init.d/named start /etc/init.d/ntp start /etc/init.d/samba4 start //Все запускаем, если луна в тельце, то смотрим логи chkconfig --levels 235 samba4 on chkconfig --levels 235 ntp on chkconfig --levels 235 named on //Добавляем в загрузку |
Все пускаем, если повезет.
1 | /usr/local/samba/bin/smbclient -L localhost -U% |
Проверяем шары на samba
1 2 3 4 5 | Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.0.0) |
Такой вот выхлоп должен быть
1 | smbclient //localhost/netlogon -UAdministrator%'Тут должна быть ваша реклама, но лучше пароль' -c 'ls' |
Пытаемся пройти проверку подлинности, как Administrator
1 2 3 | Domain=[SAMDOM] OS=[Unix] Server=[Samba 4.0.0beta9-GIT-e4677e3] . D 0 Tue Mar 12 11:00:36 2013 .. D 0 Tue Mar 12 11:02:28 2013 |
Вот такой выхлоп.
1 2 | host -t SRV _ldap._tcp.test.local. _ldap._tcp.test.lcal has SRV record 0 100 389 samba.test.local. |
Проверяем выхлоп dns сервера для ldap
1 2 | host -t SRV _kerberos._udp.test.local. _kerberos._udp.test.local has SRV record 0 100 88 samba.test.local. |
Проверяем выхлоп dns сервера для kerberos
1 2 | host -t A samba.test.local. samba.test.local has address 192.168.88.7 |
Будут ошибки… значит что то не так)))
И финальный штрих.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | nano /etc/sysconfig/iptables -A INPUT -m udp -p udp --dport 53 -m comment --comment "DNS" -j ACCEPT -A INPUT -m udp -p udp --dport 123 -m comment --comment "NTP" -j ACCEPT -A INPUT -m udp -p udp --dport 135 -m comment --comment "RPC UDP" -j ACCEPT -A INPUT -m udp -p udp --dport 138 -m comment --comment "NetBIOS Netlogon and Browsing" -j ACCEPT -A INPUT -m udp -p udp --dport 389 -m comment --comment "LDAP UDP" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 88 -m comment --comment "Kerberos" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 464 -m comment --comment "Kerberos Password Management" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 139 -m comment --comment "NetBIOS Session" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 445 -m comment --comment "SMB CIFS" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 389 -m comment --comment "LDAP TCP" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 636 -m comment --comment "LDAP SSL" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3268 -m comment --comment "LDAP Global Catalog" -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 3269 -m comment --comment "LDAP Global Catalog SSL" -j ACCEPT service iptables restart |
Разрешаем доступ к серверу, хотя можно просто вырубить iptables… кому как удобнее. Но лучше отрубить.
Вообщем все, удачи ))) и не забудьте прописать ip сервера в качестве DNS
Совсем забыл. Чтобы сбросить пароль админа, ну или задать его.
1 | /usr/local/samba/bin/samba-tool user setpassword Administrator |
Недавно возникла проблема с отключение политики сложных паролей, да и вообще с этим разделом. Решение следующие:
1 | /usr/local/samba/bin/samba-tool domain passwordsettings set --complexity=off |
Продолжение статьи тут.
А как собственно юзеров добавлять? Как политиками управлять?
А вы начало по внимательней прочтите, там все написано
Спасибо за статейку, но сильно раздражает когда наводишь мышку на блоки кода и сверку появляется эта фиговина с выбором что делать, аж в газах рябит.
И хорошо писать вначале статьи, имеем сервер , ОС такая , ip такой то
Кстати тестил с кластером hyper-v ? Я как то проверял на бете , не работало, кластер не проходил проверку по керберосу, сейчас пофиксили или нет ?
Я посмотрю, что можно сделать с фиговиной :). На счет hyper-v нечего сказать немогу, не пользовался и небуду (по причине приверженности к Linux системам и свободным решениям). Но десктопы у меня в офисе на винде и все работает как часы.
Все , раздражать стало меньше Спасибо
есть помарка с
make && make install
И если устанавливать Centos 6.4 minimal надо доставить еще
yum -y install perl-core
Иначе на ./configure –enable-selftest просит установить
самба 4.0.6 использовалась
ну и как мелоч –adminpass ‘Ваш пароль’, хорошо
оставить знак = , конечно кто в курсе тот поймет, но все же так лучше:
–adminpass=’Ваш пароль’
Ценные комментарии, спасибо))) правда, я ставил 4.0.4 и кажется у меня не было проблемы с perl, возможно они что то поменяли.
Инструкция вообще не рабочая. Не запускается bind пишет “/usr/local/samba/private/named.conf invalid file”.
Я бы посоветовал вам удостовериться в наличии этого файла, а так же в правильности установки samba4 (в частности DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE), необходимое выделено), так как данный файл являет собой настройки к bind которые идут непосредственно с samba и подключаются в установленный bind путем дописывания /etc/named.conf (include “/usr/local/samba/private/named.conf”;). В данной статье он нигде не изменяется, так что…
Спасибо за статью. Присоединяюсь к вопросу. Можно попросить дать начальный кусок этого файла – /usr/local/samba/private/named.conf ?
Делаю под FreeBSD, а там всё разнесено по другим каталогам, поэтому не могу определить о каком именно одноимённом файле идёт речь в некоторых местах…
Странно, на сколько я в курсе – в BSD все так же… но я сам не тестил, попробуйте посмотреть тут
Понятно. скорее всего дело в том, что я ставил из портов, а из исходников видимо каталоги такие же как и в статье будут… ну ничего – я вроде нашёл этот файл.
Но, вот на файле dns.keytab я похоже действительно увяз – такого вообще нигде нет, есть только в исходниках самбы… Можете рассказать о нём чуть подробнее – откуда он берётся?
Возможно /var/db/samba4/private/
или попробуйте find / -name dns.keytab (под FreeBSD она тоже есть)
Вообще лично я пользуюсь всегда find, кто то любит locate, т.к. она быстрее, но есть одно но! Если вы пользуетесь find, то вы ищите сам файл. Если вы пользуетесь locate, то вы ищите ссылку в базе этой утилиты, а ведь эту базу нужно еще заполнить
Так же вам может помочь подобный вариант:
tkey-gssapi-credential “DNS/dns.your.domain”;
tkey-domain “dns.your.domain”;
по крайней мере на вики самба, такой вариант есть.
Прошел почти весь Квест но вот здесь
/usr/local/samba/bin/smbclient -L localhost -U%
отказ
session setup failed: NT_STATUS_CONNECTION_REFUSED
Есть несколько вариантов из-за чего происходит подобное событие:
1. Нет каталога /var/run/samba, выход создать его и перезапустить samba. (негде создавать smbd.pid и nmbd.pid)
2. В samba.conf не указанны параметры local master, domain master, preferred master. (поставить yes)
3. Но я бы советовал вам сразу после получения ошибки выполнить tail /var/log/messages (это лог последних сообщений на сервере, увидев который я смогу помочь вам более полно)
Первое ушло сейчас застрял вот здесь
host -t SRV _ldap._tcp.mydomain.com.
Host _ldap._tcp.mydomain.com not found: 3(NXDOMAIN)
смотрел вот сюда при установке/настройке
http://www.alexwyn.com/computer-tips/centos-samba4-active-directory-domain-controller
tail /var/log/messages
пишет вот это :
Aug 13 15:44:56 centos1 samba[2864]: /usr/local/samba/sbin/samba_dnsupdate: File “/usr/local/samba/sbin/samba_dnsupdate”, line 124, in get_credentials
Aug 13 15:44:56 centos1 samba[2864]: [2013/08/13 15:44:56.284201, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Aug 13 15:44:56 centos1 samba[2864]: /usr/local/samba/sbin/samba_dnsupdate: raise e
Aug 13 15:44:56 centos1 samba[2864]: [2013/08/13 15:44:56.284325, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Aug 13 15:44:56 centos1 samba[2864]: /usr/local/samba/sbin/samba_dnsupdate: RuntimeError: kinit for CENTOS1$@ICS.LOCAL failed (Cannot contact any KDC for requested realm)
Aug 13 15:44:56 centos1 samba[2864]: [2013/08/13 15:44:56.285019, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Aug 13 15:44:56 centos1 samba[2864]: /usr/local/samba/sbin/samba_dnsupdate:
Aug 13 15:44:56 centos1 abrtd: Executable ‘/usr/local/samba/sbin/samba_dnsupdate’ doesn’t belong to any package
Aug 13 15:44:56 centos1 abrtd: ‘post-create’ on ‘/var/spool/abrt/pyhook-2013-08-13-15:44:56-3010′ exited with 1
Aug 13 15:44:56 centos1 abrtd: Corrupted or bad directory ‘/var/spool/abrt/pyhook-2013-08-13-15:44:56-3010′, deleting
Спасибо!
Подобная проблема была тут
/etc/abrt/abrt-action-save-package-data.conf
ProcessUnpackaged = yes
вот еще ругательство
cannot resolve servers for kdc in realm while getting initial credentials
у машины выделенный ip
Проверьте запущены ли сервисы bind, smb, nmb. Проверьте права iptables и selinux. Удоставерьтесь, что у вас не стоит какой нибудь nss-mdns. Не поможет, скиньте лог сразу после ошибки, для более детального анализа
/etc/resolv.conf
перезаписывает этот файл при перезагрузке
PEERDNS=no
не помогло
есть идеи?
Ну тут два варианта:
1. Прописать статику.
2. Посмотреть настройки /etc/dhcp/dhclient.conf
А в конфиг самбы настройки сами должны прописываться??
Мне вот пришлось подправить samba.conf и только после этого все заработало
если кому надо:
[global]
server role = domain controller
workgroup = LPT
realm = lpt.local
netbios name = srv
[netlogon]
path = /var/lib/samba/sysvol/example.com/scripts
read only = No
[sysvol]
path = /var/lib/samba/sysvol
read only = No
И еще DNS не забыть указать в свойствах интерфейса
Я боюсь, что вся статья описывает процедуру настройки samba…
Да, но вот важной части – изменение конфиг файла как раз нет
Боюсь, вы не правы. Внимательнее изучите статью и сравните с процедурой описанной в официальной wiki, конфиг настраивается при выполнении /usr/local/samba/bin/samba-tool domain provision –realm=test.local –domain=TEST –adminpass ‘Ваш пароль’ –server-role=dc –dns-backend=BIND9_DLZ, вы можете это проверить если выполните testparm -s /etc/samba/smb.conf
Привет а ни кто не пытался мигрировать с самбы 3.5 на самбу 4 ? С переносом всех групп и пользователей.
На сколько я знаю, для этого есть утилита samba-tool domain classicupgrade. Вы можете почитать об этом тут
Ну а как насчет перемещаемых профилей nix-клиентов? Где искать или все как самбой 3, нужно ставить pam и тд.?
Насколько я в курсе перемещаемых профилей настраиваются в секции [Profiles] файла /etc/samba/smb.conf. Вот пример Но для Linux клиентов, вам по любому придется использовать pam. Т.к. подобные профили не поддерживаются самой системой и насколько мне известно – это не секьюрно
чего все так смутно относятся к перемещаемым профилям – место сжирают? – есть квоты. Просто сломалась тачка у юзера а ему нужно продолжить и где ему его настройки программ и тд из шары? Ну блин этот pam_mount – это жесть.
нет, я не против перемещаемых профилей. Возможно вам будут интересны след. ресурсы: тут по поводу pam, likewise (под linux) ну и самый правильный способ (на мой взгляд) это Calculate Linux. Но никак ни nfs + nis, как я понимаю вам именно так и хочется реализовать
уже реализовано так: сервер – Centos 6 x64 (DHCP/DNS/LDAP+SAMBA+PAM), клиентские тачки с такойже осью. Прочитал ваш док и думаю а не перейти ли в будующем, вот и интересуюсь про профиля
У меня сейчас так Centos samba4 pdc (локально) + Centos samba4 bdc (цод) и тачки на mint, debian (бэкап профилей через clonzilla + pxe загрузчик + kerberos + pam). Это что касаемо профилей… У нас нет Windows кроме сервера приложений.
ip pdc = 192.168.0.2
ip dns = 192.168.0.1
Подскажите что делать если DNS настроен и функционирует нормально. На виртуалках в домен все входит консоль AD работает нормально. Только при указании днс сервера там где стоит самба. При указании моего реального днс керберос не находит базы.
[rat@dc etc]# kinit Administrator@DOMEN.RU
kinit: Cannot resolve servers for KDC in realm “DOMEN.RU” while getting initial credentials.
Меняю в
/etc/resolv 192.168.0.1 ошибка.
/etc/resolv 192.168.0.1 все работает.
Linux dc.domen.ru 2.6.32-358.el6.i686 #1 SMP Thu Feb 21 21:50:49 UTC 2013 i686 i686 i386 GNU/Linux
nslookup на 192.168.0.1
[root@halt firewall]# nslookup domen.ru
Server: 127.0.0.1
Address: 127.0.0.1#53
Name: domen.ru
Address: 192.168.0.2
Простите, но из вашего описания не очень понятно где DNS который держит зону вашего домена AD и как настроен сам домен, а точнее параметр dns-backend (есть литам forward на нужный вам DNS сервер и поддерживается ли у последнего динамическое обновление зон)
Днс находится на avtgate.ru(192.168.0.1)
Samba4 находится на avtpdc.ru(192.168.0.200)
Конф самбы
[global]
workgroup = AVTDC
realm = AVTDC.RU
netbios name = DC
server role = active directory domain controller
dns forwarder = 192.168.0.1
[netlogon]
path = /usr/local/samba/var/locks/sysvol/avtdc.ru/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
cat /etc/resovl
search avtgate.ru
nameserver 192.168.0.200
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = AVTDC.RU
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
При получении winXp по dhcp
Днс адреса 192.168.0.1 запуская Оснастку ад полчаю вот что.
i019.radikal. ru/1310/3e/2e4d33ec50bb. jpg
Меняю руками адрес на WinXp на 192.168.0.200 все работает как часы.
Мне интересно что вам скажет “/usr/local/samba/bin/samba-tool testparm”. Так же возможно вам поможет данная статья (там в самом низу). Ну и последнее, у вас в конфиге не хватает строчки для динамического обновления зон, о чем я писал в первом ответе на ваш комментарий (dns recursive queries = yes)
[root@dc etc]# /usr/local/samba/bin/samba-tool testparm
Unknown parameter encountered: “dns recursive queries”
Ignoring unknown parameter “dns recursive queries”
Press enter to see a dump of your service definitions
# Global parameters
[global]
workgroup = AVTDC
realm = AVTDC.RU
netbios name = DC
interfaces = 192.168.0.200, 127.0.0.1
bind interfaces only = Yes
server role = active directory domain controller
log level = 3
dns forwarder = 192.168.0.1
[netlogon]
path = /usr/local/samba/var/locks/sysvol/avtdc.ru/scripts
read only = No
[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No
[root@dc etc]# /usr/local/samba/bin/smbclient -L localhost -U%
Unknown parameter encountered: “dns recursive queries”
Ignoring unknown parameter “dns recursive queries”
Domain=[AVTDC] OS=[Unix] Server=[Samba 4.2.0pre1-GIT-5990de5]
Sharename Type Comment
——— —- ——-
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.2.0pre1-GIT-5990de5)
Domain=[AVTDC] OS=[Unix] Server=[Samba 4.2.0pre1-GIT-5990de5]
Server Comment
——— ——-
Workgroup Master
——— ——-
добавте в smb.conf allow dns updates = True запустите /usr/local/samba/bin/samba-tool testparm. Изучите так же вот эту статью
Проблема была решена. Путем настройки днс на 192.168.0.1.
Спасибо.
Добрый день, а ктонибудь вкурсе можно ли получить список пользователей авторизованных в домен (openldap+samba+pam) и как это сделать?
авторизованных на сервере в текущий момент или всех существующих пользователей, поясните. И какие пользователи, если win, то они скорее всего получают билет kerberos, следовательно можно командой klist посмотреть розданные билеты. Если же вы имеете ввиду рулежку самим LDAP, то могу посоветовать Apache Directory Studio под LINUX, сам пользуюсь… Ну а насчет, как получить подобную инфу с samba 4, для linux машин, боюсь, я затрудняюсь ответить возможно вам поможет /usr/local/samba/bin/samba-tool user list
…именно авторизованных на сервере в данный момент. Пользователи LINUX. домен состоит из openldap+samba3*+pam-авторизация+pam_mount. чем из этих трех софтин можно получить список? Все бы ничего все вопросы возникают из-за pam_mount, который не может отмонтировать папку(ему не дает это сделать несколько процессов) юзера, когда он делает logout.
Боюсь, но я вам помочь немогу, возможно вам будет интересен этот сайт
chown named:named /usr/local/samba/private/dns
chown named:named /usr/local/samba/private/dns.keytab
chmod 775 /usr/local/samba/private/dns
где ты их взял? нету их там.
http://wiki.samba.org/index.php/Dns-backend_bind Пункт – Bind 9.7.
Автор ты бы первоисточник указывал , ты походу не скрипты украл, а тупо все украл
http://opentodo.net/2013/01/samba4-as-ad-domain-controller-on-centos-6/
Боюсь, что вы не правы… Ссылку эту уже видел и поверьте, даже скрипты не от туда… Ну и коль вы хотите первоисточник, то пожалуйста:
Номер раз
Номер два
на этот ресурс http://www.alexwyn.com/computer-tips/centos-samba4-active-directory-domain-controller я заглядывал там все не так. wiki не очень информативна. А тут глядь и потрясающие совпадения.
Ну если для вас “все не так” заключается только в том, что там используется samba_internal – это скорее ваша проблема, нежели моя. А вики более чем информативна по поводу BIND_DLZ… В общем и целом – надеюсь вас более не видеть на данном сайте, что было бы логично, коль он вам так неприятен
Nov 19 08:37:25 dc samba[7165]: Calling samba_kcc script
Nov 19 08:37:25 dc samba[7165]: [2013/11/19 08:37:25.250311, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Nov 19 08:37:25 dc samba[7165]: /usr/local/samba/sbin/samba_kcc: close failed in file object destructor:
Nov 19 08:37:25 dc samba[7165]: [2013/11/19 08:37:25.250571, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Nov 19 08:37:25 dc samba[7165]: /usr/local/samba/sbin/samba_kcc: IOError: [Errno 10] No child processes
Nov 19 08:37:25 dc samba[7165]: [2013/11/19 08:37:25.250719, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Nov 19 08:37:25 dc samba[7165]: /usr/local/samba/sbin/samba_kcc: close failed in file object destructor:
Nov 19 08:37:25 dc samba[7165]: [2013/11/19 08:37:25.250863, 0] ../lib/util/util_runcmd.c:317(samba_runcmd_io_handler)
Nov 19 08:37:25 dc samba[7165]: /usr/local/samba/sbin/samba_kcc: IOError: [Errno 10] No child processes
Подскажите что это могло бы быть?
Насколько мне известно IOError: [Errno 10] No child processes – это питоновская ошибка… Возможно у вас не установлен необходимый модуль питона. Попробуйте yum install python* -y
Не раскроете тайнство подключение принтера через ad ?
Чувствую, что поможет вам вики официальная, вот по этой ссылкоче.
Не такой уж полноценный АД.
Что делать с доменными корнями DFS? С ними полный шлехт
Думаю, вам будет интересно ознакомиться с данным форумом https://lists.samba.org/archive/samba/2012-October/169837.html там, правда, для samba 2.2, но насколько мне известно, принцип остался неизменным.
Ерунда. Да это все известно уже как сто лет.
Там описывается обычный изолированный корень дфс. Ну жен корень интегрированный в ад. Разницу описывать долго – есть в инете.
Далее вы не указываете в какой моде работает у вас самба4. Если в 2008р2 – это вообще привет. Нет DFSR. Досвидания репликации.
Далее, вы уверены, что бинд в том варианте, что вы описали нормально отрабатывает? Добавляет компьютеры, обнавляет их ип? Можно увидеть вывод зоны?
DFSR – вопрос времени, но я с вами согласен – мой косяк. (http://sysadmins.ru/topic346993.html – как я понял, вы об этом. Сам не проверял)(FRS как вариант… более нечего в голову для репликации не приходит сейчас, но для windows 2008r2 не прокатит).
Я в этом уверен потому что есть организации работающие на таком домене и, разумеется, я недам вам этой информации.
Извините за мой французский, а почему нет?
Что мешает заменить реальный домен фейковым, сохранив все остальное? Я ж не скриншоты прошу.
Вы пишите, что у вас есть инстанция с минтами в качестве клиентов самбы4. Скажите на минтах у вас строит какая самба? Точнее вопрос: с какой самбой вы вводили минты в домен самбы4?
Отсутствие времени – вот у вас, походу, одна организация (насколько я понимаю – это ООО «ГИП»(сайт на вашей проксе)), а у меня несколько и там где я ставил – я уже неработаю. Разворачивать специально для вас – простите, нет возможности.
“инстанция с минтами” – я вас непонял, возможно вы имели ввиду linux станции (http://www.beyondtrust.com/Products/PowerBrokerIdentityServicesADBridge/)