freebsd + samba + heimdal + win2k3_домен - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по FreeBSD (http://forum.oszone.net/forumdisplay.php?f=10)

- - freebsd + samba + heimdal + win2k3_домен (http://forum.oszone.net/showthread.php?t=83876)

freebsd + samba + heimdal + win2k3_домен

В виндовой сети имеется файлсерв под freebsd, samba, heimdal.
Он получает сертификат от КД только после перезагрузки и то невсегда.
По команде "# kinit filesever" выдается сертификат на 1 неделю. Где fileserver - это логин сервака в домене.
Делаю "# klist":

Credentials cache: FILE:/tmp/krb5cc_0
Principal: administrator@TEST.RU

Issued Expires Principal
May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU

Это не работает.

Если перегружаю комп то klist выгладит так:

Credentials cache: FILE:/tmp/krb5cc_0
Principal: administrator@TEST.RU

Issued Expires Principal
May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU
May 11 09:58:11 May 11 19:56:22 dc2$@TEST.RU

Где dc2 - конторллер домена под win2k3.
Вот это уже работает. wbinfo (-t,-u,-g) - отрабатывают нормально.

Вот: /etc/krb5.conf
[libdefaults]
default_realm = TEST.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
TEST.RU = {
kdc = dc2.test.ru:88
default_domain = test.ru
}
[domain_realm]
.test.ru = TEST.RU
test.ru = TEST.RU

Что вот это за запись: May 11 09:56:22 May 11 19:56:22 krbtgt/TEST.RU@TEST.RU?
Как вручную(без перезагрузки) получить сертификат?
Как зделать чтобы и при перезагрузке он получался автоматически?
Как автоматически(при загрузке компа) войти в домен, чтобы каждый раз не вводить net ads join.

kinit admin@DOMEN.LOCAL(RU) - получаете билет для пользователя имеющего права, на присоединение рабочих станций к домену.
net ads join -u USER - где USER - это пользователь, для которого был получен билет-керберос вышеуказанной командой.
На WIN-сервере появляется учет. запись вашей машины - и далее получение билета будет происходить автоматически.

Тоесть выполнять kinit нужно только один раз? Бывает такое: некоторое время сервак поработает и потом как-бы отлетает от домена. При этом вот эта запись исчезает: May 11 09:58:11 May 11 19:56:22 dc2$@TEST.RU. Как зделать чтобы он не отлетал, или чтобы автоматом подрубался обратно.

Может быть kinit в крон, ведь она может исполняться и обыкновенного пользователя? Хотя у меня такого ни разу не было ...

Ладно фиг с kinit'ом. Когда выполняешь команду net ads join - это равносильно тому как в винде вводишь логин и пароль перед входом в домен?

Да, конечно.